Çok sayıda tehdit aktörü, fidye yazılımı, kripto para madencileri, Cobalt Strike işaretçileri ve Spark RAT adı verilen Golang tabanlı bir uzaktan erişim truva atını dağıtmak için JetBrains TeamCity yazılımında yakın zamanda açıklanan güvenlik kusurlarından yararlanıyor.
Saldırılar, bir saldırganın kimlik doğrulama önlemlerini atlamasına ve etkilenen sunucular üzerinde yönetim kontrolü ele geçirmesine olanak tanıyan CVE-2024-27198'in (CVSS puanı: 9,8) kötüye kullanılmasını gerektirir.
Trend Micro yeni bir raporunda, “Saldırganlar daha sonra komuta ve kontrol (C&C) sunucusuna ulaşabilen ve Cobalt Strike işaretlerini ve uzaktan erişim truva atlarını (RAT'lar) dağıtmak gibi ek komutları gerçekleştirebilen kötü amaçlı yazılımlar yükleyebiliyor.” dedi. .
“Fidye yazılımı daha sonra dosyaları şifrelemek ve kurbanlardan fidye ödemesi talep etmek için son bir yük olarak kurulabilir.”
Bu ayın başlarında kusurun kamuya açıklanmasının ardından, BianLian ve Jasmin fidye yazılımı aileleriyle ilişkili tehdit aktörleri tarafından silah haline getirildi ve XMRig kripto para madencisini ve Spark RAT'ı bıraktı.
CI/CD süreçleri için TeamCity'ye güvenen kuruluşların, olası tehditlere karşı korunmak için yazılımlarını mümkün olan en kısa sürede güncellemeleri önerilir.
Bu gelişme, fidye yazılımının hem güçlü hem de kârlı olmaya devam etmesi ve DoNex, Evil Ant, Lighter, RA World ve WinDestroyer gibi yeni türlerin ortalıkta ortaya çıkması ve LockBit gibi kötü şöhretli siber suç ekiplerinin yasalara rağmen hala programlarına bağlı kuruluşları kabul etmesiyle birlikte geliyor. onlara karşı icra işlemleri.
Özellikle WinDestroyer, dosyaları şifreleme ve hedeflenen sistemleri verileri kurtarmanın hiçbir yolu olmadan kullanılamaz hale getirme yeteneğiyle öne çıkıyor ve bu da arkasındaki tehdit aktörlerinin jeopolitik motivasyonlu olma olasılığını artırıyor.
Cisco Talos, “Fidye yazılımı suçuyla mücadelede en önemli sorunlardan biri, aktörlerin genellikle aynı anda birden fazla RaaS ekibi için çalıştığı ortaklık programının doğasıdır.” dedi. “RaaS operasyonlarına önemli ölçüde zarar vermek ve bu çetelerin yenilenme gücünü zayıflatmak için ısrarlı, stratejik çabalar gerekecek.”
ABD Federal Soruşturma Bürosu'nun (FBI) İnternet Suçları Şikayet Merkezi (IC3) tarafından paylaşılan veriler, 2023 yılında 2.825 fidye yazılımı bulaşmasının rapor edildiğini ve bunun 59,6 milyon dolardan fazla düzeltilmiş kayıplara neden olduğunu gösteriyor. Bunlardan 1.193'ü kritik altyapı sektörüne ait kuruluşlardan geldi.
ABD'deki kritik altyapıyı etkileyen ilk beş fidye yazılımı çeşidi arasında LockBit, BlackCat (diğer adıyla ALPHV veya Noberus), Akira, Royal ve Black Basta yer alıyor.
Gelirlerin daha büyük bir kısmını mahkeme bağlı kuruluşlarına sunmanın yanı sıra, kötü amaçlı araçlarını birbirleriyle paylaşan farklı fidye yazılımı grupları arasındaki işbirliğinin arttığına da tanık oluyoruz.
Bu ortaklıklar aynı zamanda Zeon, LockBit ve Akira örneğinde görüldüğü gibi bir fidye yazılımı operasyonunun becerilerini bir başkasına devrettiği hayalet gruplar şeklinde de kendini gösteriyor.
Broadcom'un sahibi olduğu Symantec, geçen hafta yayınlanan bir raporda, “fidye yazılımı aktörleri tarafından gerçekleştirilen saldırıların sayısının 2023'ün dördüncü çeyreğinde %20'den biraz daha fazla azalmasına rağmen fidye yazılımı faaliyetinin yükseliş eğiliminde olmaya devam ettiğini” ortaya çıkardı.
NCC Group tarafından yayınlanan istatistiklere göre, Şubat 2024'teki fidye yazılımı vakalarının toplam sayısı Ocak ayına göre %46 artarak 285'ten 416'ya yükseldi. Bu vakaların başında LockBit (%33), Hunters (%10), BlackCat (%9), Qilin (%9), BianLian (%8), Play (%7) ve 8Base (%7).
NCC Group küresel tehdit istihbaratı başkanı Matt Hull, “Son dönemdeki kolluk kuvvetleri faaliyetleri, fidye yazılımı ortamını kutuplaştırma potansiyeline sahip; oldukça aktif olan ve yer altı forumları ve pazarlarındaki çeviklikleri nedeniyle tespit edilmesi daha zor olan daha küçük RaaS operatörlerinden oluşan kümeler yaratıyor.” , söz konusu.
“LockBit ve Cl0p gibi daha büyük 'marka' fidye yazılımlarının gösterdiği ilgi, yeni ve küçük genel RaaS bağlı kuruluş ortaklıklarının norm haline gelmesine yol açıyor gibi görünüyor. Sonuç olarak, tespit ve ilişkilendirme daha da zorlaşabilir ve bağlı kuruluşlar kolaylıkla Düşük giriş eşikleri ve minimum parasal müdahale nedeniyle sağlayıcıları değiştirin.”
Bu aynı zamanda, tehdit aktörlerinin esas olarak kamuya açık uygulamalardaki güvenlik açıklarından yararlanarak ve tespit edilmekten kaçınarak mağdurlara bulaşmanın yeni yollarını bulmaları ve meşru yazılımlara ve arazide yaşamaya (LotL) giderek daha fazla güvenerek taktiklerini geliştirmeleriyle de tamamlandı. teknikler.
Fidye yazılımı saldırganları arasında ayrıca popüler olan TrueSightKiller, GhostDriver ve Terminator gibi yardımcı programlar da güvenlik yazılımını devre dışı bırakmak için Kendi Savunmasız Sürücünüzü Getirin (BYOVD) tekniğinden yararlanıyor.
Sophos araştırmacıları Andreas Klopsch ve Matt Wixey bu ayki bir raporda “BYOVD saldırıları, tehdit aktörleri için caziptir çünkü AV ve EDR çözümlerini çekirdek düzeyinde devre dışı bırakmaya yönelik bir araç sağlayabilirler.” dedi. “Bilinen savunmasız sürücülerin çokluğu, saldırganların seçebilecekleri çok sayıda seçeneğe sahip olduğu anlamına geliyor.”