Merkezi Rusya’da bulunan siber güvenlik firması Kaspersky, siber suçlu gruplarının art arda iki tür kötü niyetli saldırı gerçekleştirerek karlarını en üst düzeye çıkarmak için bir araya geldiği rahatsız edici bir eğilimi ortaya çıkardı. Bu işbirlikçi strateji, önce bilgi çalan kötü amaçlı yazılımların yayılmasını, ardından fidye yazılımı saldırısının yapılmasını içeriyor; böylece siber suçluların fidyenin iki katını alması sağlanıyor.
En son keşif, bir işletmenin, oturum açma kimlik bilgileri, kişisel dosyalar ve diğer kritik bilgiler gibi hassas verileri toplamak için tasarlanmış bir tür kötü amaçlı yazılım olan RustyStealer’ı kullanan bir siber suçlu grubu tarafından hedef alındığı Kolombiya’daki bir araştırmadan geldi. Saldırganlar bu verileri başarılı bir şekilde çıkardıktan sonra, tehlikeye atılan ağı Ymir olarak bilinen nispeten yeni bir fidye yazılımı türünü kullanan başka bir gruba devrettiler.
Ymir fidye yazılımı özellikle tehlikelidir çünkü gizli kalır, çoğu kötü amaçlı yazılım önleme sistemini atlar ve dosyaları zaman içinde kademeli olarak şifreler. Şu anda bu fidye yazılımı için herhangi bir şifre çözme anahtarı mevcut değil, bu da onu kurbanlar için daha da güçlü bir tehdit haline getiriyor.
Araştırmacılar hala RustyStealer kullanımı ile Ymir fidye yazılımının yayılması arasında net bir bağlantı kurmaya çalışırken, olay siber suç dünyasında büyüyen bir eğilimin, yani bilgisayar korsanlığı grupları arasındaki işbirliğinin altını çiziyor. Çoğu durumda siber suçluların, ortaklarının hedef ağlara daha etkili bir şekilde sızmasına yardımcı olabilecek güvenlik açıklarını ve araçları paylaştığı biliniyor.
BlackCat (ALPHV) fidye yazılımı grubunda da benzer bir model gözlemlendi. 2024 yılında BlackCat, sağlık hizmeti sağlayıcısı Change Healthcare’i hedef alarak kripto para birimi olarak 22 milyon dolarlık fidye talep etti. FBI, ALPHV grubunun altyapısını Mart 2024’te çökerterek operasyonlarını aksattı. Ancak kısa bir süre sonra, artık kullanılmayan BlackCat ile bağları olduğunu iddia eden Ransom Hub adında yeni bir fidye yazılımı grubu ortaya çıktı. Ransom Hub, Change Healthcare’den hassas verileri sızdırmakla tehdit ederek yeni bir fidye talep etmeye devam etti.
Her iki durumda da siber suçlular koordineli bir saldırıda birlikte çalıştılar; önce değerli bilgileri çaldılar, ardından aynı veriler için birden çok kez fidye talep ettiler. Bu strateji, siber suç dünyasındaki grupların kazançlarını artırmak için nasıl giderek daha fazla işbirliği yaptığını ve hedefin ağını farklı şekillerde tehlikeye atma yeteneklerinden nasıl yararlandıklarını gösteriyor.
Uzmanlar, siber suç örgütlerinin savunması daha zor bir çifte tehdit oluşturmak için taktiklerini geliştirmeye ve kaynakları bir araya getirmeye devam etmesiyle bu eğilimin daha yaygın hale gelebileceği konusunda uyarıyor.
Reklam