Cl0p, Mart 2023’te en çok kullanılan fidye yazılımı oldu ve sıfır gün güvenlik açığıyla 104’ten fazla kuruluşu ihlal ettikten sonra, her zamanki öncü LockBit’i tahtından indirdi.
Bu makale, fidye yazılımı çeteleri tarafından Dark Web sitelerinde yayınlanan bilgileri izleyen Malwarebytes’in fidye yazılımı uzmanı Marcelo Rivero’nun araştırmasına dayanmaktadır. Bu raporda “bilinen saldırılar”, kurbanın fidye ödemediği saldırılardır. Bu, fidye yazılımı etkinliğinin en iyi genel resmini sağlar, ancak gerçek saldırı sayısı çok daha yüksektir.
Fidye yazılımı manzarası için şaşırtıcı bir olay dönüşünde, Cl0p, Mart 2023’te en çok kullanılan fidye yazılımı olarak ortaya çıktı ve her zamanki lider LockBit’i tahttan indirdi. Gerçekten de, LockBit geçen ay 93 başarılı saldırıda kullanılmaya devam etse de, Cl0p’nin ani dirilişinin katıksız gücüyle tam olarak boy ölçüşemezdi.
Kapsamlı GoAnywhere kampanyası, Cl0p’nin bir numaraya yükselmesine katkıda bulundu. Grup, yaygın olarak kullanılan yönetilen dosya aktarım yazılımı GoAnywhere MFT’deki sıfırıncı gün güvenlik açığından yararlanarak 104’ün üzerinde kuruluşu başarıyla ihlal etti.
Mart ayrıca, ay boyunca açılıp kapanıyor gibi görünen DarkPower gibi diğer fidye yazılımı çetelerinden ve odağını dosyaları tamamen şifrelemekten tamamen veri sızdıran gasplara kaydıran BianLian’dan bazı ilgi çekici faaliyetler gördü.
GoAnywhere MFT’nin arkasındaki şirket olan Fortra, güvenlik açığı için Şubat ayı başlarında bir acil durum yaması (7.1.2) yayınladı; ancak o zamana kadar Cl0p, sayısız ağa girmek ve fidye yazılımı dağıtmak için bunu çoktan kullanmıştı.
Malwarebytes tarafından yapılan son araştırma, fidye yazılımı çetelerinin İngilizce konuşulan ülkelere saldırmak için sahip olduğu önyargının altını çizdi ve Cl0p kampanyası da aynı eğilimi izliyor. Bunlar arasında, ABD, Kanada, Birleşik Krallık ve Avustralya’nın Anglosfer ülkeleri, bilinen Cl0p saldırılarının %69’unu oluşturuyor; Kanada ve Avustralya, Almanya ve Fransa gibi daha büyük nüfusa ve ekonomiye sahip ülkelerden daha fazla saldırıya maruz kalıyor.
Cl0p’nin sıfır günden bu tür bir etki yaratmak için yararlanma yeteneği, yakın geçmişte Temmuz 2022’deki Kaseya VSA fidye yazılımı olayına benzer. Sağlayıcılar (MSP’ler), 1.000’den fazla şirket için yaygın kesinti süresine neden oluyor.
Cl0p ve REvil gibi fidye yazılımı çeteleri tarafından sıfırıncı gün güvenlik açıklarının başarılı bir şekilde kullanılması, neyse ki nispeten nadirdir. Ancak, gerçekleştiğinde yıkıcı olabilir. Fidye yazılımı çeteleri, saldırılarının etkisini en üst düzeye çıkarmalarına yardımcı olmak için her zaman yeni taktikler ararlar ve nadir olsun ya da olmasın, Cl0p’nin yeni keşfedilen bir güvenlik açığını silah haline getirme ve bir yama yayınlanmadan veya uygulanmadan önce onu istismar etme örneğinden hepimiz endişe duymalıyız. .
Geçen ay faaliyetlerinde beklenmedik bir artış yaşayan gördüğümüz tek çete Cl0p değildi.
BlackBasta ve LockBit
Ocak 2023’te, o zamana kadar aylık listelerimizde genellikle üst sıralarda yer alan bir grup olan BlackBasta’da tamamen bir etkinlik olmadığını fark ettik. Bu eğilim Şubat ayına kadar devam etti, ancak Mart ayında 40’tan fazla bilinen kurbanla intikamla geri döndü. BlackBasta’nın neden iki ay boyunca yeraltına inip sonunda olay yerine geri döndüğünü söylemek zor, ancak grubun yeni saldırı teknikleri geliştirmek veya tespitten kaçmak için çalışıyor olması muhtemel. Diğer olasılıklar, liderlikte ani bir değişiklik, grubun kolluk kuvvetlerinin dikkatinden kaçmak için gizlenmek istemesi veya sadece bir ara vermek istemesidir. Bu tür şeyler alışılmadık bir durum değil ve grubun aniden yeniden ortaya çıkması, fidye yazılımı çetelerinin öngörülemez doğasını ve en son tehdit istihbaratını sürekli olarak izleme ihtiyacını vurguluyor. Bir grubun bugün gitmiş olması yarın geri dönmeyeceği anlamına gelmez.
Bu arada, LockBit’in Mart ayındaki etkinliği, ABD merkezli bir ofis ürünleri dağıtımcısı olan Essendant’a yönelik büyük bir fidye yazılımı saldırısıyla yönetildi. 6 Mart’ta veya ona yakın bir tarihte başladığı söylenen bu saldırı, kuruluş için ciddi sonuçlar doğurdu; kargo şirketi alımlarını, çevrimiçi siparişleri ve müşteri desteğine erişimi kesintiye uğrattı.
Diğer LockBit haberlerinde, 16 Mart 2023’te LockBit 3.0 fidye yazılımı hakkında bir CISA danışma belgesi yayınlandı. LockBit Black olarak da adlandırılan LockBit 3.0, Haziran 2022’de keşfedildi. LockBit 3.0’ın TTP’lerinin çoğu önceki sürümlerle tutarlı kalırken, danışma belgesi LockBit 3.0’daki güncellenmiş ve geliştirilmiş özelliklere ışık tutuyor. Bu iyileştirmeler, bağlı kuruluşların fidye yazılımının davranışını gereksinimlerine göre değiştirmesine olanak tanıyan ve fidye yazılımının tespit edilmesini ve karşı konulmasını zorlaştıran daha gelişmiş tespitten kaçınma yöntemlerini ve özelleştirme seçeneklerini içerir.
Karanlık güç
Mart ayı, 10 kurbanı sayan yeni bir fidye yazılımı grubu olan Dark Power’ın yükselişine tanık oldu. Dark Power’ın fidye yazılımı, nispeten belirsiz Nim programlama dilinde yazılmış olması bakımından ilginçtir.
Dark Power’ın fidye yazılımına yaklaşımı, nispeten basit olmasına rağmen, hedeflenen her makine için benzersiz şifreleme anahtarları oluşturmayı başarıyor ve bu da genel bir şifre çözme aracı geliştirmeyi zorlaştırıyor. Fidye yazılımı, hizmetleri etkili bir şekilde durdurur ve işlemleri sonlandırarak şifreleme işleminin engellenmemesini sağlar. Ayrıca günlükleri temizleyerek analistlerin bir saldırıyı araştırmasını zorlaştırır.
Dark Power fidye yazılımının etkinliği, saldırganların başarılı olmak için her zaman gelişmiş, yeni tekniklere ihtiyaç duymadığının altını çiziyor. İyi yürütülen ve uyarlanabilir bir programlama diliyle birleştirilen temel bir yaklaşım, aynı derecede etkili olabilir.
Bian Lian
İlk olarak Temmuz 2022’de ortaya çıkan ve sürekli olarak aylık listelerimizin üst sıralarında yer alan bir fidye yazılımı çetesi olan BianLian, odağını dosyaları şifrelemekten veri sızıntılarına kaydırdı. Grubun odak noktasındaki kayma, dosyaları şifrelemeyi BianLian için daha az etkili hale getiren Avast tarafından bir şifre çözme aracının piyasaya sürülmesine bağlanabilir. Sonuç olarak, grup artık kurbanlardan zorla ödeme almak için çalınan verileri sızdırma tehdidine odaklanıyor.
BianLian’ın veri sızıntısı gaspına doğru kayması, RaaS çetelerinin, şifreleme tabanlı fidye yazılımlarını baltalayan şifre çözme araçlarının ortaya çıkması gibi değişen koşullara oldukça uyumlu olabileceğini gösteriyor. Bu stratejik değişim, geleneksel yöntemler etkinliğini yitirse bile istikrarlı bir gelir akışını sürdürmelerine olanak tanır.
Kuruluşlar, hassas veri sızıntıları veya güvenlik ihlaline maruz kalma gibi ürkütücü olasılıklarla karşı karşıya kaldıkça, yasal, finansal ve itibarla ilgili yansımalardan kaçınmak için fidye ödemeleri daha olasıdır. Ayrıca, şifrelenmiş dosyaları kurtardıktan sonra bile devam eden sızdırılmış veri tehdidi, kurbanların fidye ödemeye karşı koymasını zorlaştırıyor.
Fidye Yazılımı Acil Durum Kitimiz, hizmet olarak fidye yazılımı (RaaS) çetelerine karşı savunmanız için ihtiyaç duyduğunuz bilgileri içerir.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri algıla. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden çok farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışı, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE