Kötü şöhretli siber suç grubu olarak bilinen Dağınık Örümcek Microsoft, RansomHub ve Qilin gibi fidye yazılımlarını da cephaneliğine dahil ettiğini açıkladı.
Dağınık Örümcek, hedeflere sızmak ve devam eden istismar ve veri hırsızlığı için kalıcılık sağlamak amacıyla karmaşık sosyal mühendislik şemalarıyla bilinen bir tehdit aktörüne verilen addır. Ayrıca VMWare ESXi sunucularını hedef alma ve BlackCat fidye yazılımını dağıtma geçmişi de vardır.
Daha geniş siber güvenlik topluluğu tarafından 0ktapus, Octo Tempest ve UNC3944 takma adları altında izlenen etkinlik kümeleriyle örtüşüyor. Geçtiğimiz ay, grubun önemli bir üyesinin İspanya’da tutuklandığı bildirildi.
Geçtiğimiz ay Broadcom’a ait Symantec’in yaptığı bir analize göre, Şubat ayının başlarında ortaya çıkan RansomHub’ın Knight adlı başka bir fidye yazılımı türünün yeniden markalanmış hali olduğu değerlendirildi.
Microsoft, “RansomHub, BlackCat gibi diğer (bazen artık kullanılmayan) fidye yazılımı yüklerini de kullananlar da dahil olmak üzere, giderek daha fazla tehdit aktörü tarafından kullanılan bir fidye yazılımı hizmeti (RaaS) yüküdür ve bu da onu günümüzün en yaygın fidye yazılımı ailelerinden biri haline getirir” dedi.
Windows üreticisi ayrıca, Mustard Tempest’in (diğer adıyla DEV-0206 veya Purple Vallhund) FakeUpdates (diğer adıyla Socgholish) enfeksiyonları yoluyla elde ettiği ilk erişimin ardından, Manatee Tempest’in (diğer adıyla DEV-0243, Evil Corp veya Indrik Spider) saldırı sonrası faaliyetlerinin bir parçası olarak RansomHub’ı devreye soktuğunu gözlemlediğini söyledi.
Burada Mustard Tempest’in, geçmişte Evil Corp ile ilişkilendirilen fidye yazılımı öncesi davranışlara benzeyen eylemlere yol açan saldırılarda FakeUpdates’i kullanan bir ilk erişim aracısı olduğunu belirtmekte fayda var. Bu saldırılar, FakeUpdates’in mevcut Raspberry Robin enfeksiyonları aracılığıyla iletilmesi nedeniyle de dikkat çekiciydi.
Bu gelişme, FakePenny (Moonstone Sleet’e atfedilen), Fog (Akira’yı da yayan Storm-0844 tarafından dağıtılan) ve ShadowRoot gibi yeni fidye yazılımı ailelerinin ortaya çıkmasıyla birlikte geldi. ShadowRoot’un sahte PDF faturaları kullanarak Türk işletmelerini hedef aldığı gözlemlendi.
Microsoft, “Fidye yazılımı tehdidi artmaya, genişlemeye ve gelişmeye devam ettikçe, kullanıcıların ve kuruluşların özellikle kimlik bilgisi temizliği, en az ayrıcalık ilkesi ve Sıfır Güven olmak üzere en iyi güvenlik uygulamalarını takip etmeleri önerilir” dedi.