Hizmet olarak fidye yazılımı operatörleri Alphv/BlackCat ve LockBit'e karşı emniyet teşkilatının eylemlerinin sonuçları henüz tam olarak gerçekleşmemiş olsa da, Ağustos 2023'te Qakbot botnetinin kesintiye uğramasının dikkate değer bir etkisi oldu: fidye yazılımı bağlı kuruluşları, güvenlik açıklarından yararlanmaya yöneldi. kötü amaçlı yazılımı dağıtmanın birincil yöntemi.
Symantec'in Tehdit Avcısı Ekibi bu değişikliği açıkça görüyor ancak ne yazık ki fidye yazılımı kurbanlarının sayısında bir düşüş yaşanmadı.
“Fidye yazılımı sızıntı sitelerinden elde edilen verilerin analizi, saldırganların geçen yıl (4.700) 2022'ye (2.800) kıyasla önemli ölçüde daha fazla kurbanı vurmayı başardığını gösteriyor” diye belirttiler.
Sürekli değişen teknikler
Başarılı siber saldırganların özelliklerinden biri de tekniklerini “sahadaki” değişen koşullara uyarlama becerisidir. Meşhur bir kapı kapandığında, bir başkasını arar ve bulurlar.
Örneğin, Microsoft'un uyguladığı varsayılan korumalar bu yaklaşımı önemli ölçüde daha az başarılı hale getirip onları yaklaşımlarını değiştirmeye zorlayana kadar, kötü amaçlı makro destekli belgeler bir süre için fidye yazılımı dağıtımının ana araçlarından biriydi.
Araştırmacılar, fidye yazılımı saldırılarıyla ilgili diğer mevcut eğilimlere dikkat çekti: Saldırganların savunmasız sürücüleri kullanması (örneğin, güvenlik yazılımını devre dışı bırakmak için), meşru uzak masaüstü araçları (AnyDesk, Atera, vb.), özel veri filtreleme araçları (örneğin, Lockbit'in StealBit'i). ) ve kimlik bilgilerini çalmak için yerleşik Windows yardımcı programlarının (örneğin, Esentutl, DPAPI) kötüye kullanılması.
Fidye yazılımı bağlı kuruluşları: Beceriler ve bağlılıklar
Symantec'in tehdit avcıları ayrıca Lockbit'in ve Alphv/Blackcat'in bağlı kuruluşları arasında beceri farklılığına işaret eden ilginç bir şeye de dikkat çekti.
“Genel olarak kamuya açık olarak iddia edilen etkinlik seviyeleri ile Symantec tarafından araştırılan fidye yazılımı etkinlikleri arasında önemli farklılıklar var. LockBit, 2023'te iddia edilen 4.700 saldırının %21'inden fazlasından sorumluyken, Symantec'in araştırdığı saldırıların yalnızca %17 civarında olduğu belirlendi. Tam tersine, [Alphv/BlackCat] 2023'teki tüm saldırıların yüzde 9'unu üstlendi ancak Symantec'in araştırdığı tüm saldırıların yüzde 20'sinden biraz fazlasına karıştı.”
“Symantec'in bir saldırıyı belirli bir fidye yazılımı ailesiyle ilişkili olarak kesin olarak tanımlaması için saldırının, saldırganların bir veri yükü dağıtmaya çalıştığı aşamaya ilerlemesi gerekiyor. Bu şunu önerir [Alphv/BlackCat] bağlı kuruluşların saldırılarını en azından yük dağıtım aşamasına kadar ilerletme olasılıkları daha yüksek.”
Symantec'in 2023 rakamlarının mevcut durumu yansıtması pek mümkün değil: Alphv/BlackCat görünüşe göre bir çıkış dolandırıcılığı yapıyor ve bazı bağlı şirketlerini aldatıyor ve LockBit fidye yazılımı çetesinin ana operatörü, kolluk kuvvetlerinin eylemlerinden korkan bağlı kuruluşlara kalmaları konusunda güvence vermeye çalışıyor ve işbirliklerini sürdürüyorlar.
Bu arada, siber güvenlik firması RedSense'e göre, bu iki grubun yaşadığı sorunların fidye yazılımı ortamında yarattığı (göreceli) boşluk, kısmen Akira fidye yazılımı topluluğu ve Zeon gibi ilişkili “hayalet gruplar” tarafından dolduruldu.
RedSense kurucu ortağı Yelisey Bohuslavskiy, “Aralık ayında, Zeon'un hem Akira hem de LockBit için bir grup elit pentester olarak çalıştığını gösteren güvenilir birincil kaynak istihbaratı (…) elde ettik, ikincisi ana odak noktasıdır” dedi.
“LockBit'in kaldırılmasının Zeon üzerinde büyük bir etkisi oldu ve Zeon şu anda pentester'larını öncelikli olarak Akira markası için çalışmaya yönlendiriyor.”