NCC Group’un son aylık raporuna göre tehdit ortamında değişim yaklaşıyor gibi görünüyor Tehdit darbesi Ymir adlı yeni ortaya çıkan bir fidye yazılımı türüne ilişkin içgörüyü ortaya koyan Kasım ayı raporu, tehdit aktörlerinin nasıl giderek daha fazla işbirliği içinde hareket ettiğini ortaya koyuyor.
Ymir adlı bir fidye yazılımı türünün ortaya çıkması bunun ilk bakışta kanıtı olabilir. Yaz aylarında ilk kez belgelenen Ymir, ilk olarak kurbanları RustyStealer bilgi hırsızı ile hedef alıyor; bu yazılım genellikle dolabı açmadan önce kimlik bilgilerini elde etmek için ve bir casus yazılım düşürücü olarak kullanılıyor.
Columbia’daki bir saldırıyı analiz eden Kaspersky aracılığıyla elde ettiğimiz, hakkında çok fazla ayrıntıya sahip olduğumuz tek Ymir saldırısında ekip, savunmacıların dikkatinden kaçarak saldırısının son aşamasını çok hızlı bir şekilde gerçekleştirdi.
Tamamen yeni olan dolabı kapsamlı bir şekilde yapılandırılabilir ve kurbana göre uyarlanabilir. Yalnızca geleneksel tek gasp metodolojisine odaklanıyor gibi görünüyor; yani yalnızca verileri şifreliyor, çalmıyor ve Ymir’in operatörleri, kim olursa olsun, bir sızıntı sitesine sahip değil gibi görünüyor – bu biraz sıra dışı bir gelişme. .
Çekirdek üyelerden birinin uyruğuna ilişkin incelikli ve biraz alışılmadık bir ipucu, Angola, Kongo ve Demokratik Kongo Cumhuriyeti’nde konuşulan Lingala dilinde yazılmış bir yorum dizisinin kullanımında bulunabilir.
Ymir’in RustyStealer’ı kullanması ve son derece hızlı geri dönüş süresi, yorumcuları bu durumda bağımsız hareket edip etmediği veya başka biriyle işbirliği yapıp yapmadığı konusunda ikiye böldü.
NCC Tehdit İstihbaratı Başkanı Matt Hull, “Sektöre odaklanmaya devam edilmesine rağmen, tehdit gruplarının nasıl işlediğine ilişkin kalıplar söz konusu olduğunda çizilecek ilginç bir tablo var” dedi. “Tehdit grupları arasındaki işbirliği ve suç ile devlet destekli faaliyetler arasındaki çizgilerin bulanıklaşması, genellikle jeopolitik gerilimlerle bağlantılı olarak, saldırıların ardındaki motivasyonların anlaşılmasının zor olduğu dinamik bir tehdit ortamı yaratıyor. Bu durum Birleşik Krallık’taki NCSC’nin yakın zamanda yayınladığı uyarılarda daha da vurgulanmıştır. Yıllık inceleme.”
Tehdit manzarası
Hull, Ymir’in ortaya çıkmasının, fidye yazılımı çeteleri ile diğer tehdit aktörleri arasındaki bağlantılar ve tehdit ortamının mevcut akışkanlığı hakkında daha geniş tartışmalara yol açtığını söyledi.
Geçtiğimiz 12 ay, bu çizgilerin bir dereceye kadar bulanıklaştığı çeşitli olaylara sahne oldu; örneğin, KillSec operasyonunun bir hacktivist kolektiften fidye yazılımı operasyonuna görünüşte başarılı bir şekilde geçişi veya Cyber olarak bilinen Ukraynalı bir hacktivist çetesinin faaliyetleri. Rus hedeflerine yönelik bir dizi yıkıcı fidye yazılımı saldırısının sorumluluğunu üstlenen Anarşi Ekibi.
NCC, başka yerlerde Türk Hack Ekibi ile işbirliği yapan hacktivistlerin sızdırılan LockBit 3.0 dolabıyla Filipinler’deki hedefleri vurduğunu söyledi. Ve Kuzey Koreli Jumpy Pisces APT ile Play fidye yazılımı çetesi arasındaki (Kuzey Korelilerin muhtemelen siber suçlular için ilk erişim komisyoncusu (IAB) olarak hareket ettiği) bariz bir işbirliği de ilginç ve endişe verici bir emsal teşkil ediyor.
Raporun yazarları, “Daha önce gördüğümüzden daha geniş bir yelpazedeki aktörlerden gelen fidye yazılımlarının çoğalması muhtemelen 2025’te de devam edecek” diye yazdı.
“Fidye yazılımı son birkaç yılda büyüyor, gelişiyor ve giderek daha karmaşık hale geliyor ve diğer aktörler, fidye yazılımının hacktivistler tarafından daha tipik DDoS saldırılarının yanı sıra ek bir önlem olarak bir yok etme aracı olarak kullanılabileceğini ve hacktivistlere yardımcı olabileceğini kesinlikle fark ettiler. operasyonlar, daha fazla hacktivist kampanyayı finanse etmek için para kazanıyor, hatta düşmanca bir APT’nin ağa izinsiz girişinin gerçek faaliyetlerini gizlemek için bir sis perdesi görevi görüyor.”
Fidye yazılımı hacimleri artıyor
Genel fidye yazılımı saldırı hacimleri, Kasım 2024’te bir önceki aya kıyasla %16 arttı; NCC’nin telemetrisi, dörtte üçünden fazlası Avrupa ve Kuzey Amerika’da bulunan kuruluşları etkileyen toplam 565 saldırı kaydetti.
Saldırılardaki artış, aylık fidye yazılımı “grafiğinde” bir değişikliğe neden oldu; RansomHub, atfedilebilir 80 saldırıyla en üst sırayı alırken, yerini 87 saldırıyla Akira aldı. 43 saldırıyla ElDorado ve 33 saldırıyla Killsec, dönemde de oldukça aktifti. Sektör bazında bakıldığında, endüstriyel sektörler en çok hedeflenen sektör olmayı sürdürürken, bunu tüketici ihtiyari sektörler ve BT takip etti.
NCC ayrıca Rus Kum Solucanı gelişmiş kalıcı tehdit (APT) aktörünün saldırılarında “sürekli” bir artış gözlemlediğini söyledi. Bu yılın başlarında Mandiant tarafından resmi olarak bağımsız bir grup olan APT44’e yükseltilen Sandworm, NotPetya da dahil olmak üzere çok sayıda yüksek profilli Rus devletinin siber saldırısına karıştı.
Sandworm’un saldırıları, Rusya’nın mevcut askeri görevlerine uygun olarak büyük ölçüde Ukrayna hedeflerini merkeze alıyor, ancak Avrupa genelinde kış geldiğinde, enerji altyapısını hedef almanın arttığına dair kanıtlar var.
Hull, “Çeşitli siber tehdit aktörlerinin aralıksız faaliyetleri neredeyse sıradan hale geldi, ancak sanayi sektörüne ve özellikle de kritik ulusal altyapının bir parçası olarak faaliyet gösteren kuruluşlara odaklanmak gerçek bir endişe kaynağı olmaya devam ediyor” dedi.
“2024 sona ererken, fidye yazılımının küresel tehdidi devam ediyor, bu nedenle şirketleri saldırılara karşı koruma konusunda her zamankinden daha dikkatli olmaya çağırıyoruz” dedi. “Ve tatil dönemine girerken, lütfen güvende kalın ve yılın bu zamanında hepimizi kişisel olarak etkileyen mevsimsel dolandırıcılık ve kimlik avı e-postaları akışına karşı dikkatli olun.”