Coveware’in yeni bir raporu, fidye yazılımı manzarasında önemli bir değişim ortaya koyuyor ve tehdit aktörleri giderek daha karmaşık saldırılar yapmak için organizasyon yapılarını geliştiriyor.
Önde gelen fidye yazılımı gruplarının çöküşünün bir yıllık yıldönümüne yaklaştıkça Lockbit ve Blackcat/ALPHV, fidye yazılımı ekosistemi kırık ve belirsiz kalır, ancak aynı zamanda operasyonel yaklaşımında daha karmaşıktır.
Raporda, daha önce baskın fidye yazılımı (RAAS) modelinin, iştirakler için dövüş, aldatma, kayıp kar ve tehlikeye atılan anonimlik maruziyetinin ardından “geri dönüşü olmayan bir şekilde kararmış” hale geldiğini vurgulamaktadır.
.png
)
Bu, şu anda üç ayrı organizasyonel modelle karakterize edilen fidye yazılımı manzarasının yeniden yapılandırılmasına yol açtı: bağlı olmayan yalnız operatör gaspçıları, finansal siber suçlar ve casusluk arasındaki çizgileri bulanıklaştıran yeni fidye yazılımı markaları ve yerleşik oyun kitaplarını takiben geleneksel gruplar.
Coveware araştırmacıları, bu gelişen organizasyon yapılarının kırık ekosisteme rağmen daha karmaşık saldırı metodolojilerini sağladığı rahatsız edici bir eğilim belirlediler.
Raporda, ortak kolluk eylemlerinin, birkaç tehdit aktörünü parmaklıklar ardına koyarak bile çok sayıda fidye yazılımı operasyonunu sistematik olarak bozduğunu belirtiyor, ancak uyarlama endişe verici bir hızda devam ediyor.
Çeyrek 2025, CLOP’un Cleo yönetilen dosya transfer platformlarını hedefleyen veri hırsızlığı kampanyası, Bianlian’dan iddia edilen fiziksel fidye notlarını ve Oracle Cloud tek oturum açma ortamlarının kamu ihlali duyurusu da dahil olmak üzere, bu evrimi gösteren birkaç anlatı etkinliği ile işaretlendi.
Belki de en açıklayıcı, fidye yazılım gruplarının riski değerlendirmek ve düzenleyici iklimlerde gezinmek için operasyonlarını nasıl yapılandırdıklarına dair benzeri görülmemiş bir fikir sunan Siyah Basta Matrix sohbet günlüklerinin Şubat 2025 sızıntısıydı.
.webp)
Bu yeniden yapılandırılmış gruplar tarafından kullanılan sofistike savunma kaçırma teknikleri, özellikle ilgili bir gelişmeyi temsil etmektedir.
Analiz edilen vakaların% 60’ında mevcut olan bu teknikler, modern fidye yazılımı operasyonlarının organizasyonel olgunluğunu göstermektedir.
Tehdit aktörleri, güvenlik yazılımlarını sistematik olarak devre dışı bırakıyor, Windows olay günlüklerini temizliyor ve algılamayı önlemek için özel gizlenmiş komut dosyaları kullanıyor.
Daha endişe verici bir şekilde, saldırı günlüklerinde sıklıkla bulunan bu komut sırasında gösterildiği gibi, kendi savunmasız sürücü (BYOVD) tekniklerinizi getiriyorlar:-
sc stop "Sense"
reg add "HKLM\System\CurrentControlSet\Services\Sense" /v Start /t REG_DWORD /d 4 /f
sc stop "WinDefend"
reg add "HKLM\System\CurrentControlSet\Services\WinDefend" /v Start /t REG_DWORD /d 4 /fBu komutlar, ayrıcalıkları yükseltmek ve savunmaları daha da tehlikeye atmak için meşru ancak savunmasız sürücüleri kullanmadan önce Windows Defender hizmetlerini sistematik olarak devre dışı bırakır.
Fidye yazılımı gruplarının değişen organizasyon manzarası, savunucular için yeni zorluklar yaratıyor gibi görünüyor.
Daha küçük kuruluşlar (medyan büyüklüğü sadece 228 çalışan) birincil hedefler olarak kalırken, Coveware analistleri, Çin ve Kuzey Kore’den devlet destekli aktörler, rejim faaliyetlerini finanse etmek veya gerçek intransiyon motivasyonlarını maskelemek için potansiyel olarak bu saldırıları kullanan fidye yazılımı alanına giderek daha fazla girerek büyük işletmelere karşı saldırıların yeniden canlandığını görebileceğimiz konusunda uyarıyorlar.
Are you from the SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.