Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Yeni gelen vanhelsing ve sözde canlandırılmış bir lockbit kurban avına girer
Mathew J. Schwartz (Euroinfosec) •
27 Mart 2025
Fidye yazılımı izleme uzmanları, kripto dolu kötü amaçlı yazılımlarla vurulan kuruluşların sayısının artmakta olduğunu söylüyor.
Ayrıca bakınız: Yeni Ondemand | Expored QR kodları: Kolaylıktan Siber Güvenlik Kabusu
Büyük, yerleşik oyuncular bu ilk çeyrek dalgalanmanın önemli bir parçasıdır: Ransomhub, Şubat ayında 87 kurban, 77 ile Akira ve 43 ile oynadığını söyledi.
Çok sayıda geç kurban iddia eden bir başka grup, CLEO Communications tarafından inşa edilen yönetilen dosya transfer yazılımı kullanıcılarına karşı geçen Aralık ayında tedarik zinciri saldırısı sayesinde Clop – aka CL0P -. Clop, verilerini çaldığından ve sızmakla tehdit ettiği için kurbanları zorluyor. Fidye ödemeyi reddeden yaklaşık 400 kuruluşu halka açık bir şekilde seçti.
NCC Group’un raporu, “Önceki aylarda ihlal edilen kurbanların piyasaya sürülmesinde Spike’ın yanı sıra, CL0P de dikkat çekme iddiasını abartabilir.” Dedi. “CL0P’nin saldırı sayısı dikkatle düşünülmelidir.”
Aynı zamanda, yeni gruplar ortaya çıkmaya devam ediyor. 2024’te, siber güvenlik firması Blackfog 48 yeni grup saydı, ancak kaç tanesi yeniden adlandırıldı veya zaten var olan gruplar net değil.
Vanhelsing ve büyük
Bir yeni gelen VanHelsing, bir hizmet olarak fidye yazılımı operasyonu, adını 1897 gotik romanı Dracula’da Bram Stoker tarafından tanıtılan vampir avlama karakterinden ödünç alıyor.
Check Point Research, operasyonun 7 Mart’ta piyasaya sürüldüğünü ve o zamandan beri fidye yazılımlarının beş gün arayla derlediği iki pencere hedefleme varyantının görüldüğünü ve işlevsellikte hızlı bir artış olduğunu söyledi. Grup ayrıca Linux, BSD, ARM ve ESXI sistemlerini enfekte etmek için varyantlar sunduğunu iddia etti. Araştırmacılar üç kuruluşa karşı başarılı saldırıları doğruladılar, ilk fidye taleplerinden biri kripto para biriminde toplam 500.000 dolar.
Çoğu fidye yazılımı türünde olduğu gibi, VanHelsing’in kripto-kilitleme kötü amaçlı yazılımı, bir sistemin nerede olduğunu kontrol etmek ve Rusya veya diğer bağımsız devletlerden çalışan herhangi bir sistemi şifrelemek için tasarlanmıştır. Fidye yazılımı işlemi tarafından şifrelenen dosyalar uzantıyı elde edin .vanhelsing isimlerine eklendi.
Siber güvenlik tehdit yönetim firması Cyfirma, operasyonun bilinen kurbanlarının şimdiye kadar Fransa ve Amerika Birleşik Devletleri’nde bulunduğunu ve hükümet, imalat ve ilaç sektörlerinden geldiğini söyledi. Çoğu fidye yazılımı saldırısı fırsatçıdır.
Herhangi bir vanhelshing kurbanı gasp ödüyorsa – ve ne miktar – net değil. Uzmanlar ve kolluk kuvvetleri kurbanları asla fidye ödememeye teşvik ediyorlar – ancak eğer yaparlarsa, veri silme gibi soyut vaatleri asla ödememeye teşvik ediyorlar, çünkü böyle bir vaat onurlandırılmadığına dair bir kanıt yok.
Fidye yazılımı grupları, en az zaman içinde mümkün olduğunca çok para kazanmak için cezai hack yeteneklerinde en iyi ve en parlak olanı işe alır ve VanHelsing için de geçerlidir. Check Point, “Saygın bağlı kuruluşlar ücretsiz olarak katılabilirken, yeni bağlı kuruluşların programa erişmek için 5.000 dolarlık bir depozito ödemesi gerekiyor.” Dedi.
Lockbit 4.0 İştirakleri İşe Alımlar
Yeni gruplar çıkmaya devam ederken, diğerleri bazen ölümden geri dönüyor gibi görünüyor, ancak kim sorumlu bir gizem olarak kalabilir.
Bu, 2024’ün başlarında, Cronos Operasyonu olarak adlandırılan bir çabanın bir parçası olarak uluslararası bir kolluk konsorsiyumu tarafından sızan ve bozulan Lockbit’i açıklar. Bu çaba, grubun lideri “Lockbitsupp” adını Rusya Ulusal Dmitry Yuryevich Khoroshev olarak adlandıran ve tutuklanması için büyük bir ödül yayınlamanın yanı sıra, bu ay İsrail’den bir sanık geliştiricinin ABD’de yargılanması için iade edilmesini içeriyordu.
Geçen Aralık ayında bir Darknet Postası, Lockbit markasının yine de devam edeceğini duyurdu ve Bitcoin veya Monero cüzdanını portalına bağlayarak kaydolmak isteyen herhangi bir bağlı kuruluş için 3 Şubat’ta kötü amaçlı yazılım sürümünün lansmanını önizledi.
Siber güvenlik firması Deep Instinct’teki araştırmacılar, lansmanın planlandığı gibi gittiğini ve kötü amaçlı yazılımların kopyalarını aldıklarını ve aynı zamanda kuruluşlar için inşa edilen grubun kurban müzakerelerini ele almalarını sağlamak için tasarlanan bir portala eriştiklerini söyledi.
“Platformda yeni .onion Bilgisayar korsanları ve hedefleri arasında fidye notlarına ve açık sohbet desteğine eklenen alanlar, “dedi.” Bağlantıyı açtıktan sonra, kurbanlardan detaylarını doğrulamak için fidye notlarında aldıkları ‘şifre çözme kimliğine’ girmeleri istenir.
Genel olarak, görünüşe göre eski sürüm – “Güvenlik ürünlerinden kaçınmaya odaklanan birçok yeni özellik sunuyor, ancak daha basit bir paketleyiciye geçmek, Microsoft Defender’ı kaldırmak ve daha yavaş şifrelemek de dahil olmak üzere Lockbit 3.0’dan birkaç adım geri alıyor.” Dedi.
İştiraklerin Lockbit’in en son sürümüne satın alıp almadığı, en azından operasyon, daha önce tekliflerinin hızına ve sofistike olmasına dayanarak kendini diğer tekliflerden ayırmaya çalıştığı için görülmeye devam ediyor. Ayrıca, kolluk kuvvetleri tarafından sızmak ve bozulmak işe alım için iyi olmayabilir.
En iyi gruplar yenilik yapıyor
En iyi iştirakleri işe almak için rekabet şiddetlidir. Siber Güvenlik Danışmanlığı S-RM, yüksek plaka Akira’nın 2024’te araştırdığı olayların% 15’ini oluşturduğunu söyledi. Grup, işin bitmesi için çok özel bir dizi beceri getiren sofistike bilgisayar korsanları sayesinde kısmen pozisyonunu korudu.
S-RM, araştırılan bu son Akira salgını açıkladı: Bir saldırgan, bir kurbanın ağına uzaktan erişim araçlarından biri aracılığıyla uzaktan erişim kazandı ve bir Windows sunucusuna fidye yazılımı ikili içeren bir fermuarlı dosyayı zorlamaya çalıştı, sadece kuruluşun uç nokta algılama ve yanıt aracı tarafından engellenmesi için.
Mağdurun ağını daha önce tarayan Akira, “uzak kabuk yetenekleri dahil” ve yetersiz bellek gibi, “uzak kabuk yetenekleri dahil” bilinen bir Linux web kamerasını hedeflemeye geçti, yani EDR yazılımını çalıştırmadı ve muhtemelen olamazdı. Saldırganlar, web kamerasına sunucu mesajı bloğu trafiği aracılığıyla fidye yazılımlarını dağıtan kötü amaçlı yazılımlarla enfekte etti.
S-RM, “Akira daha sonra kurbanın ağı boyunca dosyaları şifreleyebildi.” Dedi.
Grupların kendilerini nasıl adlandırdığına veya nihayetinde hackleyebilecekleri IoT cihazlarını nasıl adlandırdıklarına bakılmaksızın, uzmanlar savunucuların mesajının net kaldığını söylüyor: bir şifreleme için fidye ödemek zorunda kalmadan sistemleri geri yüklemek için sistemleri korumak, bir zorunluluktur.
Ayrıca gerekli: Taktik fidye yazılımı gruplarına karşı savunmaların uygulanması, bir kurbanın ağına ilk erişim elde etmek için kullanmaya devam eder. Fidye yazılımı Cevapçı, en çok görülen taktiklerin, sistemleri kötü amaçlı yazılımlarla enfekte etmek, dövülmemiş güvenlik açıklarından veya uzaktan erişim yanlış yapılandırmalarından yararlanmak ve bilgi çalma kötü amaçlı yazılım yoluyla meşru kimlik bilgileri elde etmek için e-postaların kullanılmasını içerdiğini söyledi.