Aylık olarak, fidye yazılımı saldırılarının sayısı Ocak 2025’ten Şubat’a kadar% 50 arttı ve bunların% 40’ının biraz altında, NCC Group’un son aylık en son aylıklarına göre. Tehdit Darbe Raporu.
1 ila 28 Şubat arasındaki dört hafta boyunca NCC, geçen yıl Ocak ayında 590 ve 403’ten 886 fidye yazılımı saldırısı gözlemledi. Clop’un pasta diliminin, Cleo dosya transfer yazılımı paketindeki bir çift sıfır gün istismarıyla tehlikeye atılan kurbanların toplu adlandırılması ve utanç verici bir sonucu olarak “alışılmadık” yüksek olduğunu söyledi.
Siber Ceza Gözlemcilerinin bileceği gibi, Clop Gang, o zamanlar benzer bir etkisi olan Progress Software’in Moveit Hizmetinin kullanıcılarının toplu hack’ini düzenleyen dosya transfer hizmetlerini aramak ve kullanmakla ünlüdür.
Bununla birlikte, NCC, Clop’un daha fazla dikkat çekmek için iddialarını abarttığı biliniyor, bu yüzden şüphesiz oldukça agresif bir tehdit oyuncusu olmasına rağmen, sayılar manipüle edilmiş olabilir.
Bununla birlikte, çete en yakın rakiplerini önemli ölçüde geride bıraktı, Ransomhub 87 saldırıyı yönetti, Akira 77 ve 43 oynadı.
NCC Tehdit İstihbarat Başkanı Matt Hull, “Fidye yazılımı kurban numaraları Şubat ayında rekor seviyelere ulaştı ve Ocak 2025’e kıyasla% 50 artışla CL0P suçlamaya liderlik ediyor” dedi. “Geleneksel fidye yazılımı işlemlerinden farklı olarak, CL0P’nin aktivitesi sistemleri şifrelemekle ilgili değildi – verileri ölçekte çalmakla ilgiliydi.
“Moveit ve Goany Where ile gördüğümüz gibi, yaygın olarak kullanılan dosya aktarım yazılımındaki dövülmemiş güvenlik açıklarından yararlanarak, hassas bilgileri genişletebildiler ve şimdi kurbanları ödemeye baskı yapmaya başlayacaklar. Veri hırsızlığı ve gasp için bu değişim, fidye yazılım grupları için strateji haline geliyor, daha fazla organizasyonu hedeflemelerine ve kurbanlarını en üst düzeye çıkarmalarına izin veriyor” diye ekledi.
Clop’un CLEO saldırıları, CVE-2024-50623 ve CVE-2024-55956 olarak izlenen iki yaygın güvenlik açık ve maruziyet (CVES) ile düzenlendi.
Bunlardan ilki, bir sunucuya kötü amaçlı dosyaların yüklenmesini, daha sonra uzaktan kod yürütme (RCE) kazanmak için yürütülebileceğinden emin olur. Bu sorun, otomatik dizindeki dosya yüklemelerinin yanlış işlenmesiyle ortaya çıkar ve bu da dosyaları almak veya kötü niyetli olanları yüklemek için hazırlanmış bir istek gönderilerek kullanılabilecek.
İkincisi, Autorun aracılığıyla RCE’yi etkinleştirerek, kimlik doğrulanmamış kullanıcıların Autorun Dizini’nin varsayılan ayarlarını kullanarak ana bilgisayarda keyfi BASH veya PowerShell komutlarını içe aktarmasına ve yürütmesine izin verir. Kusur ayrıca bir saldırganın veri çalmak ve yanal olarak hareket etmek için modüler Java backroors dağıtmasını sağlar.
Her ikisi için yamalar mevcuttur, ancak NCC’ye göre, CLEO kullanan birçok kuruluş gecikmeli güncellemeler veya yetersiz hafifletmeler sayesinde savunmasız kalır.
Siyasi kaosun ortasında, tehdit aktörleri ABD’ye odaklanıyor
NCC’nin bu ay verilerinde dikkat çeken, fidye yazılımı saldırılarının ABD’deki hedefleri ne ölçüde etkilediği – Kuzey Amerika, Avrupa’da% 18’e ve Asya’da% 7’si ile karşılaştırıldığında gözlemlenen olayların% 65’ini oluşturuyor.
Geçen Kasım, NCC Tehdit Darbe Raporu Benzer istatistikleri bildirdi ve yüksek saldırı hacimlerini kaotik jeopolitik manzaraya bağladı.
Bu eğilim sadece Başkan Trump Ocak 2025’te Beyaz Saray’a döndüğünden beri hız kazanıyor gibi görünüyor, aynı zamanda İran’ın nükleer hırslarını azaltma ve ABD ve Ukrayna arasındaki ilişkilerde önemli bir bozulmaya neden oldu ve Rus rejimine karşı bir çözülme.
NCC, hem İran hem de Rusya’daki tehdit aktörlerinin hızla değişen Amerikan politikasından yararlanmak için önemli “fırsatlar” gördüğünü söyledi-İran’ın durumunda Tahran’ın devlet destekli siber yeteneklerini genişletebileceğini ve Çin ile daha yakın bağlantılar arayabileceğini öne sürdü; Avrupa’da iken, Rusça konuşan siber cezai ekosistem, çözülme devam ederse belki de ABD kurbanlarını hedeflemelerini hafifletebilir.
Ancak şimdilik, Rusça konuşan fidye yazılımı çeteleri ABD hedeflerini çekmeye devam ediyor ve kısa vadede NCC, Hükümet Verimliliği Bakanlığı (DOGE) tarafından uygulanan dramatik hükümet kesintileri konusunda önemli endişeler gördüğünü söyledi. Trump tarafından kısmen Washington DC tarafından savurgan harcamalara saldırı olarak faturalandırılan Tech Oligarch Elon Musk liderliğindeki bu çabalar, binlerce hükümet işçisinin zaten ateş ettiğini gördü.
NCC, hem finansal hem de jeopolitik olarak motive olmuş tehdit aktörlerinin muhtemelen federal hükümetteki normal siber standartlardan ve süreçlerden önemli bir sapmaya yol açan karışıklık ve aksamadan yararlanmak istediğini söyledi. Stres ve belirsizlik de yıkıcı saldırıların riskini artırır ve içeriden gelen tehditlere yol açar.
Endişe verici bir şekilde, 19 yaşındaki bir Doge çalışanı, hassas hükümet BT sistemlerine üst düzey erişim sağladı.
NCC, ABD Gözetim ve Hükümet Reformu Komitesi’nin DOGE faaliyetlerinin sona ermesi çağrısında bulunduğunu ve “kritik siber güvenlik uygulamalarını pervasızca göz ardı etmesi” konusunda uyardı.