Fidye yazılımı incelemesi: Şubat 2023


Tehdit İstihbaratı ekibimiz, Ocak 2023’te çete, ülke ve endüstri sektörüne göre bilinen fidye yazılımı saldırılarını ve LockBit’in en yeni şifreleyicisini inceler.

Malwarebytes Tehdit İstihbaratı, fidye yazılımı çeteleri tarafından Dark Web sızıntı sitelerinde yayınlanan bilgileri izleyerek fidye yazılımı etkinliğinin aylık bir resmini oluşturur. Bu bilgiler, başarılı bir şekilde saldırıya uğrayan ancak fidye ödememeyi seçen kurbanları temsil eder.

LockBit yeni yıla tıpkı bir önceki yılı bitirdiği gibi başladı ve Ocak ayının en üretken hizmet olarak fidye yazılımı (RaaS) olarak listelerde bir kez daha zirveye ulaştı. Hive fidye yazılımı grubu bu arada kendisini FBI tarafından kapatılmış halde buldu.

Ancak Lockbit için her şey eski bir haber değil: Geçen ay çetenin ‘LockBit Green’ adlı yeni bir Conti tabanlı şifreleyici kullandığı görüldü. LockBit Red ve LockBit Black’ten sonra çetenin üçüncüsü olan bu en son fidye yazılımı sürümü, kodunun %89’unu Conti v3 fidye yazılımı ile paylaşıyor ve şimdiden en az beş kurbana saldırmak için kullanıldı.

LockBit Black’in başarısı göz önüne alındığında, çetenin neden yeni bir değişken sunduğu alışılmadık (ve belirsiz). Muhtemel bir açıklama, eski Conti üyeleri gibi Conti tabanlı fidye yazılımlarını kullanmakta daha rahat olan bağlı kuruluşları çekmek istemesidir. Pazarlama operasyonlarını genişletmek, tabiri caizse.

Dark Web’de LockBit tarafından yayınlanan bir gönderi (orijinal Rusça’dan çevrilmiştir), grubun zaten sattığı fidye yazılımını (“kilitli dolaplar”) değiştirmek yerine onu tamamladığını öne sürüyor:

Etrafta iyi bilinen ve iyi kaynaklar bulunan, yazan – satın alacağım bir panelde olabildiğince çok üst dolap toplamak istediğimi defalarca söyledim. Eleştirmenlerin ne düşündüğü ve söylediği umurumda değil. Harika panelimdeki cephaneliği genişletmek benim için önemli. Her reklamcı, neyle çalışacağına kendisi karar verir veya zaman izin verirse, bir şirkete saldırıda birkaç dolabı birleştirir. Katılıyorum, panelimde başka bir Petya Ransomware veya epik başka bir şey olsa iyi olur mu?

Ocak 2023'te çete tarafından bilinen fidye yazılımı saldırıları
Ocak 2023’te çete tarafından bilinen fidye yazılımı saldırıları
Ocak 2023'te ülkelere göre bilinen fidye yazılımı saldırıları

Ocak 2023’te ülkelere göre bilinen fidye yazılımı saldırıları

Ocak 2023'te endüstri sektörüne göre bilinen fidye yazılımı saldırıları

Ocak 2023’te endüstri sektörüne göre bilinen fidye yazılımı saldırıları

Ancak LockBit yeni yılı zorlarken, başka bir kötü şöhretli fidye yazılımı oyuncusu BlackBasta’nın radyo sessizliğinden başka bir şey yoktu. Nisan 2022’de onları izlemeye başladığımızdan beri, BlackBasta’nın diğer fidye yazılımı grupları arasında her ay yüksek yerleşimi, aşağı yukarı kaçınılmaz bir sonuç oldu. Bu nedenle, Ocak ayında faaliyet göstermemeleri bahsetmeye değer.

Fidye yazılımı çetelerinin görünürdeki hareketsizliği, Dark Web sızıntı sitelerinin yalnızca fidye ödemeyen şirketleri göstermesi nedeniyle karmaşıklaşıyor, bu nedenle onlar için son derece başarılı bir ay, aynı zamanda etkin olmayan bir ay gibi görünüyor. Yine de kimsenin ödemeyi reddetmediği bir ay oldukça sıra dışı olacaktır.

Bununla birlikte, yeni kurbanları yayınladığı Black Basta News Tor sitesi birkaç haftadır kapalıydı. 22 Ocak’ta tekrar devreye girdiğini gördük ama ertesi gün tekrar düştü. Kurbanlarla iletişim kurmak için kullanılan sitenin arka ucu da çalışmıyor gibi görünüyor.

BlackBasta iletişim sitesi
BlackBasta iletişim sitesi

Öte yandan, LA Unified School District’e yapılan rezil bir saldırıdan sorumlu olan fidye yazılımı çetesi olan Vice Society’nin saldırıları üç ayın en yüksek seviyelerine ulaştı. Vice Society’nin ideal avı üniversiteler, kolejler ve K-12 okulları gibi görünen Rus merkezli bir grup olduğuna inanılıyor. Federal Soruşturma Bürosu (FBI), Vice Society’nin orantısız bir şekilde eğitim sektörünü hedef aldığını gözlemledikten sonra Eylül ayında ortak bir Siber Güvenlik Danışmanlığı (CSA) yayınladı.

Ocak ayında Vice Society, sızıntı sitesinde dokuz okulun verilerini yayınladı. Eğitim sektörüne yönelik saldırıların son üç ayın en yüksek seviyesine ulaşması belki de bir tesadüf değil.

Geçen ay, büyük şirketlere başarılı bir şekilde sızan ve birkaç ABD devlet kurumuna sızan solo bir aktör olan Endurance adında yeni bir oyuncuyu tanıttık. Ocak ayında yalnız kurt, araba pazarı Autotrader gibi yerlere 1,4 milyon kullanıcıya ait verileri çaldıkları başarılı saldırılar düzenleyerek ayın en büyük beş fidye yazılımı çetesini çözmeyi başardı. Geçen ay tanıttığımız bir başka yeni program, diğer fidye yazılım gruplarından gelen sızıntıları geri dönüştüren Unsafe, Ocak ayında sabıka kaydına yedi yeni kurban ekledi.

Play’in Aralık etkinliğindeki artışı, Ocak ayında yaklaşık yüzde 76 oranında düştü. Aynı zamanda Ekim 2022’den bu yana ilk kez kendini yeniden haritaya yerleştiren AvosLocker ile ‘ölülerin dönüşüne’ tanık olduk.

Kovan ele geçirildi

Hive fidye yazılımı, Tehdit İstihbaratı ekibine yabancı değil: 2022’de en yaygın kullanılan RaaS’lerden biriydi ve gerçekten de Aralık ayındaki 15 saldırıları bir göstergeyse, Hive yeni yıla girerken herhangi bir yavaşlama belirtisi göstermedi.

Ancak, Amerika Birleşik Devletleri Adalet Bakanlığı’nın (DoJ) Hive’a karşı başarılı bir engelleme kampanyası başlattığını doğrulamasının ardından, Hive’ın son bölümü Ocak ayı sonunda sona erdi.

Nisan 2022'den beri sızdırılan verilere dayalı olarak fidye yazılımı çetelerinin bilinen saldırıları
Nisan 2022’den beri sızdırılan verilere dayalı olarak fidye yazılımı çetelerinin bilinen saldırıları

Kesinti kampanyasının Temmuz 2022’den beri Hive’ın altyapısına erişimi olduğu bildirildi. Erişimi, Perşembe günü Hive’ın Dark Web sitesinde “bu gizli sitenin ele geçirildiğine” dair bir bildirim göstermeye başladığında halka açıldı.

Adalet Bakanlığı’na göre Hive fidye yazılımı grubu, ABD’deki ve dünyadaki kurbanlardan zorla yüz milyonlarca dolar almaya çalışarak hastaneler, okul bölgeleri, finans firmaları ve kritik altyapı dahil 80’den fazla ülkede 1.500’den fazla kurbanı hedef aldı. .

Gitmelerine üzüldüğümüzü söyleyemeyiz.

Hive sızıntı sitesinden geriye ne kaldı?
Hive sızıntı sitesinden geriye ne kaldı?

Nevada fidye yazılımı

Nevada, 2023’ün başlangıcından hemen önce Dark Web’de ortaya çıkan nispeten yeni bir fidye yazılımıdır, ancak ciddi bir yükseltme alması Ocak ayının sonlarına kadar mümkün olmamıştır.

10 Aralık’ta ‘nebel’ adlı bir aktör, ilk erişim aracıları (IAB’ler) ve Rus ve Çinli bilgisayar korsanları için bir alan olarak bilinen RAMP yeraltı topluluğunda projeyi tanıtan bir gönderi yayınladı. 30 Ocak’ta Resecurity’deki araştırmacılar, projenin arkasındaki operatörlerin “Windows ve Linux/ESXi için dolabın işlevselliğini nasıl güncelleştirip önemli ölçüde iyileştirdiği ve bağlı kuruluşları için yeni yapılar dağıttığı” hakkında bir rapor yayınladı.

RAMP'ta Nevada fidye yazılımı promosyonu
RAMP’ta Nevada fidye yazılımı promosyonu

Fidye yazılımı geliri düştü

Blockchain veri platformu Chainalysis’e göre, fidye yazılımı geliri 2021’de 765,6 dolardan 2022’de en az 456,8 dolara “düştü”. Veriler, fidye yazılımı saldırganları tarafından kontrol edildiği bilinen kripto para birimi adreslerinin analizine dayanıyor.

Fidye yazılımı çetelerinin aldığı toplam değer 2017-2022
Chainalysis’in izniyle görüntü

Gerçek rakamlar muhtemelen çok daha yüksek olsa da, bize fidye yazılımı ödemelerinin gelişimi hakkında bir fikir veriyor. Bu noktada geçen yılki tahmin 765 milyon dolardan 602 milyon dolara gerilemiş gibi görünse de düzeltmeden sonra küçük bir kazanç olduğu ortaya çıktı.

Kendi araştırmamıza ve Chainalysis’e göre, azalan rakamlar muhtemelen kurban kuruluşların fidye yazılımı saldırganlarına ödeme yapmayı giderek daha fazla reddetmesinden kaynaklanıyor.

Fidye Yazılımı Acil Durum Kitimizde, kuruluşunuzun RaaS çetelerine karşı savunmak için ihtiyaç duyduğu ipuçlarını bulacaksınız.

Fidye Yazılımı ACİL DURUM KİTİ’Nİ ALIN



Source link