Mayıs ayında rekor sayıda 556 fidye yazılımı kurbanı bildirildi, İtalya ve Rusya’nın ana hedefler olarak alışılmadık şekilde ortaya çıkışı ve eğitim sektörüne yönelik saldırılarda önemli bir artış görüldü.
Bu makale, fidye yazılımı çeteleri tarafından Dark Web sitelerinde yayınlanan bilgileri izleyen Malwarebytes’in fidye yazılımı uzmanı Marcelo Rivero’nun araştırmasına dayanmaktadır. Bu raporda “bilinen saldırılar”, kurbanın fidye ödemediği saldırılardır. Bu, fidye yazılımı etkinliğinin en iyi genel resmini sağlar, ancak gerçek saldırı sayısı çok daha yüksektir.
Genellikle fidye yazılımlarının kralı olan Lockbit, Mayıs ayında MalasLocker’da amansız bir rakip buldu. Geçen ay ayrıca rekor sayıda 556 fidye yazılımı kurbanı olduğu bildirildi, İtalya ve Rusya’nın ana hedefler olarak alışılmadık şekilde ortaya çıkışına ve eğitim sektörüne yönelik saldırılarda önemli bir artışa tanık oldu.
Geçen ay toplam 171 kurbanla sahneye çıkan MalasLocker’a geçelim – LockBit’i (76) neredeyse 100 bilinen saldırıyla geride bırakalım.
Bu, bu yıl bir çetenin LockBit’i elden geçirip aylık listelerimizde en üst sıraya tırmandığı ilk sefer değil. Nisan ayında Cl0p, yaygın olarak kullanılan yönetilen dosya aktarım yazılımı GoAnywhere MFT’de sıfır gün güvenlik açığıyla 100’den fazla kurbanı riske atarak bir numaraya yükseldi.
Bu ay, MalasLocker’ın zirveye hızlı yükselişi de benzer şekilde açıklanabilir.
MalasLocker, uzaktan kod yürütmeyi (RCE) etkinleştirmek için Zimbra sunucularındaki CVE-2022-24682 dahil olmak üzere güvenlik açıklarına saldırdı. Eskiden Zimbra Collaboration Suite (ZCS) olarak bilinen Zimbra Collaboration, bir e-posta sunucusu ve bir web istemcisi içeren ortak çalışmaya dayalı bir yazılım paketidir.
Ancak MalasLocker’ı en çok ayıran şey, benzersiz “hayırsever” yönüdür. Fidye talep etmek yerine kurbanlardan onaylı hayır kurumlarına bağışta bulunmalarını istedi.
Söylemeye gerek yok, bir fidye yazılımı çetesinin kuruluşlara özgecil gerekçelerle saldırdığını iddia etmesi son derece alışılmadık bir durumdur. 2022’nin başlarında çetelerin izini sürdüğümüzden beri bir kez bile görmedik.
MalasLocker fidye notu README.txt’te “Geleneksel fidye yazılımı gruplarının aksine, sizden bize para göndermenizi istemiyoruz. Biz yalnızca şirketlerden ve ekonomik eşitsizlikten hoşlanmıyoruz” diyor.
Esas olarak şirketlere ve ekonomik eşitsizliğe karşı çıkan bir fidye yazılımı çetesinin orantısız bir şekilde daha büyük ve daha zengin kuruluşları hedef alabileceği varsayılabilir, ancak durum bu olmayabilir. Çetenin blogu, “Latin Amerika, Afrika veya diğer sömürgeleştirilmiş ülkelerde” bulunmadıkları sürece her büyüklükteki işletmeyi hedef almaya açık olduğunu öne sürüyor.
MalasLocker’ın sözde özgeciliği bizi hiç etkilemedi. Fidye yazılımı çeteleri (ve genel olarak siber suçlular), suç faaliyetlerini gösterişli iddialarla haklı gösteren uzun ve sıkıcı yazılar yazma konusunda uzun ve hikâyeli bir geçmişe sahiptir.
MalasLocker farklı değil. Manifestosunu siz buna gerek kalmasın diye okuyoruz ve dikkat etmeniz gereken tek satır “böylece başka bir fidye yazılımı grubu olacağız” yazan satır.
Şimdiye kadar, bir kurban bir hayır kurumuna para bağışladığında MalasLocker’ın şifre çözücü sözünü tuttuğuna dair bir onayımız yok.
İtalya ve Rusya hedef olarak beliriyor
Mayıs ayında İtalya ve Rusya’da fidye yazılımı etkinliğindeki artış dikkat çekici. Her iki ülke de Mayıs ayında, tipik olarak ABD ve Birleşik Krallık’ın hakim olduğu bir liste olan, en çok hedef alınan ilk üç ülke arasına girdi.
İtalya, bir önceki aya göre altı kattan fazla artış gördü ve Rusya, bildirilen sıfır saldırıdan tek bir ayda 50’ye çıktı. Karşılaştırma için, İtalya’da Nisan ayında bildirilen yalnızca sekiz fidye yazılımı olayı varken, Rusya listede bile yer almıyor. Benzer şekilde, Mart ayında Rusya’da bildirilen herhangi bir olay olmadı ve İtalya’da sadece sekiz olay yaşandı.
Bu iki ülkeye yönelik saldırılardaki artış, tamamen Rusya ve İtalya’da herhangi bir yerden daha fazla hedefi vuran MalasLocker’dan kaynaklanıyor. Bunun kasıtlı bir hedefleme meselesi olmadığını, sadece savunmasız hedeflerin nerede olduğu meselesi olduğunu varsayıyoruz.
Ülkelere göre bilinen MalasLocker saldırıları, Mayıs 2023
Geleneksel olarak, çoğu fidye yazılımı çetesi, normalde onlara göz yuman yerel yetkililerin dikkatini çekmemek için Rusya’yı ve Bağımsız Devletler Topluluğu’nu (CIS) hedef almaktan kaçınır.
Ya MalasLocker BDT merkezli değildir ve bu nedenle Federal Güvenlik Servisi’nden (FSB) korkmaz ya da fidye yazılımı tablolarında çok kısa bir süre kalacaklardır.
Eğitime yönelik artan fidye yazılımı saldırıları
Mayıs ayında eğitim sektörüne yönelik fidye yazılımı saldırılarındaki artış özellikle endişe verici. Mayıs ayında bilinen 30 saldırı görüldü; 2022’nin başlarında kayıt tutmaya başladığımızdan bu yana tek bir ayda gördüğümüz en yüksek saldırı ve son on iki ayda sürekli artış görülen bir trendin devamı.
Eğitime yönelik bilinen fidye yazılımı saldırıları, Haziran 2022-Mayıs 2023
Haziran 2022 ile Mayıs 2023 arasında Vice Society, diğer tüm çetelerden daha fazla eğitim hedefine saldırdı; bu, her yerdeki okulları, kolejleri ve üniversiteleri alarma geçirmesi gereken bir uzmanlık alanıdır.
Yeni bir norm mu?
Fidye yazılımı çeteleri yeni bir yöntem benimsiyor gibi görünüyor: Çok hedefli saldırılar için bilinen güvenlik açıklarından yararlanma. Bu yıl, Cl0p ve MalasLocker’ın belirli sistem zayıflıklarını hedefleyerek (muhtemelen otomatikleştirilmiş) birden çok hedefe aynı anda saldırdığını, fidye yazılımı operasyonlarının ölçeğini ve etkisini genişlettiğini gördük.
Örneğin Cl0p, Accellion FTA ve GoAnywhere MFT gibi platformlardan yararlanma geçmişine sahiptir. Nisan ayında, başka bir popüler platform olan PaperCut’taki bir güvenlik açığına odaklandı.
Haziran ayında bu raporu hazırlarken, Cl0p’nin bu kez yaygın olarak kullanılan dosya aktarım yazılımı MOVEit Transfer’deki bir başka güvenlik açığından yararlandığı ortaya çıktı. Ekip, 27 Mayıs’ta ABD Anma Günü tatili sırasında güvenlik açığından yararlanmaya başladı.
31 Mayıs 2023’te Progress Software tarafından yayınlanan bir güvenlik bülteninde şunlar belirtiliyor:
“MOVEit Transfer web uygulamasında, kimliği doğrulanmamış bir saldırganın MOVEit Transfer veritabanına yetkisiz erişim elde etmesine olanak verebilecek bir SQL enjeksiyon güvenlik açığı bulundu. Kullanılan veritabanı motoruna (MySQL, Microsoft SQL Server veya Azure SQL) bağlı olarak, bir saldırgan, veritabanı öğelerini değiştiren veya silen SQL deyimlerini yürütmenin yanı sıra veritabanının yapısı ve içeriği hakkında bilgi edinebilir.”
Bu yaklaşım sıra dışıdır ve fidye yazılımı saldırılarını daha ölçeklenebilir hale getirme potansiyeline sahip olduğu için hepimizi ilgilendirmelidir.
Yeni oyuncular
Siyah takım elbise
BlackSuit, Royal’e çarpıcı biçimde benzeyen yeni bir fidye yazılımıdır ve kodunun %98’ini paylaşır. Geçen ay, BlackSuit hem Windows hem de Linux sunucularını hedef aldı.
BalckSuit, Royal’in yazarları tarafından geliştirilen yeni bir varyant, benzer kodu kullanan bir taklit girişimi, Royal fidye yazılımı çetesinin kendi modifikasyonlarını çalıştıran bir üyesi veya hatta Royal fidye yazılımı çetesinden ayrılan bir grup olabilir.
Rancoz
Rancoz, Vice Society ile benzerlikler paylaşan yeni bir fidye yazılımı çeşididir. Gelişmişliği, mevcut kodu sızan kaynak kodlarından belirli sektörleri, kuruluşları veya coğrafi bölgeleri hedef alacak şekilde değiştirerek saldırı etkinliğini ve tespitten kaçma yeteneğini artırma becerisinde yatmaktadır.
8TABAN
8Base, yakın zamanda dikkat çekmesine rağmen Nisan 2022’den beri faaliyette olan yeni keşfedilen bir fidye yazılımı çetesidir. Mayıs ayında toplam 67 kurbanı oldu.
Ağırlıklı olarak küçük ve orta ölçekli işletmeleri (KOBİ’ler) hedefleyen 8Base, bilinen saldırıların %36’sını oluşturan Profesyonel/Bilimsel/Teknik sektördeki şirketlere saldırdı ve ardından %17 ile İmalat izledi. Kurbanların coğrafi analizi, Amerika Birleşik Devletleri ve Brezilya’nın en çok hedef alınan ülkeler olduğu Amerika ve Avrupa’da bir yoğunlaşma olduğunu gösteriyor.
RA Grubu
RA Group, saldırılarını öncelikle Amerika Birleşik Devletleri ve Güney Kore’de bulunan ilaç, sigorta, servet yönetimi ve üretim firmalarına odaklayan yeni bir fidye yazılımıdır.
RA Group, 2021’de sona eren bir operasyon olan Babuk fidye yazılımının sızdırılmış kaynak kodundan türetilen bir şifreleyici kullanır. Şifreleyici, şifreleme sürecini hızlandırmak için bir dosyanın bazı bölümlerini şifrelemek ve şifrelememek arasında geçiş yapan, ancak bazı veriler bırakan aralıklı şifreleme kullanır. kısmen kurtarılabilir.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri algıla. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışı, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE