Ryuk, Conti ve Diavol gibi gruplarla ilişkili fidye yazılımı iştirakleri, sofistike gasp kampanyalarını kolaylaştırmak için giderek daha fazla modüler Trickbot kötü amaçlı yazılımlara güvenerek, 724 milyon ABD doları kripto para hırsızlığı ile sonuçlandı.
Başlangıçta 2016 yılında bir bankacılık truva atı olarak ortaya çıkan Trickbot, tehlikeye atılan ağlar içindeki başlangıç erişimini, kimlik bilgisi hırsızlığını ve yanal hareketi destekleyen çok yönlü bir kötü amaçlı yazılım platformuna dönüştü.
Rus istihbarat hizmetleriyle bağları koruyan Sihirbaz Örümcek Siber Sendikası tarafından işletilen TrickBot, saldırganların kritik altyapıdaki güvenlik açıklarını, özellikle sağlık sistemlerinde kullanarak fidye yazılımı yüklerini dağıtmalarını sağlar.
Güvenlik araştırmacılarının son gözlemleri, bu kötü amaçlı yazılım ailesiyle bağlantılı suşlarla, anonim kripto para birimi işlemleri yoluyla büyük miktarlar ile bağlantılı, finansal motivasyon ve gelişmiş kalıcı tehditlerin vurgulanmasının altını çizerek kalıcılığını vurgulamaktadır.
Fidye yazılımı işlemlerinde hile botunun evrimi
Trickbot’un teknik gücü, modüler mimarisinde yatıyor ve operatörlerin belirli saldırı vektörleri için yükleri özelleştirmesine izin veriyor.
Örneğin, Windowsupdate planlanan görevler gibi meşru süreçler olarak maskelenirken, API çekiçle tekrarlayan Benign API’nin yürütme ve son nokta tespiti ve yanıt (EDR) sistemlerini geciktirme çağrıları gibi kaçınma tekniklerini kullanır.
Yakın tarihli bir olayda, analistler, kötü niyetli bir DLL, Windows Kayıt Defterinde COM nesnesi kaydı için bir yarasa komut dosyası ve uygulanabilir bir SQL kabuğunu taklit eden yürütülebilir bir SQL kabuğunu içeren beş varlıkta bu tür dört kötü niyetli görev tespit ettiler.
Akamai raporuna göre, bu kurulum sadece kalıcılığı kolaylaştırmakla kalmaz, aynı zamanda fidye yazılımlarının erişimini artırarak yanal yayılmayı da sağlar.
Kötü amaçlı yazılımların Hizmet Olarak Fidye Yazılımı (RAAS) ekosistemleriyle entegrasyonu, yüksek bahisli saldırıları demokratikleştirerek daha az teknik olarak yetersiz bağlı kuruluşların gizlilik odaklı kripto para birimlerinde fidye talep eden kampanyalar yürütmesine izin verdi, böylece izlenebilirlikten kaçındı.
Azaltma zorlukları
Trickbot özellikli fidye yazılımlarının finansal yankıları, 724 milyon doları aşan gasp, genellikle izlenemez kanallar aracılığıyla huni olan şaşırtıcı oldu.
Mayıs 2025’te Europol ve Eurojust tarafından yönetilen Endgame 2.0 Operasyonu gibi aksamalar, HileBot’un altyapısını hedefledi, ancak önceki yayından kaldırmalardan hızlı iyileşme ile gösterilen kötü amaçlı yazılımların bu tür tehditlerin ortadan kaldırılmasındaki zorlukları vurgulamaktadır.
Diavol dahil olmak üzere hile botundan yararlanan gruplar, gizli yürütme için, arazi ikili ikili (Lolbins) gibi devlet destekli aktörlerinkini yansıtan taktikler, teknikler ve prosedürler (TTP’ler) kullanır ve ayrıcalıkları artırmak için kimlik bilgisi.
Bu yakınsama, veri şifrelemesini çok verimli yöntemlerle birleştiren, kurbanlara GDPR ve HIPAA gibi çerçeveler altında düzenleyici ihlal tehditleri yoluyla baskı yapan saldırılarda görüldüğü gibi, siber suç ve jeopolitik hacktivizm arasındaki çizgileri bulanıklaştırıyor.
Bu tehditlerin hafifletilmesi, gerçek zamanlı anomali tanımlaması için AI-güçlü tespitin yanı sıra ağları segmentlere ayıran ve yanal hareketi önlemek için sıfır güven mimarilerini dahil eden çok katmanlı bir savunma stratejisi gerektirir.
Kuruluşlara, API çekiçleme ve diğer kaçınma taktiklerine karşı koymak için mikrosegmentasyon, düzenli güvenlik açığı taraması ve sağlam yedekleme protokolleri uygulamaları tavsiye edilir.
Kolluk başarılarına rağmen, RAAS modelinin erişilebilirliği Trickbot’un çoğalmasını artırmaya devam ediyor ve bu suç ağlarını bozmak için proaktif tehdit avı ve uluslararası işbirliğine duyulan ihtiyacı vurguluyor.
Fidye yazılımı üretken AI geliştirmeleri ile geliştikçe, kapsamlı olay müdahale planları yoluyla dayanıklılık oluşturmak operasyonel aksamaları ve finansal kayıpları en aza indirmek için kritik öneme sahiptir.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!