Önde gelen fidye yazılımı grubu LockBit, Nisan’dan Mayıs’a kadar gözlenen kurbanlarda %30’luk bir düşüş (110’dan 77’ye) görmesine rağmen, Mayıs ayında fidye yazılımı kurbanlarının sayısında bir önceki aya göre artış oldu.
Fidye yazılımı ağır sikleti AlphV ayrıca, Nisan ayındaki 51 gözlemlenen kurbana kıyasla Mayıs ayında 38 gözlenen kurbanla, bildirilen kurban sayısında da bir düşüş yaşadı.
GuidePoint Security’nin en son GRIT raporuna göre, bu kuruma olay yerine giren birkaç yeni markalı grup tarafından telafi edildi ve gözlemlenen fidye yazılımı kurbanlarında genel bir artışa katkıda bulundu.
Mayıs GRIT raporu, mağdur olduğunu iddia eden 28 gözlemlenen grupla birlikte, çok çeşitli aktif tehdit gruplarının altını çizdi. Açık ara en çok hedef alınan ülke olan Amerika Birleşik Devletleri’ndeki kurbanların önderliğinde, Nisan’dan Mayıs’a kadar herkese açık olarak yayınlanan fidye yazılımı kurbanlarında %13,57’lik bir artış ve toplam 410 olay oldu.
Rapor, acemi Akira fidye yazılımı grubunun Nisan ayından bu yana özel bir önem kazandığını belirtiyor (isim, bir motorcuyu öfkeli bir psikopata dönüştüren 1988 Japon anime kült klasiğine potansiyel bir gönderme). Ekip, öncelikle jQuery kullanılarak etkileşimli bir komut istemi olarak tasarlanmış benzersiz bir veri sızıntısı sitesiyle tanınır.
Eğitim kurumları, gözlemlenen 36 kurbandan sekizini temsil eden Akira tarafından orantısız bir şekilde hedef alındı. Grup, “çifte gasp” yaklaşımını izliyor: kurbanlardan veri çalmak ve fidye ödenmezse bu verileri sızdırmakla tehdit etmek.
Kesin bir hipotez oluşturmak için yeterli veri olmasa da, GuidePoint Security tehdit istihbaratı danışmanı Nic Finn, bazı yeni grupların başlangıçtaki fidye yazılımı taleplerini önemli ölçüde azalttığını gözlemlediğini belirtiyor.
“Bu eğilim devam ederse, fidye yazılımı gruplarının mağduriyet ile fidye yazılımı ödemesi arasındaki süreyi kısaltmaya çalıştığını gösterebilir” diyor.
Bununla birlikte, genel olarak, GRIT bulguları, artan fidye yazılımı maliyetlerine dikkat çekerek 2023 Verizon Veri İhlali Araştırmaları Raporunu tekrarladı.
Yeni Fidye Yazılım Gruplarının Ortaya Çıkışı
GRIT ayrıca olay yerinde her biri kendine özgü özelliklere ve hedeflere sahip 8Base, Malas, Rancoz ve BlackSuit gibi yeni görünen fidye yazılımı gruplarını da belirledi.
Geçen yıl 67 kişinin hayatını kaybettiğini iddia eden 8Base, öncelikli olarak bankacılık ve finans sektörünü hedef aldı ve öncelikle ABD ve Brezilya’ya odaklanırken, Malas şantaj grubunun iş e-postası ve işbirliği yazılımı Zimbra’yı toplu olarak sömürdüğü gözlemlendi.
Şimdiye kadar biri teknoloji sektöründe ve biri imalat sektöründe olmak üzere yalnızca iki kurban gönderen Rancoz hakkında çok az şey biliniyor, BlackSuit ise yalnızca bir kurban gözlemlenmesine rağmen operasyonlarının olgunluğu için işaretlendi.
Finn, ortaya çıkan bu tehdit gruplarının, kalabalık fidye yazılımı ortamına uyum sağlamayı ve kâr elde etmeyi amaçlayan yerleşik ve yenilikçi taktiklerin bir kombinasyonunu uyguladığını açıklıyor.
Son zamanlarda gözlemlenen bir yöntemin, sızdırılmış verilere odaklanan tek bir gasp işlemine doğru bir geçiş olduğunu belirtiyor – şifreleme gerekmiyor.
“Bu, fidye yazılımı grupları için çok daha sürdürülebilir çünkü şifre çözücüler başarısız olduğunda kurbanlarla daha az sorun giderme gerektiriyor” diyor.
Finn, fidye yazılımı gruplarının son zamanlardaki davranışlarının, daha yeni ve başarılı olduğuna inandıkları taktikleri takip ettiklerini öne sürdüğünü açıklıyor.
“Veri yayınlama tehdidi yoluyla tek bir gasp eğilimi, diğer gruplar tarafından algılanan başarının bir sonucu olabilir veya kurbanlarla olan etkileşimlerine dayanarak yaptıkları bir tespit olabilir” diyor.
Örneğin, kurbanlarının önemli bir kısmı yalnızca silme kanıtı ve onlara bir daha saldırmama garantisi karşılığında fidye talebini düşürmeyi istiyorsa bu, fidye yazılımı gruplarının kurbanlarının büyük bir kısmının yerinde yedekleri olduğunu varsaymasına yol açabilir. , bir kurban ağını şifreleme çabasını gereksiz gösteriyor.
Finn, “Veri yedekleme en iyi uygulamalarını takip eden kuruluşlar, herhangi bir potansiyel veri hırsızlığı girişimi için tespitler geliştirme ve etkinlikleri izleme konusunda gayretli kalmalıdır, çünkü bu tek gasp eğilimi kesinlikle devam edecek ve muhtemelen 2023 boyunca büyüyecektir” diyor.
Eğitim Sektörü Gözde
Akira ve Vice Society gibi daha eski grupların kanıtladığı gibi, fidye yazılımı grupları kreşlerden büyük üniversitelere kadar eğitim kurumlarını giderek daha fazla hedef alıyor. Toplamda, fidye yazılımı grupları Mayıs ayında eğitim sektöründe 35 benzersiz kurban bildirdi.
Raporda, “PaperCut MF/NG güvenlik açığı gibi okullarda yaygın olarak kullanılan yazılımları etkileyen güvenlik açıklarında son zamanlarda bir artış” belirtildi.
Finn, “Sonuçta elde edilen verilerde çok fazla kişisel olarak tanımlanabilir (PII) ve hassas öğrenci verisi olduğu için eğitim sektörü yoğun bir hedefleme görüyor gibi görünüyor” diyor. “Ayrıca, etkilenen bireylerin sayısı, mağdur örgütün boyutuna katlanarak artıyor.”
Örneğin, sadece bin kadar aktif öğrencisi olan bir okul sistemi, binlerce eski öğrencinin kayıtlarını ve verilerini ve ayrıca verileri risk altında olan öğrencilerin aileleriyle ilgili bilgileri barındırabilir.
“Bir diğer büyük faktör de medyanın ilgisi” diye ekliyor. “Fidye yazılımı aktörleri, medyada yer almalarını sağlayan eğilimleri takip ediyor. LA Unified School District’e yönelik siber saldırı, medyanın çok fazla ilgisini çekti, bu nedenle, muhtemelen daha fazla grup, haberin aynısını yapmak için bu eğilime uyuyor.”
MOVEit ve Toplu Sömürü
Son zamanlarda başarılı fidye yazılımı saldırılarının artmasındaki bir başka faktör de, fidye yazılımı gruplarının sıfırıncı gün güvenlik açıklarından yararlanma olgusudur. çok fazlaraporda belirtildiği gibi, hırsızlık gerçekleştiriyor ve kurbanların fidye için koordinasyon sağlamak için onlara ulaşmasını bekliyor.
Yüzlerce kuruluşa karşı MOVEit güvenlik açığından yararlanan devam eden Cl0p saldırıları, DeadBolt fidye yazılımı varyantında ve yakın zamanda bir tehdit aktörü tarafından Nokoyawa fidye yazılımını dağıtmak için istismar edilen başka bir türde de görülen eğilimin simgesidir.
“Görünüşe göre Cl0p, özellikle dosya aktarım yazılımı olmak üzere toplu sömürü üzerinde çalışan son derece teknik bilgisayar korsanlarından oluşan bir ekibe sahip,” diye ekliyor Finn.
Son raporlar, grubun MOVEit istismarı üzerinde çalışmaya 2021 yılına kadar başladığını ve hatta bu yılın başlarında GoAnywhere MFT hizmetine karşı farklı bir toplu istismar kampanyasını tamamlayana kadar güvenlik açığının toplu istismarını ertelediğini gösteriyor.
“Bu, önemli bir stratejik planlama kabiliyetine işaret ediyor, hatta daha az personelin hemen müdahale edebileceği Anma Günü hafta sonu boyunca bu MOVEit güvenlik açığından yararlanmaya başlama kararına kadar,” diyor.
Son iki yılda fidye yazılımı etkinliğinde son iki yıldır kayda değer bir yavaşlama olsa da, Finn bunun bu yıl da devam edebileceğini ekliyor, ayrıca diğer fidye yazılımı gruplarının Cl0p gibi grupların davranışlarını taklit etmeye ve girişiminde bulunmaya “iyi bir şans” var. başka yerlerdeki faaliyetlerdeki düşüşleri dengeleyebilecek kitlesel sömürü.