Fidye yazılımı incelemesi: Eylül 2023

   Eylül 13, 2023  Posted in MalwareBytes


Ağustos ayındaki fidye yazılımı haberleri, CL0P’nin aylık en aktif çeteler listesinden ani düşüşüyle ​​öne çıkarken, Lockbit bir numaraya geri döndü.

Bu makale, fidye yazılımı çetelerinin Dark Web sitelerinde yayınladığı bilgileri izleyen Malwarebytes’in fidye yazılımı uzmanı Marcelo Rivero’nun araştırmasına dayanmaktadır. Bu raporda “bilinen saldırılar”, mağdurun yapmadım fidye öde. Bu, fidye yazılımı etkinliğine ilişkin en iyi genel tabloyu sağlar ancak gerçek saldırı sayısı çok daha yüksektir.

Ağustos ayındaki fidye yazılımı haberleri, CL0P’nin herhangi bir aydaki en aktif çeteler listesinden ani düşüşüyle ​​öne çıkarken, Lockbit faaliyetteki dört aylık istikrarlı düşüşün ardından bir numaraya geri döndü.

CL0P, geçtiğimiz ay sızıntı sitesinde yalnızca dört kurbanın verilerini yayınladı; bu rakam Haziran’da bilinen 91 kurban ve Temmuz’da bilinen 170 kurbandı. Haziran ayında CL0p, MOVEit Transfer’de sıfır gün açığını kullanması nedeniyle listelerin zirvesine çıktı ve bu saldırıların kurbanları Temmuz ayında da yayınlanmaya devam etti.

CL0P’nin saldırılara yönelik güvenlik açığı odaklı yaklaşımının azalan getirileri olduğu göz önüne alındığında, bu çarpıcı düşüş çok da şaşırtıcı değil. Daha fazla kuruluş CL0P’nin keşfettiği sıfır gün farkına varıp yama uyguladıkça, CL0P’nin sıfır gün kampanyası daha az ivme kazandı ve daha az risk altındaki hedefle karşılaştı. Bu yılın başlarında GoAnywhere MFT sıfır gün kullanarak 104 kurbanı hedefledikten sonra CL0P’nin varlığının Nisan ve Mayıs aylarında neredeyse ortadan kaybolmasıyla benzer bir eğilime tanık olduk, çünkü kuruluşlar muhtemelen bu güvenlik açığını fark edip yama yaptı.

Öte yandan Lockbit, aylık listelerde her zamanki bir numaralı yerini geri kazanmak için geçen ay sızıntı sitesinde toplam 124 kurban yayınladı. Saldırılardaki bu ani artıştan önce, Nisan 2023’ten bu yana gruptan ayda ortalama 20 saldırı düşüşü gözlemliyorduk.

Çetenin yaptığı bilinen fidye yazılımı saldırıları, Ağustos 2023
Çetenin yaptığı bilinen fidye yazılımı saldırıları, Ağustos 2023
Ülkelere göre bilinen fidye yazılımı saldırıları, Ağustos 2023
Ülkelere göre bilinen fidye yazılımı saldırıları, Ağustos 2023
Endüstri sektörü tarafından bilinen fidye yazılımı saldırıları, Ağustos 2023
Endüstri sektörü tarafından bilinen fidye yazılımı saldırıları, Ağustos 2023

Geçen ayki incelememizde düşüş eğiliminin nedenleri üzerine spekülasyonlar yapmıştık, örneğin bunun yakın zamanda gerçekleşen bir üye tutuklamasıyla ilgili olması gibi, ancak geçen ay yayınlanan ilginç araştırma da diğer yanıtlara dair ipucu verebilir.

Araştırmacı Jon DiMaggio, “Fidye Yazılımı Günlükleri” serisinin üçüncü kurulumunda, Lockbit’in iddia edilen dahili istikrarsızlığının boyutunu ortaya koyuyor; buna, görünen depolama sınırlamaları ve yavaş tepki sürelerinin, bağlı şirketlerin onu rakiplerine bırakmasına nasıl yol açtığı da dahil. Lockbit’ten daha fazla hayal kırıklığına uğramış müşteri ayrılıyorsa, bu durum aylık aktivite düşüşlerine yeni ve olası bir açıklama olabilir.

Ancak Lockbit’in mevcut operasyonlarının gerçek gücü hakkında daha iyi bir fikir edinmek için herhangi bir düşüş dönemini tipik aylık saldırı sayısıyla karşılaştırabiliriz. Örneğin Mart 2022’ye kadar uzanan veriler, ortalama saldırı sayısının ayda 67 civarında olduğunu gösteriyor. Nisan 2023’ten Temmuz 2023’e kadar ortalama saldırı sayısı aslında bundan biraz daha yüksekti (ayda 69 saldırı). Bu da düşüşün daha az önemli görünmesine neden oluyor. Başka bir deyişle, Lockbit şu anda iç istikrarsızlıkla boğuşuyor olsa da bunun aylık sayılara etkisi uzun vadede önemsiz görünüyor.

LockBit’in depolama sunucusu zorluklarıyla çelişen şekilde, CL0P’nin geçen ay torrent kullanmaya yönelik son hamlesi, fidye yazılımı çetelerinin depolama sınırlamalarını aşmak için kullandığı gelişen taktiklerin altını çiziyor.

Fidye yazılımı çeteleri büyük şirketlerden veri çalarken, bilginin boyutu çok büyük depolama kapasiteleri gerektiriyor. AWS ve Azure gibi geleneksel bulut hizmetleri yalnızca yüksek maliyetler getirmekle kalmıyor, aynı zamanda kayıt sırasında kişisel tanımlayıcı bilgiler (PII) ve kredi kartı ayrıntıları (kanuni yaptırımlar tarafından kolayca mahkemeye çağrılabilecek bilgiler) talep ediyor. Öte yandan torrent hizmeti, verileri tek bir sunucu yerine birden fazla yakın konumdan alarak indirme işlemlerini optimize eder.

Torrent, verilerin eşler arası ağdaki tüm katılımcı düğümlere dağıtılmasını gerektirdiğinden, fidye yazılımı çeteleri, depolama ve bant genişliği zorluklarını aşarken aynı zamanda kanun yaptırımlarından daha iyi kaçabilir. Ayrıca, daha fazla üst düzey fidye yazılımı çetesi CL0p’nin izinden gidebilir ve çalınan verileri dağıtmak için torrentlere daha fazla güvenmeye başlayabilirse, kurbanlar, verileri daha geniş çapta kullanılabilir hale geldikçe fidye ödeme konusunda daha fazla baskı hissedebilirler.

Yeni gelenler

Pelerin

CloAk, 2022 sonu ile 2023 başı arasında ortaya çıkan nispeten yeni bir fidye yazılımı grubudur. Ağustos 2023’te grup, çoğunluğu Avrupa’dan ve özellikle Almanya’ya odaklanan 25 kurbanın verilerini yayınladı.

CloAk sızıntı sitesi

Meta şifreleyici

Metaencryptor, Ağustos 2023’te 12 kurbanın verilerini yayınlayan yeni bir fidye yazılımı çetesidir.

Metaencryptor sızıntı sitesi

RansomedVC

RansomedVC, geçen ay dokuz kurbanın verilerini sızıntı sitesinde yayınlayan yeni bir grup. Grup, diğer fidye yazılımı aktörlerinin en sevdiği ideolojiyi benimsedi: “Sızma testi”nden başka bir şey değiller ve kurbanların ağlarında buldukları herhangi bir güvenlik açığının da Avrupa’nın mevzuatına uygun olarak rapor edilmesi gerektiğini iddia ederek bir değişiklik daha ekledi. Genel Veri Koruma Yönetmeliği (GDPR). RansomedVC kendilerini “barış için dijital vergi” hizmeti olarak tanıtıyor ve mağdurları, fidyenin ödenmemesi halinde veri ihlali cezalarıyla tehdit ediyor.

RansomedVC sızıntı sitesi

INC Fidye

INC Ransom, ağustos ayında sızıntı sitesinde üç kurban yayınlayan fidye yazılımı sahnesine geçen ay yeni katılanlardan biri.

INC Ransomware sızıntı sitesi

Fidye yazılımından nasıl kaçınılır

  • Yaygın giriş biçimlerini engelle. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; Fidye yazılımı sunmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
  • İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR’yi kullanın.
  • Kötü amaçlı şifrelemeyi durdur. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği kullanan ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri döndüren Malwarebytes EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
  • Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
  • İki kez saldırıya uğramayın. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.

Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.

ŞİMDİ DENE



Source link