Neden çifte gasp fidye yazılımı gruplarından farklı olmalıyız?
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Avustralya Siber Güvenlik Merkezi (ACSC) geçen hafta BianLian fidye yazılımı çetesiyle ilgili ortak bir siber güvenlik danışmanlığı yayınladı.
Bu grup, Haziran 2022’den bu yana Amerika Birleşik Devletleri ve Avustralya’daki kritik altyapı sektörlerini aktif olarak hedefliyor.
Danışma belgesinde özellikle, grubun Ocak 2023’ten bu yana saldırılarının şifreleme yönünü atlayarak odak noktasını yalnızca hırsızlığa dayalı gasplara kaydırdığı vurgulandı.
Cyber Express, bu değişikliği neredeyse tüm fidye yazılımı grupları arasında takip ediyor. Bu kötü niyetli aktörler, yalnızca değerli kurumsal verileri şifrelemekle kalmaz, aynı zamanda mağdurları, talepleri karşılanmadığı takdirde hassas bilgilerini ifşa etmekle tehdit eder.
Çifte gasp fidye yazılımı gruplarının çoğalması
Yeni tanımlanan birkaç fidye yazılımı türü, geçtiğimiz hafta ortalığı kasıp kavurdu ve 200’den fazla kurbanı zor durumda bıraktı. Geçen ay içinde, yaklaşık on yeni çifte gasp fidye yazılımı grubu ortaya çıktı ve bu siber tehditle mücadele aciliyetini daha da artırdı.
Bu gruplar arasında CrossLock, Akira, BlackSuit, Rancoz, CryptNet ve RA Group yer alıyor.
Hızlı bir şekilde ortaya çıkmaları, finansal kazançları en üst düzeye çıkarmak için yöntemlerini sürekli olarak geliştirirken suç operasyonlarının ölçeklenebilirliğinin ve karlılığının altını çiziyor.
Çifte gasp fidye yazılımı gruplarının taktiklerini ortaya çıkarma
Son fidye yazılımı türleri, bu çifte gasp fidye yazılımı grupları tarafından kullanılan sürekli gelişen taktikleri ortaya koymaktadır. Dikkate değer bir örnek, kurbanlardan geleneksel fidyeler yerine bağış yapmalarını talep ederek normdan sapan Rhysida fidye yazılımıdır.
Bu benzersiz yaklaşım, bilgisayar korsanlarının fidye yazılımı ortamına dahil olduğunu gösteriyor. Rhysida fidye yazılımının bir başka ayırt edici özelliği, fidye notunu normal metin dosyası biçiminden farklı olarak bir PDF dosyası olarak teslim etmesidir.
Geleneksel olmayan teknikler
tarafından keşfedildi Kötü Amaçlı Yazılım Avcısı Ekibi, Rhysida fidye yazılımı açıkça Windows işletim sistemini hedefler. Dosya şifreleme için RSA ve AES algoritmalarının bir kombinasyonundan yararlanır.
İlginç bir şekilde, encrypti’den $Recycle.bin, \Documents and Settings, \PerfLogs, \Program Files, \Program Files (x86), \ProgramData, \Recovery ve \System Volume Information gibi belirli dizinleri hariç tutar.
Ayrıca .bat, .bin, .cab, .cmd, .com, .cur, .diagcab, .diagcfg, .diagpkg, .drv, .dll, .exe, .hlp, .hta, .ico gibi uzantılara sahip dosyalar , .lnk, .msi, .ocx, .ps1, .psm1, .scr, .sys, .ini, .db, .url ve .iso şifrelenmez.
Tipik fidye yazılımı davranışından farklı olarak Rhysida fidye yazılımı, sızdığı her dizine “CriticalBreachDetected.pdf” adlı bir PDF dosyası bırakarak fidye notu işlevi görür.
Ayrıca fidye notu içeriğine dayalı olarak “bg.jpg” adlı bir arka plan görüntüsü oluşturur, gerekli kayıt defteri girdilerini değiştirir ve bunu kurbanın masaüstü arka planı olarak ayarlar.
8Base fidye yazılımı vakası
Yakın zamanda keşfedilen bir başka çifte gasp fidye yazılımı grubu olan 8Base, aktif olarak kurbanları hedefliyor. Bu grubu diğerlerinden ayıran şey, çifte şantaj stratejisi uygulamasıdır.
Önce kurbanların verilerini çalarlar ve ardından şifrelemeye devam ederler. Kurban fidyeyi ödemeyi reddederse, saldırganlar çalınan verileri kendi sızıntı sitelerinde yayınlar.
Grup, web sitelerinde 66 kurbanla ilgili bilgileri zaten ifşa etti. Sızıntı sitelerindeki gönderiler, mağdurların kamuya ifşa edilmediği potansiyel olarak aktif bir yılı gösteren Nisan 2022’ye kadar izlenebilir.
alışılmışın dışında talepler
Yeni keşfedilen başka bir çifte gasp fidye yazılımı grubu, MalasLocker fidye yazılımının öncelikle Zimbra sunucularını hedef aldığı gözlemlendi. Bu çifte gasp fidye yazılımı grubu, alışılmışın dışında yaklaşımı nedeniyle öne çıkıyor.
MalasLocker geleneksel bir fidye talep etmek yerine kurbanlardan bağış yapmalarını ister. Bu benzersiz talebin arkasındaki sebepler, onları diğer fidye yazılımı gruplarından ayırıyor.
Çifte gasp fidye yazılımı gruplarındaki artış, dünya çapındaki kuruluşlar için büyüyen bir tehdit oluşturuyor. Gelişen teknikleri ve artan sayıları ile bu kötü niyetli aktörler, mali kazançlarını en üst düzeye çıkarmak için güvenlik açıklarından yararlanır.
Rhysida, 8Base ve MalasLocker gibi yeni fidye yazılımı türleri, siber tehditlerin sürekli değişen doğasına örnek teşkil etmektedir. Kuruluşların ve bireylerin siber güvenlik önlemlerini artırması ve bu artan tehditle etkili bir şekilde mücadele etmek için tetikte kalması çok önemlidir.
Çifte gasp fidye yazılımı gruplarına karşı mücadele, değerli verileri korumak ve potansiyel zararları azaltmak için proaktif bir yaklaşım ve sürekli uyarlama gerektirir.