Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
En çok kurbanları iddia eden gruplar arasında Ransomhub, Play, Akira ve Clop
Mathew J. Schwartz (Euroinfosec) •
4 Mart 2025
Fidye yazılımı saldırılarında bir durgunluk umutları, suçlu yeraltındaki belirgin ciroya rağmen piyasaya sürülen bir rekor kıran saldırı dalgası nedeniyle dağıldı.
Ayrıca bakınız: Yeni Ondemand | Expored QR kodları: Kolaylıktan Siber Güvenlik Kabusu
Siber güvenlik firması NCC Group, Ocak ayında 590 yeni kurban saydı ve önceki, rekor kıran aydan% 3’lük bir yumru. Tehdit-zeka firması Cyble, Ocak ayında yeni açıklanan 518 kurbanı saydı ve Şubat ayının ilk 27 günü için 599’a yükseldi ve bunların üçte ikisi ABD merkezli kuruluşları hedef aldı. Diğer fidye yazılımı monitörleri de son iki ay içinde mağdurların toplam miktarındaki artışları izledi.
Mağdur sayıları, yeni listelenen yaşlı kurbanların yeni olarak sayılmayacağı konusunda anlaşmazlık nedeniyle firmadan firmaya değişmektedir.
Tam sayı ne olursa olsun, fidye yazılımı izleme uzmanları, son aylarda Ransomhub, Play ve Akira’nın son birkaç yoğun ayda hakim olduğu görülenler arasında olduğu konusunda hemfikir.
Fidye yazılımı kurban listelerini saymak, araştırmacıların fidye yazılımı ekosisteminin EBB ve akışını denemek ve izlemek için kullandıkları bir tekniktir. Bunlar arasında: Gruplar düzenli olarak yalan söyler. Gruplar bazen evi de temizler, aynı anda çok sayıda yaşlı, ödemeyen kurbanların isimlerini veya verilerini de boşaltırlar. Sızıntı alanları nihayetinde, kurbanları ödemeye zorlamak ve gelecekteki kurbanları korkutmak için dijital suçlular tarafından kullanılan araçlardır. Bazı kuruluşlar, saldırının ayrıntılarını kapsama altında tutmak için hızla ödeme yaparlar. Hızlı bir şekilde ödeme almak suçlulara da uygundur ve sessiz tutmak, operasyonlarının kapsamını – kullandıkları taktik ve tekniklerin – kolluk kuvvetlerinin izlemesi ve bozması daha zor hale getirir.
Mağdurların yaklaşık dörtte biri kripto-kilitli kötü amaçlı yazılım veya veri hırsızlığı ile vuruluyor, çoğu zaman saldırganlardan çalınan verileri silmek için güvenilmez bir rehin için fidye ödüyor gibi görünüyor.
Akira fidye yazılımı grubu, 31 Ocak’ta “2024 hisse senedini alarak”, ilk kez 30’dan fazla kurbanı seçti ve 2024’te ihlal ettiği ancak henüz listelenmemiş olduklarını söyledi. Grup, kurbanları kısmen, adlarını halka açık listesinden çıkarma sözü vermesi için bir fidye ödemeye çalışmaya çalışmaya devam etti.
Clop – aka CL0P – Ocak ayında 112 kurban ve Şubat ayında 49 daha fazla kurban listeledi. Bunların hepsi, Aralık 2024’te CLEO Communications tarafından oluşturulan yönetilen dosya transfer yazılımı kullanıcılarına karşı grubun görünüşe göre yarı somurtulan kitle saldırısından birikmiş gibi görünüyor. Clop, doğrudan dosya aktarım yazılımını hedefleyerek, doğrudan verileri çalmak ve fidye olarak tutmak için kriptolaplama aşamasını atlama stratejisinden sapmamıştır.
Cleo kullanıcılarına yapılan kitlesel saldırısından kısa bir süre sonra-CLEO’nun kendisi dahil-fidye yazılım grubu, Arizona merkezli tedarik zinciri yazılım yazılım sağlayıcısı Blue Yonder, Atlanta merkezli Esprigas, Dutch yazılım geliştiricisi C3 Grubu, Avustralya Taşımacılık Yakıt Serbest Ampol ve Kanada’nın polaris nakliyesi de dahil olmak üzere en az 66 kurban topladığını iddia etti.
Clop’un veri sızıntısı sitesine inanılması şartıyla, suçlular başarılarının gerçek ölçeği hakkında damla besleme detaylarıdır. Clop, Hertz Global, AOL, DXC teknolojisinin yanı sıra HP ve Hewlett Packard Enterprise’dan verileri başarıyla çaldığını iddia ediyor. Bunlardan herhangi birinin doğru olup olmadığı veya herhangi bir hassas bilgi çalındıysa, belirsizliğini koruyor.
Yeni gelenler sabit kalır
Fidye yazılımı acımasızdır, ancak fidye yazılımı grupları gelir ve gider. Black Basta gibi bazı gruplar yanıyor gibi görünüyor ya da bunu yapmaya yol açıyor gibi görünüyor. Lockbit ile olduğu gibi, diğerleri kolluk kesintisi nedeniyle azalır. Bazen, gruplar açgözlü olur ve bir çıkış dolandırıcılığı yapar, çünkü ALPHV, yani Blackcat, 12 ay önce UnitedHealth Group tarafından saldırıyı gerçekleştiren bağlı kuruluşla paylaşmak yerine UnitedHealth Group tarafından ödenen 22 milyon dolarlık fidye tuttu.
Çıkan her grup için, “yeni” grup sadece bir yeniden marka olsa bile, birçok yeni grup ortaya çıkıyor. Fidye yazılımı ekosisteminde yer alan insanların çoğu aynı kalır. Ayrıca, bir seferde bir veya daha fazla operasyon için hackleme iş ortakları olarak görev yapan iştirakler, altında yapılabilecekleri afişten bağımsız olarak saldırıların çoğundan sorumludur.
2024’te 48 yeni fidye yazılımı grubu ortaya çıktı, siber güvenlik firması Blackfog. Yeni gelenler arasında veri sızdırmazlık sitelerinde dört kurbanı listeleyen RunSomeWares ve sadece bir tane listeleyen Linkc’i içeriyor. Grupların devam edip etmeyeceği endişeler görülüyor.
Tehdit istihbarat şirketi Kela, Aralık 2024’e kadar aktif hale geldiği görülen Rusça konuşan bir grup olan Anubis, tekliflerinin karmaşıklığına dayanan ve hem rampa hem de XSS siber suç forumlarında temsilcileri olan eski fidye yazılım grubu bağlı kuruluşlarının el işi gibi görünüyor.
Kela, fidye yazılımı işleminin üç farklı hizmet türü sunduğunu söyledi. Bu, “klasik” 80/20 hizmet olarak fidye yazılımı operasyonu içerir, iştirakler vaat eden iştirakler, kurbanlarından birinin, grubun pencereler, linux, ağa bağlı depolama ve ESXI ortamlarında ilerleyen fidye yazılımları ile enfekte ettikten sonra ödediği için ödeme yapar. Grup ayrıca, şimdiye kadar sadece bir avuç kurbanı listelediği Tor tabanlı bir veri sızıntısı blogu işletiyor.
Operasyon ayrıca iki, diğer olağandışı teklifleri de tanıtıyor. Bunlar, katılımcılara zaten çalınan verileri kullanarak zorladıkları bir kurbanın ödenen herhangi bir gelirin% 60’ını vererek, Anubis’in bir blog yazısında veri kümesini vurgulamayı ve kurbanı yerel veri gizlilik düzenleyicilerini uyarma da dahil olmak üzere çeşitli şekillerde baskı yapmayı vaat ettiklerini söyledi.
“Veriler aşağıdaki gereksinimleri karşılamalıdır: münhasır olmalıdır (yani daha önce ClearNet veya Darknet’te hiçbir yerde yayınlanmamıştır), ihlalin yeni olması gerekir (altı aydan daha eski olmamalıdır) ve içeriği ‘yayın için ilginç olarak kabul edilmelidir'” dedi.
Anubis, başlangıç erişim brokerleri için 50/50 teklifine sahiptir, böylece IAB’nin kimlik bilgilerini paylaştığı bir kurban tarafından ödenen herhangi bir fidye vermeyi vaat etmektedir. Şartlar ve Koşullar geçerlidir: Mağdur ABD, Kanada, Avrupa veya Avustralya’da olmalıdır; Son 12 ay içinde başka bir fidye yazılımı grubuna kurban yok; Kela, hükümet, eğitim veya kar amacı gütmeyen sektörden gelmediğini söyledi. Sağlık sektörü adil bir oyun olarak kalıyor gibi görünüyor.
Fidye yazılımı grupları uzun süredir başlangıç erişim brokerleriyle ortaklık kurarlar, bazen onlara elde ettikleri tüm yeni “erişimler” üzerinde ilk reddetme hakkına sahip olmaları için bir komisyon öderler. Anubis’in sahasının öne çıktığı gibi, bu tür brokerlerin siber suç ekonomisinde yararlılığı güçlüdür. Siber güvenlik firması Crowdtrike, son raporda, “2024’te erişim broker etkinliği arttı, reklamı yapılan erişimler 2023’te yaklaşık% 50 artıyor.” Dedi.