NCC Group’un son aylık raporuna göre, kaydedilen fidye yazılımı saldırı hacimleri Ekim 2024’te %19 artarak dünya çapında toplam 468 olaya ulaştı; bunların önemli bir kısmı tartışmalı başkanlık seçimlerinin muhtemelen Rusça konuşan tehdit aktörlerini saldırmaya cesaretlendirdiği ABD’deydi. Tehdit darbesi rapor.
Her ne kadar Rusya devletinin ABD seçim sürecine tam kapsamlı müdahale girişimi henüz tam olarak bilinmese de, NCC’nin tehdit istihbaratı başkanı Matt Hull, 5 Kasım anketinde artan miktarda tehdit faaliyeti görülmesinden önceki son birkaç haftada bunun pek de sürpriz olmadığını söyledi. .
“ABD seçimleri gibi jeopolitik motivasyonlar, Rusya gibi ulus devletlerin küresel çaptaki siber saldırılar üzerinde ağır etkiye sahip olmaya devam ettiğini gösterdi” dedi.
Hull, “Veriler, ulus devletler ve organize suç gruplarının giderek daha fazla işbirliği yapmasıyla tehdit manzarasının değişen dinamiklerine tanık olduğumuzu gösteriyor” dedi. “Farklı tehdit aktörleri birbirlerinin kaynaklarından yararlanırken, kuruluşların parola yönetimi, uç nokta güvenliği ve çok faktörlü kimlik doğrulama gibi temel güvenlik uygulamalarından haberdar olmalarını sağlamak hayati önem taşıyor.”
Aslında, coğrafi dağılıma göre bakıldığında, Kanada ve Meksika gibi ülkeleri de içeren Kuzey Amerika bölgesi, kaydedilen fidye yazılımı saldırılarının 272’sini, yani %56’sını oluşturuyordu. Karşılaştırıldığında, 97 saldırının (yüzde 20’si) Avrupa’daki kuruluşlar mağdur oldu; yani geçen ay görülen fidye yazılımı saldırılarının dörtte üçünden fazlası bu iki bölgeyi hedef aldı.
Elbette bu, dünyanın geri kalanını dışlamak anlamına gelmiyor ve özellikle bir saldırı, ulus devletler ile organize suçlular arasındaki çizgilerin belirgin şekilde bulanıklaştığını uygun bir şekilde ortaya koydu. Bu, Japon elektronik devi Casio’nun sistemlerinin, Rus siber suç grubu Storm-0978 veya RomCom ile bağlantılı Yeraltı fidye yazılımı tarafından sekteye uğratıldığı bir olaydı.
Çifte gasp saldırısı, çalışan, iş adayı ve iş ortağı verilerini hedef alarak kesintilere ve hizmet kesintilerine neden oldu. Olay büyük ihtimalle Microsoft Office’te bulunan ve Rus devlet aktörleri tarafından hedef alındığı bilinen bir uzaktan kod yürütme güvenlik açığı olan CVE-2023-36884 aracılığıyla başladı; NCC’ye göre RomCom’un Kremlin adına saldırı düzenleyen birkaç çeteden biri olduğu düşünülüyor.
NCC, Rusya ile Japonya arasında artan jeopolitik gerilimin olaya “ilgi çekici” bir katman eklediğini söyledi. Japonya’nın yerli Ainu halkının atalarının vatanı olan Sakhalin adasını ve yakındaki Kuril Adaları’nı İkinci Dünya Savaşı’nın sonundan bu yana elinde tutan Rusya’nın, Japonya’nın NATO ittifakıyla artan askeri işbirliğinden endişe duyduğu düşünülüyor. ve Moskova, ABD ile Japonya arasında yakın zamanda gerçekleştirilen ortak askeri tatbikat Keen Sword 2024’ü protesto etti.
Raporun yazarları, “Bu askeri faaliyetler ve Japonya’nın güçlendirilmiş savunma duruşu, Rusya’ya bağlı siber kuruluşların saldırgan taktiklerinin artmasına katkıda bulunmuş olabilir” diye yazdı.
“Japon şirketlerine yönelik saldırılar bir tür baskı veya misilleme işlevi görebilir ve Rusya’nın Japonya’nın savunma stratejilerinden hoşnutsuzluğunu işaret edebilir. Rusya, bağlı siber suç grupları aracılığıyla önemli Japon işletmelerini hedef alarak, ekonomik istikrarı bozmayı ve açık bir askeri çatışma olmadan gücü yansıtmayı amaçlayabilir.
“Bu durum, suç örgütlerinin ve devlet destekli aktörlerin hem finansal hem de stratejik hedefleri takip edebildiği modern siber savaşın karmaşıklığını gösteriyor… Bu nedenle, işletmelerin savunma stratejilerinde geleneksel ve devlet destekli çeşitli tehditleri kapsaması gerekiyor.”
RansomHub zirvede yer alıyor
En üretken fidye yazılımı operatörleri açısından, Ekim ayında en aktif çete olarak hakimiyetini sürdüren, 68 saldırının sorumluluğunu üstlenen RansomHub oldu, ancak bu sayı bir önceki aya göre biraz düştü.
İkinci sırada yaklaşık 55 saldırıyla Play yer aldı; ardından 30 ila 40 arasında Killsec geliyor; Sarkom, yaklaşık 30’la; ve Miyav, yaklaşık 25 kişiyle.
Geçtiğimiz ay en aktif 10 operasyonun geri kalanı Fog, Hunters, ElDorado, Medusa ve BlackSuit oldu.
Genel olarak, kritik ulusal altyapı (CNI) operatörlerini içeren sanayi sektörü, gözlemlenen saldırıların 148’ini veya %30’unu oluşturarak en çok hedef alınan sektör olmaya devam etti. Tüketici ihtiyari sektörü (perakende) 100 saldırıyla onu takip etti; ve sağlık sektörü 55’i oluşturdu.
Hull, “CNI’ya odaklanmanın da gösterdiği gibi, saldırılar daha az rastgele hale geliyor ve maksimum etkiyi yaşayacak kuruluşları daha fazla hedef alıyor” dedi.
“‘Çalışma süresine’ güvenenler ve büyük miktarda fikri mülkiyete veya kişisel olarak tanımlanabilir bilgiye sahip olanlar yüksek değerli hedeflerdir.”