Qilin grubu, Fortinet cihazlarındaki kritik güvenlik açıklarını agresif bir şekilde kullanarak ön plana çıktı ve veri bağımlı sektörleri hedefleyen sofistike siber gasp taktiklerinin daha geniş bir eğilimini vurguladı.
Global fidye yazılımı kurbanları Mayıs 545’ten% 15’lik bir düşüş olan 463’e düştü, ancak saldırıların yoğunluğu yüksek kaldı, Qilin, 81 kurbanın fırsatçı müdahaleler yoluyla kalmamış fortigate ve fortiproxy sistemlerinden yararlandığını iddia etti.
Özellikle, kimlik doğrulama baypası ve uzaktan kod yürütme için Qilin silahlandırılmış CVE-2024-21762 ve CVE-2024-55591.
310’dan fazla kurbanla ortaya çıkmasından bu yana aktif olan bu fidye yazılımı (RAAS) operasyonu, İspanyolca konuşan bölgelerde ve ötesindeki işletmeleri tehlikeye atmak için çevre cihazlarına odaklanarak sıfır günlük istismarları cephaneliğine entegre etti.
Grubun evrimi, bağlı kuruluş panelindeki bir “çağrı avukatı” özelliği aracılığıyla psikolojik zorlama içerir, fidye ödemelerini hızlandırmak için yasal tehditleri simüle ederek Rust ve C tabanlı yükler, güvenli mod yürütme ve ağ yayılımı gibi gelişmiş yeteneklerin yanı sıra.
Gizli ve yıkıcı taktikleri tanıtın
Fog ve Anubis gibi yeni katılımcılar, modüler araç seti ve artan yıkıcısı olan fidye yazılımı metodolojilerini yeniden şekillendiriyor.
Sis, stewaway vekilleri aracılığıyla teslim edilen tuş vuruşu günlüğü ve gözetim için Syteca gibi meşru araçları kullanan gizliliğe yönelik bir yaklaşım kullanır ve Impacket’in yanal hareket için SMBexec ve Google sayfaları veya SharePoint aracılığıyla komut ve kontrol için GC2’yi kullanır.
Veri eksfiltrasyonu, 7-ZIP, Megasync ve Freefilesync’e dayanır, bu da açık kaynak yardımcı programlarını Veeam ve Sonicwall güvenlik açıklarında istismarlarla harmanlayarak uç nokta algılama ve yanıt (EDR) sistemlerinin kaçmasına izin verir.
Bu arada, Aralık 2024’ten bu yana bir RAAS varyantı olan Anubis, /Wipemode parametresi tarafından etkinleştirilen, dosya yapılarını korurken veri içeriğini silen, kurtarmayı imkansız hale getiren ve gasp basıncını güçlendiren bir dosya değiştirme modülü ekledi.
Cyfirma raporuna göre, bu Ekies ile şifreli kötü amaçlı yazılım süreçleri sona erdirir, hacim gölge kopyalarını siler ve sistem dizinlerini, ev sahibi kullanılabilirliği korumak için hariç tutar ve hızlı imtiyazları zorlamak için geri dönüşü olmayan hasara doğru bir kaymaya işaret eder.
Warlock, randomize uzantılar ve bitcoin talepleri ile kaos çerçevesi üzerine inşa edilmiş ve hızlı çoklu dosya şifrelemesiyle Kawa4096 (Kawalocker) gibi gelişmekte olan gruplar, genellikle 19 ve 9 kurbanını, genellikle RDP brute-force veya phishish vektarları aracılığıyla sırasıyla 19 ve 9 mağdur iddia eder.
Küresel dağıtım
Fidye yazılımı aktörleri, profesyonel mal ve hizmetler (60 kurban), sağlık hizmetleri (52) ve bilgi teknolojisi (50) dahil olmak üzere minimum kesinti toleransı ile sektörlere öncelik verdi, hassas verileri ve tedarik zinciri karmaşıklıklarını maksimum kaldıraç için sömürdü.
Amerika Birleşik Devletleri, ekonomik refah ve fidye ödeme potansiyeli tarafından yönlendirilen, her biri 24 yaşında Kanada ve İngiltere’yi 235 olayla taşıyordu.
Dikkate değer ihlaller arasında Qilin’in Lee Enterprises’a saldırısı, Sosyal Güvenlik numaraları ve finansal kayıtlar gibi 350 GB PII’yi ve Interlock’un Kettering Health’den 941 GB hırsızlığı, Nodesnake gibi özel sıçanlar aracılığıyla elektronik sağlık kayıtlarını bozdu.
Eski Black Basta iştirakleri, Microsoft Teams Ph avlama ve Python tabanlı sıçanları kimlik hırsızlığı için ve C2’ye bulut platformları üzerinden döndürdü.
Bu tehditlere karşı koymak için kuruluşlar proaktif önlemleri benimsemelidir: Fortinet ve SimpleHelp RMM (CVE-2024-57726 ve ark.) Gibi güvenlik açıkları için titiz yama yönetimi uygulamak, yan hareketi engellemek için ağ segmentasyonunu uygular ve çoklu faktör kimlik doğrulamasını (MFA) ayrıcalıklı hesaplarda uygular.
Çalışan eğitimi, olay müdahale planlaması ve siber sigorta, düzenli güvenlik denetimleri ile birlikte stratejik yatırımlar, ortalama 200.000 dolarlık kurtarma maliyetlerini azaltmak ve kurbanların% 31’ini etkileyen operasyonel durakları önlemek ve bu olgunlaşan fidye yazılımı ekosistemine karşı dayanıklılık sağlamak için gereklidir.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.