2023 yılının 2. çeyreğinde, GuidePoint Araştırma ve İstihbarat Ekibi (GRIT), 41 farklı tehdit grubu tarafından iddia edilen toplam 1.177 kamuya açıklanmış fidye yazılımı kurbanını takip etti.
En çok etkilenen sektörler
GRIT’in raporu, 2023’ün 1. çeyreğine kıyasla kamuya açık fidye yazılımı kurbanlarında %38’lik bir artış ve 2022’nin 2. çeyreğine göre şaşırtıcı bir şekilde %100’lük bir artış olduğunu gösteriyor. Etkilenen sektörlerin sırasıyla %14’ünü ve %11’ini temsil eden üretim ve teknoloji, en çok etkilenen sektörler olmaya devam ediyor.
Danışmanlık (+%236) ve sigortacılık (+%160) sektörleri, gözlemlenen fidye yazılımı saldırılarında en büyük göreli büyümeyi yaşadı; buna karşılık, hükümetler (%-61) ve otomotiv (%-59) sektörünün yaşadığı göreli düşüşün aksine.
GRIT, 2023’ün 2. Çeyreğinde faaliyete başlayan 14 yeni gruba atfedilen Hizmet Olarak Fidye Yazılımı (RaaS) gruplarının etkinliğinde yine çeyrek boyunca bir artış gözlemledi. Bu, “İlk Görülme” gruplarında 1. çeyreğe kıyasla %260’lık bir artışı temsil ediyor. LockBit’in Hizmet Olarak Fidye Yazılımı (RaaS) ekonomisindeki lider liderliği, Bianlian ve Karakurt’un rekabetiyle karşı karşıya kaldığı sağlık hizmetleri dışında en çok etkilenen beş sektörün tamamında gözlemlenebilir.
GRIT Baş Analisti Drew Schmitt, “2023’ün ikinci çeyreği, hem yerleşik fidye yazılımı çetelerinden hem de yeni ortaya çıkan veya kısa ömürlü fırsatçı gruplardan gelen, dünya çapında kuruluşların karşı karşıya olduğu büyüyen fidye yazılımı tehdidini vurgulamaya devam etti” dedi.
Schmitt, “Hizmet Olarak Suç Yazılımı ve Hizmet Olarak Fidye Yazılımı ekonomilerinin sağladığı giriş engellerinin azaltılması, neredeyse kesinlikle daha fazla katılımcıyı ileriye doğru teşvik edecek ve geçmişteki kötü amaçlı yazılımların ve fidye yazılımlarının yeniden kullanılması, iyi hazırlanmış ve kaynaklara sahip savunucular için bir avantaj sağlasa da, daha küçük veya daha az kaynağa sahip kuruluşlar, daha büyük tehdit hacmi nedeniyle artan bir riskle karşı karşıya kalacak” diye devam etti.
Fidye yazılımı grupları ve gözlemlenen olaylar korelasyonu
2023’ün ilk yarısı için, fidye yazılımı gruplarının toplam sayısı ile gözlemlenen toplam fidye yazılımı olayları arasındaki korelasyon, yeni ortaya çıkan grupların toplam kurban sayısındaki artışa doğrudan katkıda bulunduğunu gösteriyor.
2. çeyrekte gözlemlenen fidye yazılımı olayları, aydan aya, 1. çeyreğe göre gözle görülür şekilde daha yüksek. Mart sonu, Mayıs ve Haziran aylarındaki gözlemlenebilir artışlar, Clop ve diğer fidye yazılımı gruplarına atfedilen toplu güvenlik açığı istismar olaylarının (sırasıyla GoAnywhere, PaperCut ve MOVEit) sonucudur. MOVEit kampanyası, Haziran’daki saldırıların %6’sını ve Clop’un ikinci çeyrekteki toplam saldırılarının %94’ünü oluşturuyordu.
LockBit, Q2’de Q1’e göre gözlemlenen kurban hacminde %10’luk bir düşüş yaşamasına rağmen, en üretken fidye yazılımı tehdit grubu olmaya devam ediyor. AlphV, ikinci çeyrekte en aktif ikinci fidye yazılımı grubu oldu ve ilk çeyreğe göre kurban hacminde %50 artış yaşadı. 8Base yeni bir şirket ama gözlemlenen tüm fidye yazılımı saldırılarının %9’undan sorumlu olarak ikinci çeyrekte en aktif üçüncü aktör. Bianlian ve Clop, ikinci çeyrekte en aktif beş fidye yazılımı grubunu tamamladı.
2. Çeyrek’te öne çıkan iki fidye yazılımı grubu olan 8Base ve Akira, kendilerini üretken aktörler haline getirme hızlarıyla güvenlik araştırmacılarını şaşırttı. Yalnızca 2. çeyrekte, gözlemlenen 107 fidye yazılımı olayından 8Base sorumluydu ve her ikisini de en etkili 10 fidye yazılımı grubu arasına yerleştiren Akira 60 olaydan sorumluydu.
GRIT, kamuya ait, kar amacı gütmeyen okul sistemlerini ve bölgeleri etkileyen fidye yazılımı gruplarında bir artış gözlemledi. Tarihsel olarak, imaj bilincine sahip gruplar, kuruluşun özel olduğu ve/veya gelir elde ettiği durumlar dışında, bu tür hedeflerin “yasak” olduğunu belirtmişlerdir. Bununla birlikte, gruplar, özellikle devlet okullarının ihlal edilmesi daha kolaysa, daha tutarlı bir şekilde fidye ödüyorsa veya özellikle hassas veri sızıntısıyla sonuçlanıyorsa, bu normdan giderek daha fazla kaçınıyor.
Sızan fidye yazılımı oluşturucularının yaygınlığı, ortaya çıkan fidye yazılımı gruplarının giriş engellerini düşürmeye devam etti. En önemlisi, Babuk, LockBit ve Conti için şifreleyicilerin tümü çevrimiçi olarak sızdırıldı ve daha düşük teknik uzmanlığa veya şifrelemeye aşinalığa sahip tehdit aktörlerinin tamamen işlevsel fidye yazılımlarını biraz değiştirmesine ve dağıtmasına izin verdi.
Schmitt, “Fidye yazılımı tehdit listesinin hızla çeşitlendirilmesinden geri dönüştürülmüş fidye yazılımı ve suç yazılımlarına, veri odaklı gasp geçişlerine kadar GRIT, fidye yazılımı ekosistemindeki değişen TTP’leri izlemeye ve raporlamaya devam ediyor” dedi. “Topluluk ve emniyet teşkilatı bilgi paylaşımı, fidye yazılımı gruplarının etkililiğini belirlemek ve engellemek için anahtar olmaya devam ediyor ve GRIT, kamu ve özel sektör ortaklıkları aracılığıyla tehdit istihbaratı paylaşımını artırma misyonuna bağlı kalmaya devam ediyor.”