MalwarebyteLabs’in bildirdiğine göre, MalasLocker fidye yazılımı, Mayıs ayında hedef sayısında önemli bir artışa tanık olarak LockBit’i önde gelen fidye yazılımı türü olarak tahttan indirdi.
May, benzeri görülmemiş bir 556 fidye yazılımı kurbanı vakası gördü ve MalasLocker’ın hakimiyetini, birincil hedefler olarak İtalya ve Rusya’ya odaklandığını ve eğitim sektörüne yönelik saldırılarda endişe verici bir artışı vurguladı.
MalasLocker fidye yazılımı baskın bir oyuncu olarak ortaya çıkıyor
MalasLocker fidye yazılımı, fidye yazılımı saldırıları için Zimbra sunucularını istismar ederken tespit edildikten sonra Mayıs ayında 169 kurbandan oluşan bir liste talep ederek siber güvenlik haberlerinde ortaya çıktı.
Geçen ay boyunca, MalasLocker’ın etkisi, LockBit’in 76 saldırısını yaklaşık 100 sayı geride bırakarak, 171 kurban kaydederek hızla arttı. Bu, LockBit’in böyle bir zorlukla ilk kez karşılaşması değil.
Nisan ayında Cl0p, GoAnywhere MFT’deki sıfır günlük bir güvenlik açığından yararlanarak 100’den fazla kurbanı başarılı bir şekilde tehlikeye atarak en üst sırayı aldı. Benzer şekilde MalasLocker, uzaktan kod yürütmeyi gerçekleştirmek için Zimbra sunucularındaki güvenlik açıklarından, özellikle CVE-2022-24682’den yararlandı.
MalasLocker fidye yazılımı, benzersiz bir yaklaşım
Cyble Research and Intelligence Labs’e (CRIL) göre, MalasLocker’ı gerçekten farklı kılan şey alışılmadık metodolojisidir.
Tipik fidye yazılımı gruplarının aksine, MalasLocker parasal fidye talep etmekten kaçınır. Bunun yerine çete, kurbanları onaylanmış hayır kurumlarına katkıda bulunmaya çağırıyor.
Fidye yazılımının “Robin Hood’u” kılığına giren MalasLocker, şirketlere ve ekonomik eşitsizliğe karşı olduğunu iddia ediyor. Bununla birlikte, bir kurban hayır kurumuna bağışta bulunduğunda çetenin şifre çözme hizmetleri sağlama sözünü yerine getirip getirmediği konusunda şüpheler hakim.
MalwarebyteLabs raporuna göre, diğer fidye yazılımı grupları da yaygın saldırılar için bilinen güvenlik açıklarından yararlanmaya odaklanarak çalışma tarzlarını önemli ölçüde geliştirdi.
Örneğin Cl0p ve MalasLocker, belirli sistem zayıflıklarından yararlanmak için hedefleme çabalarını otomatikleştirerek operasyonlarının ölçeğini ve etkisini artırdı.
İtalya ve Rusya merkezde, eğitim risk altında
İtalya ve Rusya, Mayıs ayında MalasLocker fidye yazılımı listesinin başında yer aldı. Fidye yazılım gruplarının ülkelere yönelik kampanyaları, hem İtalya’yı hem de Rusya’yı Mayıs ayında genel olarak en çok hedef alınan ilk üç ülke arasına fırlattı.
İtalya, bir önceki aya göre altı kat şaşırtıcı bir artış yaşarken, daha önce liste dışı olan Rusya bildirilen 50 saldırıya maruz kaldı.
MalasLocker fidye yazılımı bu ülkeleri hedef almada önemli bir rol oynadı, ancak kasıtlı seçimden ziyade savunmasız hedefler gibi görünüyordu.
Eğitim sektörüne yönelik fidye yazılımı saldırılarının artan saldırısı özellikle endişe vericidir.
MalwarebyteLabs raporu, “Mayıs 30 bilinen saldırı gördü; 2022’nin başlarında kayıt tutmaya başladığımızdan bu yana tek bir ayda gördüğümüz en yüksek saldırı ve son on iki ayda sürekli artış görülen bir eğilimin devamı” dedi.
“Haziran 2022 ile Mayıs 2023 arasında, Vice Society diğer tüm çetelerden daha fazla eğitim hedefine saldırdı – her yerdeki okulları, kolejleri ve üniversiteleri alarma geçirmesi gereken bir uzmanlık.”
MalasLocker fidye yazılımı ve sahneye yeni girenler
MalasLocker fidye yazılımının yanı sıra, yakın zamanda BlackSuit, Rancoz, 8BASE ve RA Group dahil olmak üzere birkaç yeni fidye yazılımı çeşidi ortaya çıktı.
CRIL araştırmacıları, piyasaya yeni giren BlackSuit’in Royal fidye yazılımına çarpıcı bir benzerlik gösterdiğini belirtti.
CRIL raporu, “Bu, Linux’un kurumsal ortamlar ve bulut bilgi işlem platformları dahil olmak üzere çeşitli sektörlerde bir işletim sistemi olarak yaygın bir şekilde kullanılmasına bağlanabilir” dedi.
“Linux’un yaygın kullanımı, onu fidye yazılımı grupları için çekici bir hedef haline getiriyor, çünkü tek bir saldırı potansiyel olarak çok sayıda sistemi tehlikeye atabilir.”
MalwarebyteLabs raporuna göre, başka bir acemi olan Rancoz, saldırıları belirli sektörler veya bölgelere göre uyarlamak için sızan kaynak kodunu değiştiriyor.
Nisan 2022’den beri faaliyet gösteren 8BASE, Profesyonel/Bilimsel/Teknik sektöründe kayda değer bir yoğunlaşma ile ağırlıklı olarak küçük ve orta ölçekli işletmelere odaklanmaktadır.
CRIL araştırmacıları, “Bu fidye yazılımının arkasındaki grup, önce kurbanın verilerini çaldıkları ve ardından şifreledikleri çifte gasp stratejisi benimsedi” dedi.
“Kurban fidyeyi ödemeyi reddederse, saldırganlar çalınan verileri kendi sızıntı sitelerinde yayınlar. Grup, web sitesinde 66 kurbanla ilgili bilgileri zaten ifşa etti.”
RA Group öncelikle Amerika Birleşik Devletleri ve Güney Kore’deki ilaç, sigorta, servet yönetimi ve imalat firmalarını hedefliyor.
“Aktör, operasyonlarını hızla genişletiyor. Bir CISCO Talos raporunda, grup bugüne kadar ABD’de üç ve Güney Kore’de üretim, servet yönetimi, sigorta sağlayıcıları ve ilaç da dahil olmak üzere çeşitli iş dikeylerinde bir kuruluşun güvenliğini tehlikeye attı.
Fidye yazılımı riskini azaltma
Artan fidye yazılımı tehdidiyle mücadele etmek için kuruluşlara, ortak giriş noktalarını engelleme ve izinsiz giriş tespit sistemleri kullanma gibi önleyici tedbirler almaları tavsiye edilir.
Sağlam uç nokta güvenlik çözümlerinin devreye alınması, tesis dışı ve çevrimdışı yedeklemelerin sürdürülmesi ve kapsamlı saldırı sonrası silme işlemlerinin gerçekleştirilmesi, sonraki saldırıların önlenmesine yardımcı olur.
MalasLocker fidye yazılımındaki artış, İtalya ve Rusya’daki saldırıların yoğunlaşması ve eğitim sektörünün savunmasızlığı, gelişen fidye yazılımı manzarasının altını çiziyor.
Bu siber suçlular taktiklerini adapte ederken, kuruluşlar tetikte olmalı ve potansiyel fidye yazılımı saldırılarına karşı korunmak için kapsamlı güvenlik önlemleri almalıdır.