Fidye yazılımı çeteleri, son siber güvenlik analizlerine göre, ilk sistem uzlaşması ile şifreleme konuşlandırılması arasındaki dönem olan ortalama ransom (TTR) ile operasyonlarını hızlandırıyor.
Bu, saldırganların keşif ve kontrolü en üst düzeye çıkarmak için günler veya haftalar boyunca genellikle ağlarda gizlendiği önceki taktiklerden önemli bir değişime işaret ediyor.
Akira, Play ve Dharma/Crysis gibi bazı gruplar, TTR’lerini 4-6 saat gibi aza indirerek operasyonel verimliliklerini ve uyarlanabilirliklerini sergiledi.
Bu hızlı yürütme, müdahaleleri tespit etmek ve bunlara yanıt vermek için organizasyonları küçülen bir pencere bırakır.
Eğilim, hedeflerine hızlı bir şekilde ulaşmak için ileri araç ve tekniklerden yararlanan fidye yazılım gruplarının artan karmaşıklığını vurgulamaktadır.
Taktik Değişmeler: Şifrelemeden Veri Defiltrasyonuna
Şifreleme birçok fidye yazılımı operatörü için temel bir strateji olmaya devam ederken, veri açığa çıkma ve gasp için belirgin bir pivot vardır.
Bianlian gibi gruplar, şifrelemeyi tamamen depresyonize ettiler, bunun yerine hassas verileri çalmaya ve fidye ödenmedikçe serbest bırakmakla tehdit ediyor.
Araştırmacılara göre, bu değişim, geleneksel şifreleme saldırılarını daha zor hale getiren uç nokta tespit ve yanıt (EDR) sistemleri gibi gelişmiş kurumsal savunmalara bir uyarlamayı yansıtmaktadır.
Rekabetçi fidye yazılımı ekosistemi de yeniliği yönlendirdi. Tespit mekanizmalarının önünde kalmayan kötü amaçlı yazılım aileleri eskimeyi riske atar.
Sonuç olarak, saldırganlar giderek daha fazla “topraktan yaşamak” teknikleri gibi gizli taktiklere güveniyor, meşru idari araçları kötüye kullanıyor ve kalıcılık ve yanal hareket için PowerShell ve JavaScript gibi komut dosyası dillerinden yararlanıyorlar.
Güvenlik Açıklarından yararlanmak: Zamana Karşı Bir Yarış
Fidye yazılımı çeteleri genellikle uzaktan izleme ve yönetim (RMM) araçlarındaki güvenlik açıklarından yararlanır veya ağlara sızmak için başlangıç erişim brokerlerini kullanır.
İçeri girdikten sonra ayrıcalıkları artırır, verileri dışarı atarlar, güvenlik önlemlerini devre dışı bırakır ve fidye yazılımı yüklerini dağıtırlar.
Azaltılmış TTR, saldırı zincirinin her aşamasında sağlam savunmaların öneminin altını çiziyor.
Kuruluşlar proaktif tehdit algılamasına ve riskleri azaltmaya hızlı olay tepkisine öncelik vermelidir.
Özellikle, örgütsel savunmaların zayıf olduğu saatler veya tatiller sırasında sıklıkla saldırılar meydana gelir.
Vakaların% 76’sı, şifreleme hafta sonları veya çalışma saatlerinden sonra başlar ve tespit ve yanıt için personel kullanılabilirliğini azaltır.
Fidye yazılımı gruplarının gelişen taktikleri, örgütsel savunmalardaki kritik boşlukları vurgulamaktadır.
EDR sistemleri önemli ölçüde iyileşmiş olsa da, veri kaybını önleme (DLP) teknolojileri birçok ortamda az gelişmiş kalmaktadır.
Bu dengesizlik, kuruluşları şifreleme engellense bile veri hırsızlığına karşı savunmasız bırakır.
Bu tehditlere etkili bir şekilde karşı koymak:
- Gerçek Zamanlı İzleme: Anomalileri günün her saatinde tespit edebilen otonom sistemleri dağıtın.
- Katmanlı savunmalar: EDR’yi güçlü ağ segmentasyonu ve normal yama yönetimi ile birleştirin.
- Kullanıcı eğitimi: Çalışanları kimlik avı girişimlerini ve diğer ortak saldırı vektörlerini tanımaları için eğitin.
Fidye yazılımı çeteleri yöntemlerini geliştirmeye devam ettikçe, kapsamlı siber güvenlik stratejilerine duyulan ihtiyaç hiç bu kadar acil olmamıştı.
Kuruluşlar bu yüksek hızlı tehdit manzarasına veya riskli yıkıcı sonuçlara hızlı bir şekilde uyum sağlamalıdır.