Temmuz, 441 ile 2023’teki en yüksek fidye yazılımı saldırılarından birine tanık oldu. Bu saldırıların başında yine Cl0p geliyor.
Bu makale, fidye yazılımı çeteleri tarafından Dark Web sitelerinde yayınlanan bilgileri izleyen Malwarebytes’in fidye yazılımı uzmanı Marcelo Rivero’nun araştırmasına dayanmaktadır. Bu raporda “bilinen saldırılar”, kurbanın yapmadı fidye öde. Bu, fidye yazılımı etkinliğinin en iyi genel resmini sağlar, ancak gerçek saldırı sayısı çok daha yüksektir.
Temmuz, 2023’te 441 ile en yüksek sayıda fidye yazılımı saldırısından birini gördü ve Mayıs ayında yalnızca rekor kıran 556 saldırıdan sonra ikinci oldu. Bu saldırıların başında yine Cl0p geliyor.
Haziran ayında Cl0p, MOVEit Transfer’de sıfır günlük bir istismar kullanmaları nedeniyle listelerin zirvesine çıktı ve Temmuz’daki hikaye de farklı değil. Ekip, aynı güvenlik açığını kullanarak Temmuz ayında 170 kurbana daha saldırdı; bu, MalasLockers’ın Mayıs ayındaki rekorunun sadece iki katı, tüm yıl boyunca tek bir çete tarafından gerçekleştirilen en yüksek ikinci saldırı sayısı.
Bununla birlikte, tüm Cl0p kaosunun ortasında, tanıdık bir düşman sessizce zayıflıyor gibi görünüyor: LockBit.
LockBit çetesi, gerçekleştirdiği saldırıların sayısında dört aydır istikrarlı bir düşüş yaşıyor. Nisan 2023’ten bu yana, gruptan ayda ortalama 20 saldırı düşüşü gözlemledik. LockBit’in Nisan’daki 107 saldırısı ile Temmuz’daki 41 saldırısı, etkinlikte yüzde 62’lik bir düşüşü temsil ediyor.
Daha önce LockBit’te benzer bir model gördük ve fidye yazılımı çetesi etkinliğinin gelgitler yaşaması alışılmadık bir durum değil. Yine de, LockBit’e bağlı olduğundan şüphelenilen bir kişinin geçen ay tutuklandığını belirtmekte fayda var. En azından LockBit’in Temmuz rakamları, o zaman, sadece biraz göz ardı edilmek istenmesiyle açıklanabilir.
Kasım 2022’de başka bir LockBit şüpheli üyesi tutuklandığında, grubun aktivitesinde de benzer bir tarihi düşüş gördük.
“Büyük oyun avı” sayıları
Chainanalysis tarafından Temmuz ayında yayınlanan araştırma, fidye yazılımı çetelerinin son altı ayda kurbanlardan yaklaşık 449 milyon dolar topladığını gösterdi. Bu büyük sayının arkasındaki itici güç? Chainanalysis bunun “büyük avlanma” olduğunu söylüyor. mümkün olan en büyük ödemeleri elde etmek için büyük, mali açıdan iyi durumda olan şirketleri hedefleme uygulaması.
Chainanalysis ayrıca ödemelerde 1000 doların altında bir artıştan bahsediyor, bu da daha küçük şirketlerin hala fidye yazılımı çeteleri tarafından hedef alındığı anlamına geliyor.
Geçen yılın aynı zamanlarında, toplam ödemeler 300 milyon doların biraz altındaydı – 150 milyon doların üzerinde bir fark.
Chainanalysis’e göre bu artışın olası bir nedeni, giderek daha az sayıda şirketin fidyeyi ödemeye istekli olması, fidye yazılımı çetelerinin fidye taleplerinin boyutunu artırması ve bunun da şirketlerden mümkün olan en fazla parayı sızdırma fikri olabilir. ödemeye gönüllü.
Malwarebytes’in kendi verileri, ödemelerdeki artışın, genel olarak daha fazla fidye yazılımı saldırısı olmasının da basit bir sonucu olabileceğini gösteriyor. Malwarebytes, Mart 2022’den Temmuz 2022’ye kadar toplam 1.140 fidye yazılımı saldırısı kaydetti. Mart 2023’ten Temmuz 2023’e kadar toplam 2.130 kayıt yaptık.
Muhtemelen, burada rol oynayan faktörlerin bir kombinasyonu var. Mantığımız şu şekilde ilerliyor:
Daha büyük hedefler + daha açgözlü çeteler + genel olarak daha fazla fidye yazılımı saldırısı = Tarihsel olarak yüksek ödemeler.
ABD ve İngiltere’ye yönelik saldırılar dört ayın en yüksek seviyesinde. Öte yandan, İtalya’daki saldırılarla ilgili dört ağızlı eğilimler, ülkenin en çok saldırıya uğrayan ülkeler arasında aylık “İlk Beş” arasında yeni bir müdavim olduğunu gösteriyor.
Geçen yılın Ekim ayında yayınlanan bir makalede, fidye yazılımlarının gelecekteki evrimi ve çifte haraç düzenlerinin artmasıyla birlikte giderek daha fazla çetenin şifreleyici kullanmaktan nasıl tamamen vazgeçebileceği hakkında spekülasyon yaptık. İlginç bir şekilde, Huntress tarafından geçen ay yapılan yeni araştırma, bu fikri destekliyor gibi görünüyor – bugünün en aktif fidye yazılımı çetesi tarafından örnekleniyor.
Devasa sıfır gün sömürü çılgınlıklarında, Cl0p görünüşe göre fidye yazılımı dağıtmadı. Bunun yerine grup, daha sonra kurbanlara karşı koz olarak kullanmak üzere şirket verilerini çalmaya odaklandı.
Bu hareket, önde gelen fidye yazılımı çetelerinin çoğundan önemli bir ayrılığı temsil ediyor ve kuruluşları sorunun doğasını yeniden düşünmeye zorluyor: Fidye yazılımının kendisi ile ilgili değil, ağınıza izinsiz giren bir kişi ile ilgili. Gerçekten tehlikeli olan, fidye yazılımının kendisi değil, erişim olduğu ortaya çıkıyor.
Cl0p’nin ilk erişim için sıfır günleri kullanmaya odaklanması başlı başına devrim niteliğindedir. Bunu saf bir veri sızdırma yaklaşımıyla birleştirmek, fidye yazılımı çetelerinin geleceğe yönelik işleyişinde daha da büyük bir paradigma değişikliğine işaret edebilir.
Üst düzey çetelerin yeniliklerinden bahsetmişken, geçen ay ALPHV’nin veri sızıntısı siteleri için bir API sunduğu gözlemlendi.
Yeni API, diğer siber suçluların çalınan bilgilere anında erişmesine ve karanlık ağda dağıtmasına yardımcı olan hızlı veri dağıtımı için bir kanaldır. Buradaki genel amaç – özellikle ALPHV’nin yakın zamanda ihlal edilen kozmetik şirketi Estee Lauder’dan fidye talep edemediği düşünülürse – çalınan veriler daha geniş kitlelere ulaştıkça kurbanlara ödeme yapmaları için baskı yapmak gibi görünüyor.
Hareketin işe yarayıp yaramadığını zaman gösterecek, ancak hiçbir şey olmasa bile, fidye yazılımı ödemelerinin azalmasıyla birlikte siber suçluların çaresizliğine işaret ediyor.
Yeni oyuncular
CATCUS
CACTUS, Mart 2023’te büyük ölçekli ticari operasyonlara odaklanan yeni bir fidye yazılımı türü olarak ortaya çıktı. Geçen ay, sızıntı sitelerinde 18 kurban yayınladılar.
Bu çete, sistemlere sızmak için VPN’lerde bulunan iyi bilinen güvenlik açıklarından yararlanır. CACTUS operatörleri bir ağa erişim sağladıktan sonra, yerel ve ağ kullanıcı hesaplarını ve erişilebilir uç noktaları sıralarlar. Bunu takiben, yeni kullanıcı hesapları oluştururlar ve fidye yazılımı şifreleyicilerini kullanırlar. CACTUS’un benzersizliği, fidye yazılımının programlanmış görevler aracılığıyla serbest bırakılmasını ve etkinleştirilmesini otomatikleştiren özel komut dizilerini kullanmasında yatmaktadır.
CACTUS sızıntı sitesi
Tepegöz/Şövalye
Yeraltı dünyası Cyclops’tan Mayıs 2023’te haberdar olsa da, faaliyetlerine dair kanıtlar ancak yeni kurbanların detaylarının karanlık ağ portallarında görünmesiyle su yüzüne çıktı. Ayrıca, marka bilinci oluşturmada “Şövalye” olarak geçiş yaptıklarını duyurdular. Geçen ay, sızıntı sitelerinde 6 kurban yayınladılar.
Bu fidye yazılımı çok yönlüdür ve Windows, Linux ve macOS sistemlerini benzer şekilde ele geçirebilir. Cyclops, yürütme ikili dosyasının şifresini çözmek için benzersiz bir anahtarı zorunlu kılan karmaşık şifreleme metodolojisiyle öne çıkıyor. Cyclops ayrıca hassas bilgileri ayıklamak ve aktarmak için tasarlanmış ayrı bir hırsız bileşeni ile donatılmıştır.
Cyclops/Knight sızıntı sitesi
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri algıla. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışı, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE