Üç aylık bir durgunluğun ardından Cl0p, Haziran ayında intikamla geri döndü ve ayın en aktif fidye yazılımı çetesi olarak LockBit’i geride bıraktı.
Bu makale, fidye yazılımı çeteleri tarafından Dark Web sitelerinde yayınlanan bilgileri izleyen Malwarebytes’in fidye yazılımı uzmanı Marcelo Rivero’nun araştırmasına dayanmaktadır. Bu raporda “bilinen saldırılar”, kurbanın yapmadı fidye öde. Bu, fidye yazılımı etkinliğinin en iyi genel resmini sağlar, ancak gerçek saldırı sayısı çok daha yüksektir.
Üç aylık bir durgunluğun ardından Cl0p, Haziran ayında intikamla geri döndü ve ayın en aktif fidye yazılımı çetesi olarak LockBit’i geride bıraktı. Grubun 91 saldırısı, kötü bir sıfır gün kullanarak 100’den fazla kuruluşa saldırdıkları Mart ayındaki kapsamlı GoAnywhere kampanyasından kısa bir süre sonra geldi.
Haziran ayrıca, Akira (26) ve 8Base (41) gibi nispeten yeni çetelerin saldırılarında her ikisini de ilk beşe sokmaya yetecek kadar şaşırtıcı bir artışa tanık oldu; Haziranda.
Haziran ayındaki diğer büyük haberler arasında şüpheli bir LockBit bağlı tutuklaması, Royal fidye yazılımı çetesinin yeni bir şifreleyici ile oynaması ve İmalat sektörüne yönelik saldırılarda dikkate değer bir artış yer alıyor.
Haziran ayı ile yılın ilk aylarını karşılaştırdığımızda, fidye yazılımı etkinliğinde birkaç değişiklik fark ettik. Örneğin, normalde aylık sıralamalara hakim olan – genellikle ilk beşe giren – o dönemde ayda ortalama yaklaşık 30 saldırı ile Royal’in aktivitesinde büyük bir düşüş oldu. Ama geçen ay sadece iki kurban gönderdiler.
En iyi fidye yazılımı çeteleri için saldırılarda ani bir düşüş çok alışılmadık bir durum olmasa da, geçen ayki incelememizde Royal’in yeniden markalaşacağını tahmin ettiğimizi belirtmekte fayda var. Bunun nedeni, kodunun yüzde 98’ini kötü şöhretli Royal fidye yazılımıyla paylaşan BlackSuit adlı yeni bir fidye yazılımının ortaya çıkmasıydı.
Bununla birlikte, hem Royal hem de BlackSuit’in geçen ay aktif olduğu göz önüne alındığında, muhtemelen yakın zamanda bir marka değişikliği olmayacak. Bunun yerine, özellikle BlackSuit’in geçen ay sadece iki saldırıda kullanıldığı düşünülürse, Royal’in yeni bir şifreleyiciyi test etmesi muhtemeldir ve bu sükunet, onlar için aşağı yukarı bir araştırma dönemi olarak açıklanabilir.
Haziran ayındaki diğer ilginç anormallikler arasında İmalat endüstrisine yönelik 47 saldırı (genellikle ayda ortalama 20 saldırı) ve İsviçre (14) ve Brezilya’ya (13) yönelik saldırılarda dikkate değer artışlar yer alıyor. ay. Bunun bir kısmı, geçen ay 8BASE’in Brezilya’ya 11 saldırıyla orantısız bir şekilde saldırması, PLAY’in ise İsviçre’ye (5) odaklanması gerçeğiyle açıklanabilir.
Ülkelere göre bilinen fidye yazılımı saldırıları, Haziran 2023
Öte yandan, Cl0p’nin bu ay listelerin zirvesine ani yükselişi, yaygın olarak kullanılan bir dosya aktarım yazılımı olan MOVEit Transfer’de sıfır günü kullanmalarıyla açıklanabilir.
Saldırganların yükseltilmiş ayrıcalıklar elde etmesine ve bir ortama yetkisiz erişim sağlamasına olanak verebilecek güvenlik açığı, ilk olarak 31 Mayıs’ta Progress tarafından yayınlanan bir güvenlik bülteninde açıklandı. Ancak daha önce saldırganların CVE-2023-34362’yi aktif olarak istismar ettiği açıkken, saldırıların arkasında Cl0p’nin olduğu yalnızca birkaç gün sonra anlaşıldı. Bir Cl0p temsilcisi, güvenlik açığını Temmuz 2021’den beri test ettiklerini ve onu Anma Günü hafta sonu dağıtmaya karar verdiklerini doğruladı. Dahası, yeni kurbanlar ortaya çıkarken MOVEit’te iki güvenlik açığı daha bulundu.
Serpinti açısından, Cl0p’nin sıfır gün sayesinde mahvetmeyi başardığı tahribatı abartmak zor.
MOVEit veri ihlallerinin, Oregon DMV ve Louisiana OMV’den (Motorlu Taşıtlar Ofisi) – yaklaşık 10 milyon sürücü belgesinin sızdırılması da dahil olmak üzere – Rochester Üniversitesi’ne ve çok sayıda şirkete kadar her şeyi etkileyerek yaygın etkileri oldu. PBI Araştırma Hizmetleri ayrıca 4,75 milyon kişinin bilgilerini açığa çıkaran bir veri ihlali bildirdi. ABD’deki birkaç federal kurum çetenin kurbanı olduktan sonra hükümet, Cl0p hakkında bilgi için 10 milyon dolara kadar bir ödül bile teklif etti.
Kilit Biti
CISA’nın Haziran raporuna göre, LockBit’in 2020’den bu yana yaklaşık 1.700 saldırıyla ABD kuruluşlarından yaklaşık 91 milyon dolar sızdırdığı bildirildi. Kendi araştırma verilerimizin de onayladığı gibi, CISA ayrıca LockBit’in 2022’de en büyük küresel fidye yazılımı tehdidi olarak en üst sıralarda yer aldığını tespit etti.
MS-ISAC, kimin en çok etkilendiğine gelince, Eyalet, Yerel, Kabile ve Tribunal (SLTT) hükümetlerini etkileyen fidye yazılımı olaylarının yaklaşık yüzde 16’sının LockBit kaynaklı olduğunu söylüyor.
Diğer yandan LockBit üyesi olduğundan şüphelenilen Ruslan Magomedovich Astamirov adlı Çeçen Cumhuriyeti’nden 20 yaşındaki bir kişi geçen ay Arizona’da tutuklandı. ABD Adalet Bakanlığı, soruşturmanın Ağustos 2020’den Mart 2023’e kadar sürmesiyle, hem Amerika’daki hem de denizaşırı ülkelerdeki kurban ağlarına LockBit fidye yazılımı dağıttığını düşünüyor.
Astamirov şu anda elektronik dolandırıcılık ve korunan bilgisayarlara kasten zarar vermekle suçlanıyor ve ayrıca fidye yazılımı dağıtarak fidye talebinde bulunmakla suçlanıyor. Tutuklama, onu Kasım ayından bu yana ABD’de suçlanan üçüncü LockBit üyesi yapıyor.
Yeni gelenler
Kaçış yok
NoEscape, Mayıs 2023’ten beri yer altı forumlarında dolaşan yeni bir fidye yazılımıdır. Şirket içinde C++ kullanılarak geliştirilen NoEscape fidye yazılımı, dosya şifreleme ve anahtar koruması için ChaCha20 ve RSA şifreleme algoritmalarını birleştirerek şifreleme için hibrit bir yaklaşım kullanır.
Geçen ay NoEscape, sızıntı sitesinde 7 kurban yayınladı.
Karanlık Yarış
DarkRace, ilk olarak araştırmacı S!Ri tarafından keşfedilen yeni bir fidye yazılımı grubudur. Darkrace, özellikle Windows işletim sistemlerini hedefler ve LockBit ile birkaç benzerliği vardır.
Çete, geçen ay çoğunluğu Bilgi ve İletişim Teknolojileri (ICT) sektörlerinden olmak üzere 10 kurbana saldırdı. Coğrafi olarak, kurbanların çoğu Avrupa’da, özellikle İtalya’da bulunuyor.
Rhysida
“Siber güvenlik ekibi” olduğunu iddia eden yeni bir fidye yazılımı çetesi olan Rhysida, 17 Mayıs 2023’ten beri faaliyet gösteriyor ve yüksek profilli saldırılarıyla manşetlere çıkıyor. Şili Ordusuna karşı.
Çete, Haziran ayında sızıntı sitesinde tam on sekiz kurban yayınladı ve bu da onu bugüne kadarki aylık incelemelerimizde en üretken yeni gelenlerden biri haline getirdi.