Japonya, 2025’in ilk yarısında fidye yazılımı saldırılarında önemli bir artış gördü ve olaylar bir önceki yılın aynı döneminde yaklaşık 1,4 kat arttı.
Cisco Talos’un ayrıntılı bir soruşturmasına göre, 68 fidye yazılımı davası Ocak -Haziran 2025’e kadar yerli firmalar ve denizaşırı şubeleri de dahil olmak üzere Japon kuruluşlarını hedef aldı.
Cisco Telemetri, Resmi Şirket Bildirileri, Haber Raporları ve Fidye Yazılımı Sızıntı Siteleri gibi kaynaklardan alınan bu artış, bir önceki yılda kaydedilen 48 olayla keskin bir tezat oluşturuyor.
Japonya’da fidye yazılımı manzarası
Aylık saldırı hacimleri 4 ila 16 arasında dalgalandı, ayda yaklaşık 11 ortalama, kalıcı ve yoğunlaştırıcı bir tehdit vektörünün altını çizdi.
Üretim sektörü, vakaların% 18,2’sini oluşturan bu saldırıların yükünü taşıyor, ardından otomotiv (% 5,7), ticaret şirketleri, inşaat ve ulaşım sektörleri geçen yıldan itibaren 4,6’da değişmedi.
Desen, saldırganların özellikle kurbanların% 69’unu,% 38’i 100 milyon ¥ altında ve% 31’i 100 milyon ¥ ile 1 milyar ¥ arasında olan küçük ve orta ölçekli işletmelere (KOBİ) odaklanmaya odaklanıyor.
Bu hedefleme stratejisi, sağlam siber güvenlik önlemlerinin daha büyük şirketlerin gerisinde kalabileceği daha az kaynaklı varlıklardaki güvenlik açıklarından yararlanmaktadır.
Sırasıyla 2024 ve 2025 yıllarında uluslararası kolluk kuvvetleri tarafından sökülen Lockbit ve 8Base gibi daha önce baskın grupların olmaması, ortaya çıkan tehditlerin yolunu açmıştır.
Özellikle, Qilin en üretken aktör olarak yükseldi ve bu dönemde sekiz Japon kurban olduğunu iddia etti, 2024 mali yılında sıfır olaylardan keskin bir artış.
Ekim 2022’den bu yana aktif olan Qilin’in operasyonları, Global Fidye Yazılımı (RAAS) modelini örneklendirerek erişimini ve etkisini artırıyor.
Diğer aktif gruplar arasında Ransomhub ve Hunters International, her biri üç olayı olan Lynx, Nightspire ve Ransomhub ile birlikte ve Akira, Cicada3301, Gunra, Kawa4096 ve iki APTICE ile uzay ayıları bulunmaktadır.
Siyah takım elbise, Clop, Devman, Sis gibi tek bir sonuç aktörleri ve tehdit manzarasını daha da çeşitlendiriyor.
Ortaya çıkan tehdide dikkat çekiyor
Yeni bir katılımcı Kawa4096, Haziran 2025’in sonlarında ortaya çıktı ve Japon kuruluşlarını ay sonuna kadar iki onaylı saldırı ile hızla hedef aldı.
Bu grubun Kawalocker fidye yazılımı, FindResourcew API çağrıları aracılığıyla kaynak bölümlerinden yapılandırmaları yükleyerek sofistike teknikler kullanır.
Bu yapılandırmalar, “kapatma /R /T 0” yoluyla test için hesap makinesi lansmanları veya zorla yeniden başlatmalar gibi WMI ile yürütülen eylemler gibi şifreleme (örn. Dosya uzantıları, dizinler), işlem sonlandırmaları ve şifreleme sonrası komutlar için istisnaları belirler.
Şifrelenmiş dosyalar, kaynak verilerinden türetilen özel uzantılar alır ve ilişkili simgeler HKEY_LOCAL_MACHINE \ Software \ Classs altında Windows Kayıt Defteri’nde kaydedilir.
Argüman işleme, kapsamlı şifreleme için “-LL”, dizine özgü hedefleme için “-d” ve minidumpwritedump API tabanlı bellek dökümleri için “-Dump” ile çok işlevli okumayı destekler.
Mutex oluşturma (“Say_hi_2025”) eşzamanlı yürütmeleri önlerken, çift uzatma taktikleri, “File-Kavva.txt” gibi fidye notlarında belirgindir ve çalışan ve müşteri kayıtları gibi hassas bilgilerin veri sızıntılarını tehdit eder.
Karakulma sonrası, kötü amaçlı yazılım, Gölgeleri Silme (VSSADMIN.EXE, WMIC), açık olay günlüklerini (WEVTUTIL) ve gecikmeli komutlar yoluyla kendi kendini tanımlamak için komutlar yürütür.
Şifreleme, Salsa20 Stream Cipher’i uyarlamalı parçalarla kaldırır: Dosyalar ≤10MB tamamen şifreleme yaparken, daha büyük olanlar boyuta göre ölçeklendirilmiş 64kb tabanlı parçalara ayrılır (örn. 10-100MB için 1 yığın,> 1GB için 100’e kadar), performansı optimize eder.
2025 Temmuz ayı sonlarına kadar Kawalocker 2.0, e -posta kişileri ile güncellenmiş bir fidye notu ve hash ve şaşkın dosya adları için “Hide_Name” bayrağı da dahil olmak üzere geliştirmeleri tanıttı.
Bu gelişmeler, KAWA4096’nın hızlı evrimine işaret ederek, bu gelişen siber riski azaltmak için güvenlik açığı yönetiminde artan uyanık ve Japon KOBİ’leri arasında tehdit istihbarat paylaşımını teşvik ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!