2025’in ilk çeyreğinde fidye yazılımı manzarasının kapsamlı bir analizinde Microsoft Tehdit İstihbaratı, tehdit aktörleri tarafından taktiklerde önemli değişimleri vurgulayarak operasyonlarında stratejik bir evrimi işaret etti.
Analiz, fidye yazılımı gruplarının sadece saldırı vektörlerini genişletmekle kalmayıp aynı zamanda bulut ortamlarını yeni ve sofistike tekniklerle hedeflediği artan bir eğilim ortaya koyuyor.
Hizmet olarak fidye yazılımı (RAAS) iştirakleri sahneye girer
Microsoft ilk kez, fidye yazılımını dağıtmak için bir Hizmet Olarak Fidye Yazılımı (RAAS) sağlayıcısı Qilin ile etkileşime giren Kuzey Kore’den devlete bağlı bir tehdit aktörü olan Moonstone Squet’i gözlemledi.
.png
)
Geleneksel olarak, bu aktör sadece özel fidye yazılımlarını kullanmış ve saldırılarının verimliliğini artırmak için yerleşik RAAS operatörlerinden yararlanmaya doğru bir kayma göstermiştir.
Bu gelişme, fidye yazılımı ekosistemindeki devlet destekli aktörlerin uyarlanabilirliğinin altını çizmektedir.
Hibrit bulut ortam güvenlik açıkları sömürüldü
Storm-0501 olarak bilinen tehdit oyuncusu, hibrid bulut ortamlarının agresif hedeflemesine devam ettiği kaydedildi.
Bu grup, şirket içi ortamlardan bulut kaynaklarına yanal olarak hareket etmek için güvensiz hibrit hesaplardan yararlanarak yaklaşımını geliştirdi, burada yedeklemeleri siliyor ve gasp mesajları gönderiyorlar.
Microsoft’un (MSFT.IT/6011S6VUW) önceki raporlarında ayrıntılı olan bu taktik, bulut mimarisi güvenlik açıklarının bir anlayışını gösterir ve bulut hizmetlerindeki yan hareketin fidye yazılımı saldırıları için nasıl yeni bir sınır haline geldiğine en iyi örnek haline gelir.
Black Basta’nın Şubat ayında grup sohbet mesajlarının sızıntısı, kapalı fidye yazılımı gruplarının operasyonel karmaşıklıkları hakkında nadir bir fikir verdi.
Sohbetler, zayıf ESXI kimlik doğrulaması ve yanal hareket için tehlikeye atılan SSH’nin yanı sıra Citrix, Jenkins ve VPN istismarlarının kullanımını ortaya çıkardı.
Seçici ve sofistike hedeflemesi ile tanınan Black Basta, Fırtına-1674 ve diğerleri gibi gruplarla örtüştükleri ile not edildi ve birbirine bağlı bir tehdit aktörleri ağını paylaşan teknikler ve altyapı ağı önerdi.
Storm-1175, SimpleHelp gibi uzaktan izleme ve yönetim (RMM) araçlarındaki yeni açıklanan güvenlik açıklarından yararlanmada özellikle aktiftir.
Kritik güvenlik açıklarından yararlanarak CVE-2024-57726, CVE-2024-57727 ve CVE-2024-57728, bu aktör, Medusa fidye yazılımlarını hızla dağıtabilerek, zamanında yama ve ransomware aktörleri tarafından bilinen güvenlik eksikliklerinin önemini vurgulayabildi.
Sahte IT dolandırıcılığı birçok fidye yazılımı grubu için birincil başlangıç erişim vektörü olarak hizmet etmeye devam ediyor.
Storm-2410 ve Storm-1674 gibi aktörler, ilk dayanakları kazanmak için bu yöntemleri kullanır ve genellikle daha fazla kontrol için Quick Assist veya PowerShell komut dosyaları gibi uzaktan erişim araçlarının konuşlandırılmasına yol açar.
Bu yöntemlerin kullanımı, fidye yazılımı için etkili bir giriş noktası olarak sosyal mühendisliğe sürekli bir güven olduğunu göstermektedir.
Microsoft’un ayrıntılı raporu, fidye yazılımı tehditlerinin gelişen doğası hakkında, özellikle bulut ortamlarından nasıl yararlandıkları ve yeni güvenlik açıklarından veya sosyal mühendislik taktiklerinden nasıl yararlandıkları konusunda işletmelere kritik bir hatırlatma görevi görüyor.
Saldırganlar uyum sağladıkça, sadece geleneksel uç nokta korumasına değil, aynı zamanda bulut altyapısının güvence altına alınmasına ve bu tür sofistike saldırıların etkisini azaltmak için sağlam yedekleme çözümlerinin mevcut olmasına odaklanan siber güvenlik stratejileri de gerekir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!