ABD Federal Soruşturma Bürosu (FBI) Pazartesi günü, Dispossessor (diğer adıyla Radar) adlı yeni bir fidye yazılımı grubuyla ilişkili çevrimiçi altyapının kesintiye uğradığını duyurdu.
Bu çaba, üç ABD sunucusunun, üç Birleşik Krallık sunucusunun, 18 Alman sunucusunun, sekiz ABD tabanlı suç alanının ve bir Alman tabanlı suç alanının kaldırılmasını gördü. Dispossessor’ın, çevrimiçi “Brain” takma adıyla bilinen kişi(ler) tarafından yönetildiği söyleniyor.
FBI yaptığı açıklamada, “Radar/Dispossessor, Ağustos 2023’teki kuruluşundan bu yana hızla uluslararası düzeyde etkili bir fidye yazılımı grubuna dönüştü; üretim, geliştirme, eğitim, sağlık, finansal hizmetler ve ulaşım sektörlerindeki küçük ve orta ölçekli işletmeleri ve kuruluşları hedef alıyor ve saldırıyor” dedi.
Dispossessor saldırılarının kurbanı olarak Arjantin, Avustralya, Belçika, Brezilya, Kanada, Hırvatistan, Almanya, Honduras, Hindistan, Peru, Polonya, BAE, İngiltere ve ABD’de bulunan şirketler de dahil olmak üzere 43 şirket tespit edildi.
Dispossessor, ilk olarak Ağustos 2023’te diğer e-suç çetelerinin öncülük ettiği aynı ikili gasp modelini izleyen bir fidye yazılımı hizmeti (RaaS) grubu olarak ortaya çıktı. Bu tür saldırılar, sistemlerini şifrelemenin yanı sıra fidye için kurban verilerini sızdırarak çalışır. Uzlaşmayı reddeden kullanıcılar, verilerinin ifşa edilmesiyle tehdit edilir.
Tehdit aktörleri tarafından başlatılan saldırı zincirlerinin, güvenlik açıkları veya zayıf parolalar içeren sistemleri hedeflere erişmek ve verilerini şifreleme bariyerlerinin arkasına kilitlemek için bir giriş noktası olarak kullandıkları gözlemlendi.
FBI, “Şirket saldırıya uğradığında, suçluyla iletişime geçmezse grup, mağdur şirketteki diğer kişilerle e-posta veya telefon görüşmesi yoluyla proaktif bir şekilde iletişime geçiyordu” dedi.
“E-postalar ayrıca daha önce çalınan dosyaların sunulduğu video platformlarına bağlantılar içeriyordu. Bu her zaman şantaj baskısını artırma ve ödeme isteğini yükseltme amacı taşıyordu.”
Siber güvenlik şirketi SentinelOne’ın daha önce yayınladığı raporda, Dispossessor grubunun daha önceden sızdırılmış verileri indirip satmak için reklamını yaptığı belirtilmiş ve grubun “Cl0p, Hunters International ve 8Base gibi diğer operasyonlarla ilişkilendirilen verileri yeniden yayınladığı” ifade edilmişti.
Bu tür kaldırma işlemlerinin sıklığı, tehdit aktörlerinin sürekli değişen ortamda yenilik yapmanın ve gelişmenin yollarını bulmasına rağmen, dünya çapında kolluk kuvvetlerinin kalıcı fidye yazılımı tehdidiyle mücadele çabalarını artırdığının bir başka göstergesi.
Bu, yükleniciler ve servis sağlayıcılar aracılığıyla gerçekleştirilen saldırılarda bir artışı da içeriyor ve tehdit aktörlerinin güvenilir ilişkileri kendi avantajlarına nasıl silah olarak kullandıklarını vurguluyor, çünkü “bu yaklaşım, daha az çabayla büyük ölçekli saldırıları kolaylaştırıyor ve genellikle veri sızıntıları veya şifrelenmiş veriler keşfedilene kadar tespit edilemiyor.”
Palo Alto Networks Unit 42’nin sızıntı sitelerinden topladığı verilere göre, 2024’ün ilk yarısında fidye yazılımlarından en çok etkilenen sektörler imalat (%16,4), sağlık (%9,6) ve inşaat (%9,4) oldu.
Bu dönemde en çok hedef alınan ülkeler arasında ABD, Kanada, İngiltere, Almanya, İtalya, Fransa, İspanya, Brezilya, Avustralya ve Belçika yer aldı.
Şirket, “Yeni açıklanan güvenlik açıkları, saldırganların bu fırsatları hızla istismar etmek için harekete geçmesiyle birlikte fidye yazılımı faaliyetlerinin başlıca nedeni oldu” dedi. “Tehdit aktörleri, kurban ağlarına erişmek, ayrıcalıkları yükseltmek ve ihlal edilen ortamlarda yatay olarak hareket etmek için düzenli olarak güvenlik açıklarını hedef alıyor.”
Rapid7’ye göre, dikkat çekici bir eğilim, toplam 68 benzersiz gruptan 21’ini oluşturan yeni (veya yenilenen) fidye yazılımı gruplarının ortaya çıkması ve daha küçük kuruluşların hedef alınmasının artmasıdır.
“Bunun birçok nedeni olabilir, bunların en önemlisi de bu küçük kuruluşların tehdit aktörlerinin peşinde olduğu verilerin çoğunu barındırmaları, ancak genellikle daha az olgunlaşmış güvenlik önlemlerine sahip olmalarıdır” denildi.
Bir diğer önemli husus ise RaaS iş modellerinin profesyonelleşmesidir. Fidye yazılımı grupları yalnızca daha karmaşık olmakla kalmıyor, aynı zamanda meşru kurumsal işletmelere benzeyen operasyonlarını giderek daha fazla ölçeklendiriyorlar.
Rapid7, “Kendi pazar yerleri var, kendi ürünlerini satıyorlar ve bazı durumlarda 7/24 destek sağlıyorlar,” diye belirtti. “Ayrıca, dağıttıkları fidye yazılımlarında bir işbirliği ve konsolidasyon ekosistemi yaratıyor gibi görünüyorlar.”