Ağustos ayında, Qilin bir kez daha küresel fidye yazılımı arenasında yüce hüküm sürdü, 104 kurban iddia etti ve 56 saldırı bildiren toplam ikinci sıradaki Akira’yı neredeyse iki katına çıkardı.
Bu, Qilin’in listenin tepesinde bulunduğu beş ayda dördüncü kez, grubun amansız genişlemesini ve sofistike bağlı kuruluş işe alım stratejisinin altını çiziyor.
Yine de güvenlik ekipleri dinlenmeyi göze alamazlar: Sinobi ve beyler gibi gelişmekte olan yarışmacılar hızla saflara tırmanıyor ve tehdit manzarasını yeniden şekillendiriyorlar.
Nisan ayında Ransomhub’ın düşüşünden bu yana Qilin, son beş ay içinde kaydedilen tüm fidye yazılımı olaylarının yüzde 18,4’ünü temsil eden 398 iddia edilen kurbana hitap etti.
Bu rakam Qilin’i toplam saldırıların yüzde 10,7’sini takip eden Akira’nın yüzde 70’den fazla önüne yerleştiriyor.
Qilin’in hızlı büyümesi, kazançlı teşvikler ve hizmet olarak esnek fidye yazılımı (RAAS) modelleri sunan sağlam bağlı kuruluş programına atfedilebilir.
Eski RansomHub veya diğer operasyonlardan ayrılan iştirakler, Qilin’in teknik özelliklerini-çok katmanlı şifreleme zincirleri, anonim ödeme işleme ve özelleştirilebilir sızıntı siteleri gibi-özellikle çekici bulurlar.
Nisan ayından bu yana toplam 2.164 fidye yazılımı saldırısından Qilin%18.4’ü iddia ederken, Akira%10.7 ile%10’un üzerindeki tek fidye yazılımı grubudur.
Qilin’in egemenliğine rağmen, Akira sabit bir hız kazandı ve öncelikle orta pazar işletmelerine odaklanan daha dar ama tutarlı bir bağlı kuruluş ağından yararlandı. Yeni gruplar kampanyalarını yoğunlaştırdıkça bu dinamiklerin nasıl değişeceği, savunucular için kritik bir soru olmaya devam ediyor.
Sinobi’nin meteorik yükselişi
Ağustos ayında tartışmasız en ilgi çekici gelişme, sadece iki aylık faaliyetten sonra üçüncü sıraya koyan yeni gelen Sinobi’nin yükselişiydi.
İnşaat, mesleki hizmetler, üretim ve sağlık hizmetleri en çok hedeflenen sektörler, ardından BT ve teknoloji şirketleri ile otomotiv ve finans endüstrileri izlemektedir.
Sinobi şu ana kadar 39’u ABD merkezli 41 kurban iddia etti, geri kalanlar Avustralya ve Tayvan’da. İlk spekülasyon, kod örtüşmesi ve veri sızıntısı sitesi tasarımındaki benzerlikler nedeniyle Sinobi’yi Lynx grubuna bağladı.
Bununla birlikte, Lynx taze kurbanları (Sinobi’nin çıkışından bu yana 34) yayınlamaya devam ediyor Grupların artması, belki de ortak bağlı kuruluşlar veya işbirlikçi paktlar altında ayrı ayrı faaliyet gösteriyor.
Lynx’in kendisi, Sinobi’nin ortaya çıkmasından bu yana 80’den fazla kurban olduğunu iddia eden ve Raas oyuncularının sıkı sıkıya sarılmış bir ekosistemini gösteren INC fidye ile bağları var.
Sinobi’nin hızlı momentumu 24 Ağustos’tan sonra biraz durdu ve ayın geri kalanında sadece bir yeni kurban iddia edildi.
Bununla birlikte, yüksek profilli bir ABD finans kurumu da dahil olmak üzere ondan fazla sektörü kapsayan çeşitli hedeflemesi, iddialı ve iyi kaynaklı bir operasyona yol açıyor.
Sinobi’nin hızını sürdürüp sürdüremeyeceği veya hızlandırıp hızlandıramayacağı, önümüzdeki aylarda teknik evrimine ve bağlı kuruluş işe alımına bağlı olacaktır.
Qilin, Akira ve Sinobi’nin ötesinde, Eylül taze yarışmacıları başlattı. İlk olarak Eylül ayı başlarında gözlemlenen beyler grubu, 30’dan fazla kurban yayınladı ve liderlik tablosunda başka bir değişime işaret ediyor.
Diğer önemli yeni gelenler arasında Kasım 2024’te ortaya çıkan ve şimdi dokuz ülkede 12 kurbanı listeleyen ve Trigona ailesi kod varyantlarından yararlanan Blacknevas (“Deneme Kurtarma”) yer alıyor.
Charon Strip, Orta Doğu’daki kamu sektörüne ve havacılık hedeflerine karşı Çin bağlantılı operasyonları anımsatan Apt tarzı taktikler kullanıyor.
İlk olarak Ağustos ayı başlarında görülen Cephalus, bir .sss şifreleme uzantısı kullanıyor ve soğan veri sızıntı bölgesinde on kurbanı listeledi. İlginç bir şekilde, iki Cephalus kurbanı Qilin ve Kawa4096 ile örtüşüyor, bu da gasp baskısını artırmayı amaçladığını gösteriyor.
Sektör ve bölgesel eğilimler
Fidye yazılımı etkinliği Ağustos ayında 467 olaya yükseldi ve hala Şubat ayının rekor seviyelerinin altında olsa da, arka arkaya dördüncü aylık artışı işaret etti.
Bu arada, Lockbit, 2024’te kolluk kesintilerinden geri dönme çabasıyla 5.0 sürümünü başlattı ve yeni kaçırma tekniklerini ve gelişmiş müzakere portallarını sergiledi.
İnşaat, mesleki hizmetler, üretim ve sağlık hizmetleri en çok hedeflenen sektörler, ardından onu, otomotiv ve finans izler.
Coğrafi olarak ABD, aslanın saldırılardan payına dayanıyor, ancak Avrupa ve Kanada – özellikle Almanya ve İngiltere – önemli bir faaliyet yaşamaya devam ediyor.
APAC, Blacknevas ve Dire Wolf’da Güney Kore, Japonya, Tayland, Singapur ve Tayvan ile önemli tehditlerdi.
Meta, Qilin, Warlock ve Inc’de egemen olurken, Güney Amerika Brezilya’nın başta Qilin tarafından sekiz saldırı ile liderlik ettiğini gördü.
Fidye yazılımı arenası akıcı kalır, Qilin ve Akira gibi yerleşik gruplar Sinobi ve beyler statükoyu bozsa bile erişimlerini genişletir.
Siber güvenlik ekipleri için zorunluluk açıktır: titiz ağ segmentasyonu, sıfır güven politikaları, değişmez yedeklemeler, sertleştirilmiş uç noktalar ve proaktif güvenlik açığı yönetimi yoluyla siber esnekliği güçlendirmek.
Gelişen fidye yazılımı tehdidini azaltmak için, sürekli tehdit-zeka izleme ve saldırı yüzey yönetimi ile birleştiğinde iyi prova edilmiş bir olay müdahale planı esastır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.