Barracuda Networks’e göre, ortaya çıkan fidye yazılımı saldırılarının %44’ü yatay hareket sırasında tespit edildi.
Olayların %25’i saldırganların dosya yazmaya veya düzenlemeye başladığı sırada tespit edildi ve %14’ü bilinen etkinlik kalıplarına uymayan davranışlarla ortaya çıkarıldı.
Barracuda araştırmacıları, Ağustos 2023 ile Temmuz 2024 arasında 37 ülke ve 36 farklı fidye yazılımı grubunu kapsayan 200 bildirilen olay örneğini analiz etti.
Son fidye yazılımı saldırılarında en yaygın kullanılan RaaS modelleri
Örneklem, olayların %21’inin sağlık kuruluşlarını etkilediğini, bir yıl öncesine göre %18’lik bir artış olduğunu, bildirilen saldırıların %15’inin üretime ve %13’ünün teknoloji şirketlerini hedef aldığını gösteriyor. Eğitimle ilgili olaylar geçen yılki %18’den yarı yarıya azalarak 2023/24’te %9’a düştü.
En yaygın fidye yazılımı grupları, fidye yazılımı hizmeti olarak (RaaS) modelleriydi. Bunlar arasında, son 12 ayda altıda birinin veya saldırganın kimliğinin bilindiği saldırıların %18’inin arkasında olan LockBit de yer alıyor.
Saldırıların %14’ü ALPHV/BlackCat fidye yazılımından kaynaklanırken, nispeten yeni bir fidye yazılımı grubu olan Rhysida ise adı geçen saldırıların %8’inden sorumluydu.
Barracuda Networks’te Küresel Güvenlik Operasyonları Başkan Yardımcısı Adam Khan, “Kiralık fidye yazılım saldırılarını tespit etmek ve engellemek zor olabilir. Farklı siber suçlu müşteriler aynı yükü dağıtmak için farklı araçlar ve taktikler kullanabilir ve bu da önemli farklılıklara yol açabilir” dedi.
“Neyse ki, çoğu saldırganın güvendiği, tarama, yanal hareket ve kötü amaçlı yazılım indirme gibi denenmiş ve test edilmiş yaklaşımlar var. Bunlar, güvenlik ekiplerine fidye yazılımı olaylarını tam olarak ortaya çıkma şansı bulmadan önce tespit etme, sınırlama ve azaltma konusunda çeşitli fırsatlar sağlayan güvenlik uyarılarını tetikleyebilir. Bu, tüm makinelerin tamamen güvenli olmadığı BT ortamlarında özellikle önemlidir,” diye ekledi Khan.
Fidye yazılımı etkinliğinin önde gelen göstergeleri
Barracuda’nın tespit verilerine göre, 2024’ün ilk altı ayında olası fidye yazılımı etkinliğinin en önemli göstergeleri şunlardır:
- Yanal hareket:Fidye yazılımı saldırılarının %44’ü yanal hareketi izleyen tespit sistemleri tarafından tespit edildi.
- Dosya değişiklikleri: %25’i, dosyaların yazıldığını veya değiştirildiğini not eden ve bunları bilinen herhangi bir fidye yazılımı imzasıyla veya şüpheli örüntüyle eşleşip eşleşmediğini analiz eden sistem tarafından tespit edildi.
- Kalıp dışı davranış: %14’ü bir sistem veya ağ içindeki anormal davranışı tanımlayan algılama sistemi tarafından yakalandı. Bu sistem kullanıcıların, süreçlerin ve uygulamaların tipik davranışlarını öğrenir. Sapmalar (alışılmadık dosya erişimi, işletim sistemi bileşenlerinde oynama veya şüpheli ağ etkinliği gibi) algıladığında bir uyarı tetikler.
Bir sağlık teknolojisi işletmesini hedef alan hafifletilmiş bir PLAY fidye yazılımı saldırısının ve bir araç bakım şirketini hedef alan bir 8base olayının ayrıntılı incelemesi, saldırganların saldırılarının bir sonraki aşamasını başlatmak için korumasız cihazlarda yer edinmeye ve kötü amaçlı dosyaları nadiren kullanılan müzik ve video klasörlerine gizlemeye çalıştığını ortaya koydu.
Fidye yazılımları gibi aktif tehditlere karşı mücadelede, saldırganların çoğunlukla BT ekipleri tarafından meşru şekilde kullanılan ticari araçlardan yararlandığı ve başarılı olmak için davranışlarında ve taktiklerinde gerçek zamanlı ayarlamalar yapabildiği çoklu tespit katmanları önemlidir.