LockBit fidye yazılımı ekibinin acımasızca dağıtılması ve önemli oyuncularının aşağılanması, geçtiğimiz 12 ayın en çok konuşulan siber güvenlik başarı öykülerinden biri oldu, ancak ham verilere bakıldığında, bu konuda pek bir şey yapmış gibi görünmüyor. Siber suçluları caydırın.
Bu Secureworks’ün yıllık raporuna göre 2024 Tehdidin Durumu RaporuBugün, Haziran 2023’ten Temmuz 2024’e kadar olan dönemde ekosisteme 31 yeni aktörün girdiği, isim ve utanç sitelerini kullanan aktif fidye yazılımı gruplarında yıllık %30’luk bir artışı ortaya çıkarmak için perdeyi geri çekiyor.
LockBit’in Şubat ayında yayından kaldırıldığı göz önüne alındığında, çetenin kapsam dahilindeki dönemde fidye yazılımı listelemelerinin %17’sini oluşturduğunu öğrenmek pek de sürpriz olmayabilir; Birleşik Krallık Ulusal Suç Teşkilatı (NCA), Cronos Operasyonu saldırısına öncülük etti.
Geçen yıl ayrıca, olası bir çıkış dolandırıcılığı nedeniyle kendi ürününü geri çekmeden önce kolluk kuvvetlerinin elinde benzer bir saldırıya maruz kalan BlackCat/ALPHV de düşüşe geçmişken, 2023’te MOVEit dosya aktarımı uzlaşmasından yararlanan Clop/Cl0p de düşüş yaşadı. Yüzlerce mağduru vurmak da son zamanlarda pek aktif değil.
Bu arada, ikinci en aktif fidye yazılımı çetesi Play, kurban sayısını geçen yıla göre iki katına çıkarırken, LockBit’in kaldırılmasından kısa bir süre sonra ortaya çıkan yeni bir grup olan RansomHub, yalnızca birkaç ay içinde dünyanın en aktif üçüncü grubu haline geldi. Listelenen mağdurların %7’lik bir payı ile olay yeri. Qilin de, özellikle NHS ortağı Synnovis’e yönelik yüksek profilli saldırısında dikkat çekiyor.
“Fidye yazılımı, bağlı kuruluş modeli olmadan hiçbir şey ifade etmeyen bir iştir. Geçtiğimiz yıl, kolluk kuvvetleri faaliyetleri eski bağlılıkları yerle bir ederek siber suç işini yeniden şekillendirdi. Başlangıçta tepkileri kaotik olan tehdit aktörleri, iş operasyonlarını ve çalışma şekillerini geliştirdi. Sonuç olarak, önemli bağlı kuruluş göçüyle desteklenen daha fazla sayıda grup ortaya çıktı,” dedi Secureworks Karşı Tehdit Birimi (CTU) tehdit istihbaratından sorumlu başkan yardımcısı Don Smith.
Smith, “Ekosistem geliştikçe, tehdit gruplarında entropi ortaya çıkıyor, ancak aynı zamanda taktik kitaplarında da öngörülemezlik oluyor ve bu da ağ savunucuları için önemli bir karmaşıklık yaratıyor” dedi.
Daha fazla çete, daha az kurban
Ancak bu büyümeye rağmen kurban sayısında henüz aynı hızda bir artış görülmedi; bu muhtemelen çetelerin daha parçalı bir ortamda kendilerine yer bulmaya çalışmasının bir sonucuydu.
CTU ekibi ayrıca fidye yazılımı ekosisteminde bu eğilimi kısmen tetikleyen çok sayıda ortaklık hareketi gözlemledi. Geçtiğimiz 12 ay boyunca pek çok vakada araştırmacılar, kurbanların birden fazla sitede listelendiği bir dizi fidye yazılımı saldırısı gözlemledi; bunun nedeni, muhtemelen bağlı şirketlerin giderek kaotik hale gelen ekosistemde çalışmaları için yeni çıkış noktaları aramasıydı.
Ve geçtiğimiz 12 ay kesinlikle kaotikti; Secureworks analistleri, trendin açıkça fidye yazılımı ortamının genişletilmesi olduğunu, böylece daha önce daha az sayıda büyük operasyonun hakim olduğu ortamın artık daha çeşitli siber haydutlara ev sahipliği yaptığını söyledi.
Ancak bu, daha küçük grupların faaliyet gösterme şekli açısından daha az sorumluluğa ve yapıya sahip olduğu, daha tehlikeli bir ‘Vahşi Batı’ tarzı tehdit ortamına yol açabilir. Örneğin, bu yıl gözlemlenen ortalama bekleme sürelerindeki düşüş, suçluların hızlı hareket etmesi ve ışık hızında, parçalama ve kapma saldırılarıyla eşyaları kırmasının bir sonucu gibi görünüyor.
Yeni ekosistem önümüzdeki aylarda gelişip birleştikçe Secureworks, savunucuların saldırı metodolojilerinde çok daha fazla çeşitlilik ve değişiklik görmeyi bekleyebileceğini söyledi.
Bu alanda hali hazırda gözlemlenen yeni metodolojilerden bazıları, fidye yazılımı çetelerinin, bazen ortadaki adam (MitM) olarak da bilinen, ortadaki rakip (AitM) aracılığıyla erişim kazanmak için kimlik bilgilerini ve oturum çerezlerini çalma yönünde artan bir eğilimi içermektedir. ) Dark Web’de kolayca bulunabilen EvilProxy veya Tycoon2FA gibi kimlik avı kitlerini kullanarak saldırılar gerçekleştiriyor. Araştırma ekibi, bazı çok faktörlü kimlik doğrulama (MFA) türlerinin etkinliğini potansiyel olarak azalttığı için bu eğilimin savunmacılar için alarm zilleri çalması gerektiğini söyledi.
Fidye yazılımı çeteleri de yapay zekanın (AI) cazibesine karşı bağışık değildir. Yaklaşık iki yıl önce ChatGPT’nin piyasaya sürülmesinden bu yana, suç camiasında bu tür modellerin çoğunlukla kimlik avı amacıyla olmak üzere hain amaçlarla nasıl kullanılabileceği konusunda tartışmalar sürüyor ancak bazı kullanım durumları oldukça yeni.
Secureworks tarafından araştırılan bir saldırıda, bir siber suç çetesi, ölüm ilanlarına olan ilgiyi belirlemek için bir ünlünün ölümünün ardından Google eğilimlerini izledi ve ardından SEO zehirlenmesi yoluyla Google aramalarında üst sıralarda yer alan kötü amaçlı sitelere saygı duruşunda bulunmak için üretken yapay zekayı kullandı. Bu tür siteler, kötü amaçlı yazılımların veya fidye yazılımlarının yayılması için kolaylıkla bir vektör olarak kullanılabilir.
“Siber suç ortamı, bazen küçük, bazen de daha önemli düzeyde gelişmeye devam ediyor. Yapay zekanın artan kullanımı, tehdit aktörlerine ölçek kazandırıyor, ancak AitM saldırılarının artması, işletmeler için daha acil bir sorun teşkil ediyor ve kimliğin çevrede olduğunu ve neden olması gerektiğini güçlendiriyor. Smith, işletmelerin durumu değerlendirmesini ve savunma duruşlarını yansıtmasını istedi” dedi.