Saldırganlar hedef ağlara sızmak için sıfır gün güvenlik açıklarından ve bir günlük açıklardan giderek daha fazla yararlandıkça, fidye yazılımı saldırılarının kurbanı olan kuruluşların sayısı 2022’nin ilk çeyreği ile bu yılın ilk çeyreği arasında %143 arttı.
Bu saldırıların çoğunda tehdit aktörleri, kurban kuruluşlara ait verileri şifreleme zahmetine bile girmemiştir. Bunun yerine, yalnızca hassas verilerini çalmaya odaklandılar ve verileri başkalarına satmak veya sızdırmakla tehdit ederek kurbanları gasp ettiler. Taktik, sağlam yedekleme ve geri yükleme süreçlerine sahip olanları bile köşeye sıkıştırdı.
Kurbanlarda Artış
Akamai’deki araştırmacılar, yakın zamanda 90 fidye yazılımı grubuna ait sızıntı sitelerinden toplanan verileri analiz ettiklerinde trendleri keşfettiler. Sızıntı siteleri, fidye yazılımı gruplarının tipik olarak saldırıları, kurbanları ve şifrelemiş veya sızdırmış olabilecekleri veriler hakkında ayrıntılar yayınladığı konumlardır.
Akamai’nin analizi, fidye yazılımı saldırılarıyla ilgili bazı popüler fikirlerin artık tamamen doğru olmadığını gösterdi. Şirkete göre en önemlilerinden biri, ilk erişim vektörü olarak kimlik avından güvenlik açığından yararlanmaya geçiş. Akamai, birkaç büyük fidye yazılımı operatörünün, saldırılarında kullanmak üzere sıfırıncı gün güvenlik açıklarını (kurum içi araştırma yoluyla veya gri pazar kaynaklarından temin ederek) edinmeye odaklandığını tespit etti.
Dikkate değer bir örnek, bu yılın başlarında çok sayıda yüksek profilli şirkete girmek için Fortra’nın GoAnywhere yazılımındaki (CVE-2023-0669) sıfır günlük bir SQL enjeksiyon güvenlik açığını kötüye kullanan Cl0P fidye yazılımı grubudur. Mayıs ayında, aynı tehdit aktörü, dünya çapında düzinelerce büyük kuruluşa sızmak için bu kez Progress Software’in MOVEIt dosya aktarım uygulamasında (CVE-2023-34362) keşfettiği başka bir sıfır gün hatasını kötüye kullandı. Akamai, sıfır gün hatalarını kullanmaya başladıktan sonra 2022’nin ilk çeyreği ile bu yılın ilk çeyreği arasında Cl0p’nin kurban sayısının dokuz kat arttığını tespit etti.
Akamai, sıfır gün güvenlik açıklarından yararlanmak özellikle yeni olmasa da, fidye yazılımı aktörleri arasında bunları büyük ölçekli saldırılarda kullanma eğiliminin önemli olduğunu söyledi.
Akamai güvenlik araştırması CORE ekibinin başkanı Eliad Kimhy, “Özellikle sıfır gün güvenlik açıklarının kurum içi geliştirilmesi endişe vericidir” diyor. “Bunu Cl0p’de son iki büyük saldırısında görüyoruz ve diğer grupların da aynı yolu izlemesini ve bu tür güvenlik açıklarını satın almak ve kaynak sağlamak için kaynaklarını kullanmasını bekliyoruz.”
Diğer durumlarda, LockBit ve ALPHV (namı diğer BlackCat) gibi büyük fidye yazılımı ekipleri, kuruluşların satıcının düzeltmesini onlar için uygulama şansı bulamadan yeni açıklanan güvenlik açıklarına atlayarak ortalığı kasıp kavurdu. Bu tür “birinci gün” güvenlik açıklarına örnek olarak Nisan 2023’teki PaperCut güvenlik açıkları (CVE-2023-27350 ve CVE-2023-27351) ve VMware’in ESXi sunucularındaki ESXiArgs kampanyası operatörünün yararlandığı güvenlik açıkları verilebilir.
Şifrelemeden Sızmaya Dönme
Akamai ayrıca BianLian kampanyasının arkasındakiler gibi bazı fidye yazılımı operatörlerinin tamamen veri şifrelemeden veri hırsızlığı yoluyla haraç almaya yöneldiğini keşfetti. Anahtarın önemli olmasının nedeni, veri şifreleme ile kuruluşların, yeterince sağlam bir veri yedekleme ve geri yükleme sürecine sahip olmaları durumunda kilitli verilerini alma şansına sahip olmalarıdır. Veri hırsızlığı söz konusu olduğunda, kuruluşlar bu fırsata sahip değildir ve bunun yerine ya ödeme yapmak zorundadır ya da tehdit aktörlerinin verilerini herkese açık bir şekilde sızdırma veya daha kötüsü, başkalarına satma riskini almaları gerekir.
Kimhy, gasp tekniklerinin çeşitliliğinin dikkate değer olduğunu söylüyor. Kimhy, “Verilerin çalınması, bazı açılardan dosyaların şifrelenmesine ikincil olan ek bir kaldıraç olarak başladı,” diyor. “Günümüzde bunun gasp için birincil kaldıraç olarak kullanıldığını görüyoruz, bu da örneğin dosya yedeklemenin yeterli olmayabileceği anlamına geliyor.”
Akamai’nin veri setindeki kurbanların çoğu – aslında yaklaşık %65’i – 50 milyon dolara kadar gelir bildiren küçük ve orta ölçekli işletmelerdi. Genellikle en büyük fidye yazılımı hedefleri olarak algılanan daha büyük kuruluşlar, aslında kurbanların yalnızca %12’sini oluşturuyordu. Üretim şirketleri, saldırıların orantısız bir yüzdesini yaşadı, ardından sağlık kuruluşları ve finansal hizmetler şirketleri geldi. Akamai, önemli bir şekilde, bir fidye yazılımı saldırısına maruz kalan kuruluşların, ilk saldırıdan sonraki üç ay içinde ikinci bir saldırı yaşama olasılığının çok yüksek olduğunu buldu.
Kimhy, kimlik avına karşı korunmanın hala çok önemli olduğunu vurgulamanın önemli olduğunu söylüyor. Aynı zamanda, kuruluşların yeni açıklanan güvenlik açıklarının yamalarına öncelik vermesi gerekir. O ekler, “[T]Düşmanı, tehdit yüzeylerini, kullanılan, tercih edilen ve geliştirilen teknikleri ve özellikle modern bir fidye yazılımı saldırısını durdurmak için geliştirmeniz gereken ürünleri, süreçleri ve insanları anlamak gibi önerilerimiz hala geçerli.