Fidye yazılımı incelemesi: Mart 2023

   Mart 9, 2023  Posted in MalwareBytes


Şubat 2023’te LockBit için rekor sayıda kurban, rekor düzeyde yüksek bir fidye talebi ve Oakland Şehri’ne yönelik yıkıcı bir saldırı görüldü.

Bu makale, fidye yazılımı çeteleri tarafından Dark Web sızıntı sitelerinde yayınlanan bilgileri izleyerek fidye yazılımı etkinliğinin aylık bir resmini oluşturan Malwarebytes’in fidye yazılımı uzmanı Marcelo Rivero’nun araştırmasına dayanmaktadır. Bu bilgiler, başarılı bir şekilde saldırıya uğrayan ancak fidye ödememeyi seçen kurbanları temsil eder.

Görünüşe göre LockBit, onları 2023’te işletmelerin karşı karşıya olduğu en ciddi beş siber tehditten biri olarak taçlandırmamızla yetinmedi. Şubat ayında, en yaygın kullanılan hizmet olarak fidye yazılımı (RaaS) toplam 126 kurban bildirdi. sızıntı sitesinde – Şubat 2022’de sızıntıları izlemeye başladığımızdan bu yana rekor bir seviye.

Çete tarafından bilinen fidye yazılımı saldırıları, Şubat 2023
Çete tarafından bilinen fidye yazılımı saldırıları, Şubat 2023
Ülkelere göre bilinen fidye yazılımı saldırıları, Şubat 2023Ülkelere göre bilinen fidye yazılımı saldırıları, Şubat 2023
Endüstri sektörüne göre bilinen fidye yazılımı saldırıları, Şubat 2023
Endüstri sektörüne göre bilinen fidye yazılımı saldırıları, Şubat 2023

Geçen ay LockBit’in savaş yolu boyunca saldırıya uğrayan şirketler arasında finansal yazılım şirketi ION Group ve Washington eyaletinde bir toplu taşıma operatörü olan Pierce Transit yer alıyor. LockBit, ION Group’un fidyeyi ödediğini iddia etti ve Pierce Transit’ten 2 milyon dolar talep etti.

Fidye taleplerinden bahsetmişken, geçen ay LockBit’in rekor kırdığı bir başka alan da bu gibi görünüyor.

Şubat ayı başlarında LockBit, Birleşik Krallık’taki Royal Mail’den 80 milyon $ almaya çalıştı – Continental’den 2022’de 50 milyon $ istemesinden bu yana en büyük talep. ama aynı zamanda iki taraf arasındaki müzakereleri gösteren bir sohbet geçmişini de sızdırmadan değil; bu, bir Royal Mail arabulucusunun korkulan fidye yazılımı çetesine fidye yazılımı vermesini gösteren olağandışı bir manzaraydı.

Lockbit ve Royal Mail görüşmeleri
Lockbit ve Royal Mail görüşmeleri

Eğitim sektörünü kasıp kavurmakla ünlü fidye yazılımı çetesi Vice Society tarafından onaylanan saldırılar, geçen ay üç ayın en düşük seviyesine ulaştı. Görünüşe göre Rusya merkezli grup, Şubat ayında sızıntı sitesinde sadece iki kurban kaydetti, ancak – çalışma tarzlarına sadık olarak – her ikisi de eğitim kurumlarıydı: Londra’da uzman bir müzik akademisi olan Guildford County Okulu ve bir okul olan Mount Saint Mary Koleji. New York’ta liberal sanat koleji. Söylemeye gerek yok, bu kalıcı eğitim sektörü tehdidinin yakın zamanda ortadan kalkacağını düşünmüyoruz.

LockBit’ten sonra, ALPHV (namı diğer BlackCat) ve Royal geçen ay en çok bilinen kurbanlar listesinin başında yer aldı. Ancak ortaya çıktığı üzere, bu iki grubun yüksek konumlarından daha fazla ortak noktası var: Her ikisi de sağlık kuruluşları için büyük tehlikeler olarak görülüyor. ABD Sağlık ve İnsani Hizmetler Departmanı (HHS), 2023 Ocak ayının ortalarında Royal ve ALPHV hakkında ABD sağlık sektörüne yönelik ikili tehdidi özetleyen ayrıntılı bir rapor bile yayınladı. Ancak geçen ay, Royal ve ALPHV görünüşe göre aralarındaki yalnızca bir sağlık kuruluşuna saldırdı – ALPHV’nin Pensilvanya merkezli Lehigh Valley Sağlık Ağı’na saldırısı. Geçen ay sızdırılan toplam 48 kurbanı, ağırlıklı olarak imalat, lojistik ve hizmet odaklı olmak üzere çeşitli sektörlerdendi. Fidye yazılımının bir ay içinde bir sektörü hedeflemek için kullanılmasının, başka bir ayda farklı bir sektöre karşı kullanılmayacağı anlamına gelmediğini gösteriyor.

Kasım 2022’de ilk kez bildirdiğimizden beri, Play fidye yazılımı çetesinin aylar içinde ortaya çıkışına tanık olmak, “Hata, çok hızlı (ve kötü) büyüyorlar” türü durumlardan biri oldu. Aralık ayındaki faaliyetleri Ocak ayında yaklaşık yüzde 76 oranında düştükten sonra, geçen ay bir saldırının şehrin birçok hizmetini kapattığı Oakland Şehri de dahil olmak üzere bilinen 11 kurbanla geri dönüş yaptı. Aslında, Oakland’da durum o kadar kötüydü ki, Geçici Şehir Yöneticisi kısa bir süre sonra olağanüstü hal ilan etti.

Yeni fidye yazılımı grupları

Medusa

Royal fidye yazılımını Kasım 2022’de kullanıma sunduğumuzdan beri, Medusa’nın Şubat ayında yaptığı kadar aktif yeni bir çetenin sahneye çıktığını görmedik. Grup, sızıntı sitesinde 20 kurban yayınladı ve bu da onu geçen ay en aktif üçüncü fidye yazılımı haline getirdi. Kurbanları arasında devlete ait bir telekomünikasyon şirketi olan Tonga Communications Corporation (TCC) ve petrol ve gaz düzenleme şirketi PetroChina Endonezya yer alıyor.

Medusa sızıntı sitesi
Medusa sızıntı sitesi

V kan davasıdır

V is Vendetta, 2000’lerin ortasındaki belirli bir distopik aksiyon filminden koparılmış görüntülerle kendisini markalaştırma şeklindeki pek de yeni olmayan bir uygulamayı izleyen bir sitede Şubat ayında üç kurban yayınlayan yeni bir isim. Site, sadece korkunç “genç odası” tasarımıyla değil, aynı zamanda bir alt alan adı kullanmasıyla da dikkat çekiyor. Küba fidye yazılımı karanlık web sitesi.

V, Vendetta sızıntı sitesidir
V, Vendetta sızıntı sitesidir

Kuzey Kore’nin fidye yazılımı maskaralıkları

Şubat ayı başlarında CISA, Kore Demokratik Halk Cumhuriyeti’nin (Kuzey Kore) ABD sağlık sektörü ve diğer hayati altyapı sektörlerindeki kuruluşlara karşı sürekli devlet destekli fidye yazılımı faaliyetlerini vurgulayan bir uyarı yayınladı.

Ajansların, bu tür operasyonlardan kripto para fidye ödemelerinin DPRK’nın “ulusal düzeydeki önceliklerini ve hedeflerini” desteklediğine inanmak için nedenleri var. Rapor şunları belirtir:

Yazar kurumlar, bu kripto para birimi işlemlerinden elde edilen belirsiz miktarda gelirin, Amerika Birleşik Devletleri ve Güney Kore hükümetlerini hedef alan siber operasyonlar dahil olmak üzere DPRK’nın ulusal düzeydeki önceliklerini ve hedeflerini desteklediğini değerlendiriyor; belirli hedefler arasında Savunma Bakanlığı Bilgi Ağları ve Savunma Sanayi Üssü üye ağları,

Son birkaç yılda, Kuzey Kore’den iki yeni fidye yazılımı türü ortaya çıktı: Maui ve H0lyGh0st.

US Marshal Service fidye yazılımı saldırısı

Görünüşe göre fidye yazılımı saldırganları yine büyük balığın peşine düşüyor.

En azından, US Marshals Service (USMS) gibi bir federal kuruma fidye yazılımı saldırısından bu yana epey zaman geçti. Şubat 2023’ün sonlarında bir tehdit aktörü teşkilata sızmayı ve personel ve kaçaklar hakkında hassas bilgileri ele geçirmeyi başardı.

Elbette hükümetlere yönelik bir fidye yazılımı saldırısı görmek nadir değildir. Eyalet, Yerel, Kabile ve Bölgesel (SLTT) hükümetler, 2022 boyunca fidye yazılımlarının saldırısına uğradı. Ancak, federal hükümete yönelik saldırılar çok az ve nadiren devam ediyor.

Bu saldırının bize öğrettiği bir şey varsa, o da hiçbir kuruluşun fidye yazılımlarına karşı güvende olmadığıdır, ama hepsi bu kadar değil. Ayrıca, DarkSide fidye yazılımı çetesinin Colonial Pipeline saldırısından bu yana ABD dokusuna yapılan en dikkat çekici saldırı. Saldırıdan kimin sorumlu olduğu veya fidye talebi olup olmadığı konusunda henüz bir açıklama yapılmadı.

Bu, siyasi bir açıklama yerine sıradan bir fidye yazılımı çetesinin işiyse, bu kadar cesur (veya açıkçası, federal hükümetin onlara para ödeyeceğini düşündükleri için aptal) olmaları şaşırtıcı. Federal bir hükümete saldırmak, sırtlarına büyük bir hedef çizer.

Fidye yazılımı çetelerinin üyelerinin haydut davranıp çetelerin kurallarına göre yasak olan bir kuruluşa saldırdığı zamanlar olduğunu biliyoruz; ancak daha fazla bilgi yayınlanana kadar, USMS ihlaliyle ilgili pek çok ayrıntı spekülatif olmaya devam edecek.

Fidye yazılımından nasıl kaçınılır?

  • Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
  • İzinsiz girişleri algıla. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
  • Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden çok farklı algılama tekniği kullanan Malwarebytes EDR gibi Uç Nokta Algılama ve Yanıt yazılımını dağıtın.
  • Tesis dışı, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
  • Bir olay müdahale planı yazın. Bir fidye yazılımı saldırısından sonraki dönem kaotik olabilir. Bir salgını nasıl izole edeceğinizi, paydaşlarla nasıl iletişim kuracağınızı ve sistemlerinizi nasıl geri yükleyeceğinizi özetleyen bir plan yapın.

Fidye Yazılımı Acil Durum Kitimiz, hizmet olarak fidye yazılımı (RaaS) çetelerine karşı savunmanız için ihtiyaç duyduğunuz bilgileri içerir.

Fidye Yazılımı ACİL DURUM KİTİ’Nİ ALIN



Source link