Şubat 2025 itibariyle fidye yazılımı, karmaşıklık ve ölçekte gelişen müthiş bir siber tehdit olmaya devam ediyor.
Fidye yazılımı ekosistemi, finansal olarak motive olmuş siber suçluları çekmeye devam eden esnek bir iş modelini sergileyen önceki kolluk kesintilerine uyum sağladı.
Hizmet olarak fidye yazılımı (RAAS) çoğalması, saldırıların hacmine önemli ölçüde katkıda bulundu ve daha az deneyimli bağlı kuruluşların yerleşik altyapılardan yararlanarak sofistike operasyonlar başlatmasına izin verdi.
Yükselen Saldırı Stratejileri
2024’te, fidye yazılımı aktörleri, şifrelemeden önce verilerin çalındığı ve karanlık web platformlarında kamuya maruz kalma tehditleri yoluyla kurbanlara baskı eklediği çift gasp taktiklerini giderek daha fazla kullandı.
Bazı gruplar, fidye ödemelerini geciktiren kurbanlara yönelik dağıtılmış hizmet reddi (DDOS) saldırılarını içeren yöntemlerini üçlü gasp etme yöntemlerini bile artırdılar.
Bu evrim, operasyonel manzaradaki bir değişimi göstermektedir, saldırganlar potansiyel kurbanlara karşı kaldıraçları en üst düzeye çıkarmak için stratejilerini çeşitlendirir.
Saldırı vektörleri de çeşitlendi. Botnets bir zamanlar birincil enfeksiyon aracı iken, son eğilimler, yaygın olarak kullanılan kurumsal uygulamalarda yeni yamalı güvenlik açıklarından yararlanmaya yönelik bir pivot olduğunu göstermektedir.
Özellikle, Microsoft Exchange Server’daki güvenlik açıklarının kullanılması, fidye yazılımı aktörlerinin hızlı bir şekilde ilk erişimi kazanmasının yolunu açtı.
Bu taktik, kuruluşların zamanında yama yönetimi ve güvenlik açığı değerlendirmelerine öncelik vermeleri için kritik ihtiyacı vurgulamaktadır.
Baskın fidye yazılımı grupları ve taktikleri
Rekabetçi manzaraya birkaç kilit oyuncu hakimdir.
Lockbit en üretken fidye yazılımı işlemi olmaya devam ediyor; Bununla birlikte, pazar payı Ransomhub ve Qilin gibi yeni katılımcılar tarafından meydan okuyor.
Symantec’e göre, bu gruplar, fidye ödemelerinin daha yüksek yüzdeleri ve ağlarında güveni artıran yenilikçi ödeme modelleri de dahil olmak üzere bağlı kuruluşlara olumlu şartlar sunarak çekiş kazanıyor.
Lockbit’in operasyonel modeli, ağlar arasında yanal hareket için sofistike araçlar kullanımı ve karadan yaşamadan oluşan tekniklerin kapsamlı kullanımı ile karakterize edilmiştir.
Grup ayrıca yüklerini yalnızca Windows sistemlerini değil, aynı zamanda VMware ESXI gibi sanallaştırılmış ortamları da hedeflemek için uyarladı.
Buna karşılık, Ransomhub bilinen güvenlik açıkları için istismarlardan yararlanarak ve uzaktan erişim için çift kullanımlı araçlar kullanarak saflarda hızla yükselmiştir.
2025’e baktığımızda, fidye yazılımı küresel olarak kuruluşlar için kalıcı bir tehdit olarak kalmaya hazırlanıyor.
Taktiklerin evrimi, fidye yazılımı ekosisteminin esnekliği ile birleştiğinde, operasyonel modellerinde sadece önemli kesintilerin saldırı hacimlerinde önemli bir düşüşe yol açabileceğini düşündürmektedir.
Kuruluşlar, bu gelişen tehditlerle ilişkili riskleri azaltmak için sağlam algılama mekanizmaları ve olay müdahale stratejileri uygulayarak siber güvenlik çerçevelerini geliştirmelidir.
Fidye yazılımı aktörleri yenilik yapmaya ve uyum sağlamaya devam ettikçe, kuruluşların siber güvenlik çabalarında uyanık ve proaktif kalmaları zorunlu hale gelir.
Siber suçlular yaklaşımlarını geliştirdikçe ve örgütsel savunmalardaki zayıflıklardan yararlanırken, manzara muhtemelen dinamik kalacaktır.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here