Japonya, 2025’in ilk yarısında fidye yazılımı saldırılarında önemli bir artış yaşadı ve olaylar 2024’teki aynı döneme kıyasla yaklaşık 1,4 kat arttı.
Siber güvenlik analistleri tarafından yapılan kapsamlı araştırmalara göre, 68 fidye yazılımı vakası, Ocak ve Haziran 2025 arasında Japon kuruluşlarını etkiledi ve geçen yılki tarihte kaydedilen 48 vakadan önemli bir artışı temsil etti.
Bu tırmanış, Japon işletmelerinin birden fazla sektörde karşı karşıya olduğu kalıcı ve gelişen tehdit manzarasını göstermektedir.
Saldırganlar, küçük ve orta ölçekli işletmeleri hedeflemek için açık bir tercih göstermeye devam ediyor ve kuruluşların tüm kurbanların% 69’unu içeren 1 milyar yenin altında sermayesi var.
Üretim, tüm olayların% 18,2’sini oluşturan en ciddi etkilenen sektör olmaya devam ediyor ve bunu% 5,7 ile otomotiv şirketleri izlemektedir.
Aylık olay oranı ortalama yaklaşık 11 saldırı, dalgalanmalar en az 4 ila en fazla 16 vaka arasında değişen ve gözlem süresi boyunca tutarlı tehdit aktör faaliyetini gösterdi.
Cisco Talos analistleri, fidye yazılımı tehdidi ortamında önemli bir değişim belirledi ve Qilin grubu Japon organizasyonlarını hedefleyen en aktif operatör olarak ortaya çıktı.
2024 mali yılında Japonya’da bildirilen bir faaliyet olmamasına rağmen, Qilin 2025’in ilk yarısında sekiz onaylanmış saldırı düzenledi ve kendini Japon siber güvenlik profesyonelleri için birincil endişe olarak belirledi.
Qilin’in operasyonlarındaki bu dramatik artış, sırasıyla Şubat 2024 ve Şubat 2025’te kolluk kuvvetleri tarafından bozulan daha önce baskın gruplar Lockbit ve 8Base tarafından faaliyetlerin sona ermesi ile çakıştı.
Araştırma ayrıca, Haziran 2025’in sonlarında operasyonlara başlayan ve hemen Japon şirketlerini hedefleyen Kawa4096 adlı yeni bir fidye yazılımı grubunun ortaya çıkışını açıkladı.
.webp)
Etkinliğin ilk haftasında, bu grup iki Japon organizasyonunu başarıyla tehlikeye attı ve kuruluşundan itibaren Japon pazarına endişe verici bir odaklanma gösterdi.
Japon kuruluşlarının bu yeni grup tarafından hızlı bir şekilde hedeflenmesi, sofistike tehdit istihbarat ve operasyonel yetenekleri önermektedir.
Kawalocker Teknik Analizi: Gelişmiş Şifreleme ve Kaçınma Mekanizmaları
Kawa4096 tarafından dağıtılan Kawalocker fidye yazılımı, onu geleneksel fidye yazılımı ailelerinden ayıran sofistike teknik özellikler sergiliyor.
Kötü amaçlı yazılım, gömülü RCDATA bölümlerinden FindResourcew API üzerinden kritik operasyonel parametreleri yükleyen kaynak tabanlı bir yapılandırma sistemi kullanır.
.webp)
Bu yaklaşım, saldırganların temel yürütülebilir dosyasını değiştirmeden şifreleme davranışını, dosya istisnalarını ve enfeksiyon sonrası komutları özelleştirmesine olanak tanır.
Fidye yazılımı, SALSA20 Stream Cipher’i kullanarak akıllı yığın tabanlı bir şifreleme stratejisi uygular ve performansı dosya boyutlarına göre optimize eder.
10 MB’den küçük dosyalar için, daha büyük dosyalar değişen yığın boyutlarında seçici şifrelemeye maruz kalırken, tam şifreleme gerçekleşir.
.webp)
32MB ve 64MB arasındaki dosyalar 32MB parçalar alırken, 2GB’ı aşan dosyalar 128MB segment kullanılarak işlenir.
Bu seçici yaklaşım, veri erişilemezliği korurken şifreleme süresini önemli ölçüde azaltır.
Kawalocker, özel dosya ilişkilendirmeleri oluşturmak için yinelenen yürütmeleri ve kayıt defteri manipülasyonunu önlemek için “Say_hi_2025” kullanılarak Mutex oluşturma da dahil olmak üzere birden fazla kaçırma tekniği içerir.
Kötü amaçlı yazılım, şifrelemeden önce veritabanı ve yedekleme hizmetlerini sistematik olarak sonlandırır, ardından kurtarma girişimlerini önlemek için Gölge Kopya Silinme komutlarını yürütür ve işletme yedekleme altyapılarının kapsamlı bir şekilde anlaşılmasını gösterir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.