Siber güvenlik firması NCC Group tarafından yayınlanan verilere göre Aralık 2024, fidye yazılımı saldırı hacimlerinde rekor kırdı. Şirket, geçen ay toplam 574 doğrulanmış olay gördüğünü ve bunların 100’den fazlasının Funksec olarak adlandırılan yeni bir tehdit aktöründen sorumlu olduğunu belirtti.
Bu, NCC analistlerinin, kuruluşun aylık raporunu ilk kez yayınlamasından bu yana gözlemlediği en yüksek saldırı düzeyiydi. Tehdit Nabzı endeksi 2021’de Kasım 2025’teki 565’ten yükselerek Aralık 2023’teki 387 rakamını bir miktar farkla aştı. Sanayi sektörü bir kez daha en çok saldırıya uğrayan sektör olma şaibeli onuruna sahip oldu; Kuzey Amerika ve Avrupa ise en çok saldırıya uğrayan bölgeler oldu.
NCC’nin tehdit istihbaratı operasyonları ve hizmet yeniliğinden sorumlu direktör yardımcısı Ian Usher, “Aralık genellikle fidye yazılımı saldırıları için çok daha sessiz bir dönemdir, ancak geçen ay rekor sayıda fidye yazılımı saldırısı görüldü ve bu durum bu modeli tersine çevirdi” dedi.
“Veriler bir uyandırma çağrısı görevi görmeli. Hiçbir kuruluş bundan muaf değildir ve en iyi savunma, diğerlerinden önde olmaktır. Şirketlerin siber güvenlik önlemlerini iki katına çıkarmaları ve ekiplerinin fidye yazılımı tehditlerinin değişen doğasına göre gelişmeye hazır ve eğitimli olmasını sağlamaları gerekiyor.”
Slam dunk (da funk)
NCC, zayıf kurumsal güvenlik önlemleri ve farkındalık gibi eski favorilerden, saldırıları desteklemek için yapay zeka (AI) gibi yeni teknolojilerin kullanımına kadar, saldırı hacimlerindeki büyümeye katkıda bulunabilecek birçok faktörün rol oynadığını söyledi.
Aralık ayındaki saldırılarda herhangi bir yapay zekanın doğrudan rol oynadığını gösteren kesin olarak sıfır kanıt olmasına rağmen, güvenlik topluluğu neredeyse iki yıldır bu tür araçların olası hedefleri seçmek ve onlara karşı kimlik avı kampanyalarını desteklemek için gelişmiş bilgi toplama yoluyla fidye yazılımı saldırılarını geliştirmek için kullanıldığı konusunda uyarıyor.
Ortaya çıkan siber şantaj çetesi Funksec, bu endişe verici artışın en azından bir kısmını tetiklemiş görünüyor. Check Point’teki analistlere göre bu kişi, operasyonlarını ölçeklendirmek ve kampanyalarını yönetmek için yapay zekayı kullananlar arasında olabilir.
NCC, yalnızca 31 gün içinde 103 saldırının çeteye atfedilebileceğini doğruladı – Check Point 85 saldırı gözlemlediğini söyledi – 68 onaylanmış saldırıyla Clop/Cl0p’yi, 43 saldırıyla Akira’yı ve 41 saldırıyla RansomHub’u önemli ölçüde geride bıraktı.
Funksec standart çift şantaj teknikleri kullanıyor ve diğerlerinin yanı sıra Fransa, Hindistan, Tayland ve Amerika Birleşik Devletleri’nde ve hükümet, sağlık, imalat, medya ve teknoloji dahil olmak üzere çeşitli sektörlerde rapor edilen kurbanlarla, hedef alma konusunda bir nevi ayrım gözetmiyor gibi görünüyor.
Ancak Check Point’e göre iddiaların çoğu geri dönüştürülmüş, sahte veya doğrulanmamış olarak işaretlendi ve Funksec’in güvenilirliği ve yetenekleri hakkında önemli sorular var. Araştırma ekibi ayrıca çetenin Cezayir’le bağlantıları olabileceğini öne sürdü ve bu da onu diğer çetelerden ayıran karma bir finansal-hacktivizm motivasyonu olduğunu öne sürdü.
NCC, oluşturduğu tehdit ne olursa olsun, çetenin çok yönlü olduğunu ve 2025’te izlenmeye değer olacağını söyledi.
“Bu saldırıların ön saflarında yer alan Funksec gibi yeni ve saldırgan aktörlerin yükselişi endişe verici ve 2025’e doğru daha çalkantılı bir tehdit ortamının yaşanacağını gösteriyor. Fidye yazılımı grupları daha cesur ve gelişmiş hale geliyorsa, daha sık ve daha sık olmasını bekleyebiliriz. Yaygın saldırılar her sektörü ve bölgeyi riske atıyor” dedi Usher.
Dönüm noktası yılı
İstatistikler, birçok gözlemcinin verilerinden hangisinin okunduğuna göre değişiklik gösterse de, LockBit gibi yazılımlara karşı başarılı saldırılar göz önüne alındığında bile, 2024’ün fidye yazılımları açısından öne çıkan bir yıl olduğuna şüphe yok.
ZeroFox’taki analistler, yılı bir bütün olarak ele aldıklarında, 2024’te toplam 4.950 fidye yazılımı ve dijital gasp vakası gördüklerini söyledi; bu sayı 2023’te yaklaşık 4.000’di. Bu rakam esas olarak mağdurların ödeme yapmadığı veya hâlâ müzakerelere bağlı olduğu olayları temsil ediyor. Bu da gerçek sayının her zaman olduğu gibi çok daha yüksek olduğunu ortaya koyuyor.
ZeroFox, 2024 yılında 45 yeni fidye yazılımı çetesi tespit ettiğini, bunların çoğunun hızlı bir şekilde ortaya çıktığını, oldukça tutarlı operasyonlar kurduğunu ve daha önce gözlemlenenden çok daha hızlı bir şekilde işletmeler için gerçek bir tehdit haline geldiğini söyledi.
Topluluğun çeşitlenmesinin büyük olasılıkla daha önce LockBit ve ALPHV/Black Cat ile ilişkili kişileri serbest bırakan kolluk kuvvetleri eylemlerinin ve yeraltı siber suç pazarlarının ve hizmet olarak fidye yazılımı operasyonlarının devam eden profesyonelleşmesinin bir kombinasyonuna bağlı olduğunu söyledi. Bu, fidye yazılımı ekonomisinin daha fazla ödeme yaptığı ve aksi takdirde siber suça bulaşmayabilecek kişiler için daha erişilebilir hale geldiği anlamına geliyor.
Funksec’in kampanyasını bir kenara bırakırsak, RansomHub özellikle 12 aylık dönem boyunca en belirgin artış gösteren gibi görünüyor; Şubat’taki beş saldırıdan Kasım’daki 97 saldırıya yükseldi, gözlemlenen tüm olayların yaklaşık %10’unu temsil ediyor ve yalnızca 4. çeyrekte bilinen 216 saldırı gerçekleştiriyor.
Çetenin teknik olarak becerikli ve araç setini geliştirmede hızlı olduğunu, ağustos ayında uç nokta tespit ve yanıt (EDR) süreçlerini engellemek için tasarlanan yeni yetenekleri devreye aldığını ve diğer bağlı kuruluşlarla işbirliği yaptığını söyledi.