Tehdit aktörleri, birçok sanal makineyi barındırdıkları ve bu sanal makinelerin tek bir ihlal yoluyla çeşitli sistemlere bağlandığı için sıklıkla VMware ESXi sunucularına saldırır.
Bir ESXi sunucusunun tehlikeye atılması hedeflenen hizmetlerin çökmesine neden olabilir. Ayrıca, değerli kaynaklar ve veriler ESXi sunucularında depolanır ve bu da onları bilgisayar korsanları için kazançlı hedefler haline getirir.
Microsoft Threat Intelligence’daki siber güvenlik araştırmacıları, VMWare ESXi sunucularına saldırmasıyla bilinen Octo Tempest’in yakın zamanda RansomHub ve Qilin’i de güvenlik listesine eklediğini keşfetti.
2024’ün başlarından ortalarına kadar, fidye yazılımı grubu Octo Tempest zararlı faaliyetlerini genişletti. Microsoft Threat Intelligence’daki siber güvenlik araştırmacılarının yakından izlediği bu grup, RansomHub ve Qilin adlı iki yeni fidye yazılımı türünü kullanmaya başladı.
Yapay Zeka Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz demo
Octo Tempest, insanları bilgilerini vermeleri için kandırmak amacıyla akıllıca numaralar kullanmak, insanların çevrimiçi kimliklerini çalmak, bilgisayar sistemlerinde uzun süre gizli kalmanın yollarını bulmak, sıklıkla VMWare ESXi sunucularına saldırmak ve sıklıkla BlackCat adı verilen fidye yazılımlarını kullanmak gibi çeşitli tehlikeli taktikleriyle tanınıyor.
Octo Tempest, araştırmacıların araştırdığı ve düzeltmeye yardımcı olduğu birçok siber saldırıdan sorumludur. RansomHub ve Qilin’i yeni kullanmaları onları eskisinden daha büyük bir tehdit haline getirir.
Hızla büyüyen bir fidye yazılımı hizmeti (RaaS) yükü olan RansomHub, en yaygın fidye yazılımı ailelerinden biri haline geliyor.
BlackCat gibi diğer fidye yazılımlarını daha önce kullananlar da dahil olmak üzere çeşitli tehdit aktörleri tarafından benimseniyor.
Mustard Tempest’in FakeUpdates ve Socgholish üzerinden yaptığı ilk erişimin ardından Manatee Tempest, RansomHub’ı konuşlandırdı.
Diğer etkin fidye yazılımı aileleri şunlardır:-
- Yap
- Siyah takım elbise
- Kilit biti
- Medusa
- Siyah Basta
- Oynamak
Bunun yanı sıra bu çeyrekte yeni bir fidye yazılımı olan Fog ortaya çıktı ve daha önce Akira’yı tercih eden Storm-0844 tarafından kullanıldı.
Storm-0844, öncelikle potansiyel olarak ihlal edilmiş hesaplara sahip VPN istemcileri aracılığıyla giren kötü niyetli aktörlerden oluşan bir gruptur.
Bunu, ağ gözetimi, yanal hareket ve sahne veri sızdırma rclone için ADFind, Rubeus ve Advanced IP Scanner gibi açık kaynaklı araçlar kullanarak yapıyorlar.
“FakePenny” adlı yeni fidye yazılımının kökeni, ilişkili olduğu Kuzey Koreli Moonstone Sleet grubuna kadar uzanıyor. Bu aktör ayrıca taktiklerinden biri olarak sinsi bir tank oyunu kullanıyor.
Octo Tempest ve Storm-0501 esas olarak kimlik ihlaline odaklanıyor. İkincisi, etki alanı federasyonları kurma girişimlerinde “AADInternals” gibi açık kaynaklı platformları kullanıyor ve bu da Embargo fidye yazılımında doruğa ulaşıyor.
Farklı hacker’ların çeşitli taktikler ve araçlar kullanması, siber tehdit ortamının birçok aktör grubu arasında nasıl daha karmaşık hale geldiğini göstermektedir.
Fidye yazılımı saldırganları, Storm-1811’in Quick Assist’i kötüye kullanması gibi uzaktan yönetim araçlarını kötüye kullanarak Black Basta saldırılarına yol açıyor.
Bu büyüyen tehdit ile mücadele etmek için kullanıcıların kimlik bilgisi temizliği, en az ayrıcalık ve Sıfır Güven gibi en iyi güvenlik uygulamalarına bağlı kalmaları gerekir.
Ücretsiz web seminerimize katılarak şunları öğrenin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.