SafePay, Devan büyük fidye yazılımı tehditleri olarak ortaya çıkıyor

SafePay’ın fidye yazılımı lider tablosunun tepesine yolculuğu hızlıydı.

SafePay Fidye Yazılımı Grubu ilk olarak 2024 sonbaharında ortaya çıktı ve geçen ay, bugün yayınlanan Cyble blog yayınına göre, veri sızıntısı sitelerinde talep edilen kurban sayısında fidye yazılımı grupları arasında en üst sırada yer aldı.

Cyble, fidye yazılımı gruplarının Mayıs ayında 384 kurban talep ettiğini bildirdi, bu da tüm veriler işlendikçe biraz artabilecek bir sayı. Bu, iddia edilen kurbanlar için üçüncü düz aylık düşüş, çünkü yeni liderler bir yıldan fazla bir süredir en iyi fidye yazılımı grubu olan Ransomhub’dan sonra ortaya çıkmaya devam etti.

Cyble ayrıca, gelişmekte olan bir başka fidye yazılımı tehdidi olan Devman’a ve Mayıs ayında meydana gelen diğer fidye yazılımı gelişmelerine de baktı.

En iyi fidye yazılımı grupları ve tehditler

Safepay, Mayıs ayında 58 kurbanın 54 kurbanla ikinci olan Nisan lideri Qilin’den en üst sırada yer almasını talep etti. Oyun, Akira ve Nightspire ilk beş fidye yazılımı grubunu tamamladı. ABD, 181 kurbanla (Cyble’dan aşağıdaki grafikler) bir kez daha en hedefli ülkeydi.

Profesyonel hizmetler ve inşaat, tüm fidye yazılımı grupları tarafından en çok saldırıya uğramış sektörlerdi, toplam 101 saldırı, ardından üretim, hükümet, sağlık, finans, BT, ulaşım, tüketim malları ve eğitimi izledi.

Safepay bugüne kadar 198 kurban talep etti. Grubun önceki aylık en yüksek seviyesi Mart ayında 43 kurbandı, ancak Mayıs SafePay’ın tüm fidye yazılımı gruplarını yönettiği ilk aydı.

Cyble, SafePay’ın genellikle çalıntı kimlik bilgileri veya şifre püskürtme saldırıları kullanarak VPN ve RDP bağlantıları aracılığıyla kurban ortamlarına ilk erişim elde ettiğini söyledi. Grup, verileri kamuya açıklamak için şifreleme ve tehdit etme-çift uzatma tekniklerini kullanır ve kötü amaçlı yazılımlarını yaymaya dayanan diğer fidye yazılımı gruplarının aksine, fidye yazılımı (RAAS) sunmadığını iddia eder.

SafePay için başlıca hedefler arasında ABD ve Almanya’nın yanı sıra profesyonel hizmetler, inşaat, sağlık, eğitim ve üretim sektörleri bulunmaktadır.

Bu arada Devman, esas olarak birkaç RAAS grubunun bir iştiraki olarak faaliyet gösteriyor, ancak son zamanlarda grubun daha hızlı yanal hareket olabileceğini iddia ettiği ve Grup Politika Nesnesi (GPO) aracılığıyla uygulandığı kendi fidye yazılımını dağıttığı gözlendi. Devman, Mayıs ayında 13 kurbanı iddia etti, ilk beş fidye yazılımı grubunun hemen dışına yerleştirdi ve “izlemeyi bir tane yaptı” dedi.

Bir bağlı kuruluş olarak Devman, Qilin, APO’lar, Dragonforce Raas ve Ransomhub ile çalıştı.

Mayıs ayında bir başka önemli fidye yazılımı geliştirmesinde, VanHelsing Hizmet Olarak Fidye Yazılımı (RAAS) kaynak kodunun sızıntısı, “Lockbit ve Babuk’un sızıntılarından sonra gözlemlendiği gibi, potansiyel taklit operasyonlarının endişelerini artırıyor” dedi Cyble. “VanHelsing’in kaynak kodunun yaygın kullanılabilirliği, önümüzdeki haftalarda yeni fidye yazılımı varyantlarının ortaya çıkmasını hızlandırabilir.”

Cyble ayrıca üç yeni fidye yazılımı grubunun yanı sıra fidye yazılımı grupları tarafından talep edilen 17 fidye yazılımı saldırısını detaylandırdı, bunların çoğu yazılım tedarik zinciri, kritik altyapı ve hatta askeri hedefler üzerinde önemli bir etkiye sahip olabilir.

Fidye Yazılımlarına Karşı Koruma

Cyble, yeni fidye yazılım gruplarının eski liderlerin yerini almanın yükselişinin “sürekli fidye yazılımı tehdidinin altını çizdiğini ve çok çeşitli siber tehditlere karşı korunmak için siber güvenlik en iyi uygulamalarının kalıcı önemini vurguladığını” söyledi.

Bu siber güvenlik en iyi uygulamaları arasında risk temelli bir güvenlik açığı yönetimi programı; maruz kalan varlıkların korunması; ağların ve kritik varlıkların bölümleme; fidye yazılımına dayanıklı yedeklemeler oluşturmak; sıfır güven ilkelerinin uygulanması; uygun yapılandırma ve sırların korunması uygulanması; Sertleştirme uç noktaları ve altyapı; ve ağların, uç noktaların ve bulut ortamlarının izlenmesi.

İlgili