Yükselişte: fidye yazılımı kurbanları, ihlaller, infosterers

Flashpoint’teki siber tehdit istihbarat operasyonları başkan yardımcısı Ian Gray, şimdiye kadar yılın “siber tehditlerde endişe verici bir hızlanma” hikayesi olduğunu söyledi. “Bilgi çalma kötü amaçlı yazılım yoluyla kimlik bilgisi hırsızlığında% 800 artış gördük ve ‘kimliği’ baskın bir saldırı vektörü haline getirdik.” Dedi. “Fidye yazılımı% 179 ve veri ihlalleri% 235 arttıkça, kötü amaçlı aktivite ölçeği yadsınamaz.”

Firmanın araştırması, bu yılın ilk yarısına dayanarak, yaklaşık 7.000 kişi halka açık istismara sahip olan 20.000’den fazla yeni güvenlik açıkını da saydı. Flashpoint’ten bir Perşembe günü yaptığı açıklamada, “Bu eğilimler birleştiğinde, saldırganlar artan hacimde güvenlik açıklarını tetiklemesi gereken güvenlik ekipleri için önemli bir zorluk oluştururken, saldırganlar istikrarlı bir şekilde istismar kodunu silahlandırmaya çalışıyor” diyor.

Firmanın bulguları, veri ihlali cephesi de dahil olmak üzere bir aykırı değildir. Kurbanlara yardım eden ABD kar amacı gütmeyen bir kuruluş olan Kimlik Hırsızlık Kaynak Merkezi, bu yılın ilk yarısında yaklaşık 166 milyon kişiyi etkileyen toplam 1.732 veri ihlali olayını saydı. Bu zaman dilimi 2024’ün ilk yarısıyla karşılaştırıldığında, bildirilen ABD veri ihlallerinin miktarı%10 artmıştır. Bu eğilim yıl sonuna kadar devam ederse, 2025 bilinen ihlal edilen kuruluşların sayısı için bir kayıt belirleyecektir.

Infostealers dalgası

Uzmanlar, bu ihlallerin en azından bazılarının infosterers’ın artan başarısının izini sürdüğünü söyledi. Tehdit istihbarat firması Kela’nın yeni bir raporu, bu yılın ilk yarısında, infostealers tarafından 2.7 milyon sistemin enfekte olduğunu ve piyasayı dolduran 204 milyon tehlikeye yol açtığını söyledi. Bu seviyeler devam ederse, 2025, 2024’te görülen infosterers ölçeğini aşacak şekilde ayarlanmıştır ve bu da 4,3 milyondan fazla sistemin enfekte olmasını ve 330 milyon kimlik bilgisini tehlikeye atmıştır.

Saldırganlar, kurbanları kandırma taktiklerini, son zamanlarda Tiktok’a gönderilen, “macun ve koşu” taktikleri, aka tıklama fix veya temizleme saldırıları kullanarak, hem problemi hem de bir çözümü tanımlamak için, bir Windows terminal oturumuna yapıştırmayı içeren bir problemi ve bir çözümü de dahil olmak üzere rafine etmeye devam ediyor: bkz. Infostealer saldırganları Tiktok’ta AI tarafından oluşturulan videolar dağıtıyor).

Infostealer enfeksiyonları ile ilgili bir zorluk, bir sistemde bulabilecekleri hassas verileri hasat etmek için tasarlanmalarıdır – kripto para birimi cüzdan adresleri, kurumsal sistemler ve banka hesapları için erişim kimlik bilgileri, kredi kartı verileri, çerezler, şifreler ve daha fazlası.

Bu çalınan bilgilerin satıcılarını alıcılara bağlamak için gelişen bir ekosistem vardır. Her sistemden elde edilen veriler genellikle bir “günlük” olarak toparlanır ve günlük yerlerinin, forumlarının ve telgraf kanallarının otomatik bulutlarında satılır. Kela, bu kötü amaçlı yazılım kısmen kurumsal kimlik bilgilerini hasat ettiğinden, “Infostealers fidye yazılımı ve casusluk da dahil olmak üzere ileri saldırılara öncül olarak hizmet ediyor” dedi. Başka bir deyişle, günlük alıcıları ulus devlet korsanları ve gaspçuları içerir.

Kela, bu yıl, bir ağa ilk erişim elde etmek için infostalers tarafından hasat edilen kimlik bilgilerini kullanan saldırganları içeren önemli olayların, her ikisi de sırasıyla Ocak ve Şubat aylarında Hellcat tarafından vurulan İspanyol telekomünikasyon dev Telefónica ve Fransız telekom devi turuncusunun beğenilerini etkilediğini söyledi.

Kela, “Telefónica’da Hellcat, 15 JIRA hesabını tehlikeye attı, 24.000 çalışan kaydı, 500.000 JIRA bileti ve 2 GB’tan fazla dahili belgeyi ortadan kaldırdı.” Dedi. “Altı hafta sonra Hellcat, rakun çalan kimlik bilgileri aracılığıyla turunculara bir ay süren erişim kazandı, finansal, İK ve ağ verileri de dahil olmak üzere 12.000 dosya (6.5 gigabayt) çaldılar. Bir MFA-lacking ‘Ripeadmin’ hesabı, binlerce belgeyi sızdıran bir Merkezi Yasalı Register,” dedi. Asya.

Mart ayında, yepyeni Arkana Fidye Group, Colorado merkezli internet servis sağlayıcısı Wideopenwest, yani WOW’u ihlal ettiğini ve WOW fidye ödemedikçe 400.000’den fazla aboneye ilişkin çalıntı bilgileri sızdırmakla tehdit ettiğini iddia etti. Kela, “Bu saldırı, Eylül 2024’te tarayıcı kimlik bilgilerini sifonlayan bir WOW iş istasyonundan ödün veren bir Infostealer’dan kaynaklandı.” Dedi.

Infostealer enfeksiyonları küresel bir sorundur. Flashpoint, bu yılın ilk yarısında, yüklenen kütüklerin miktarına dayanarak kurbanların dolu günlüklerin dolu olduğu ilk 10 ülkenin Hindistan, ABD, Brezilya, Endonezya ve Pakistan olduğunu söyledi.

Birçok Infostealer kullanıcısı, yazılımı en az 30 farklı servis sağlayıcısından birinden ayda 400 $ veya daha az bir karşılığında kiralar. Bu yılın ilk yarısında Flashpoint, bu yılın ilk yarısında en çok kullanılan Infostealer’ın 5 milyon enfekte konakçı ve cihaza bağlandığı Lumma olduğunu ve ardından her biri 329.000 veya daha az enfekte konakçı olan Redline, Stealc, Vidar ve Agenta Tesla izlediğini söyledi.

Hizmet olarak Infostealer, sağlayıcıların şart ve koşulları, genellikle kripto para cüzdanları veya hesaplar için erişim bilgileri gibi özellikle kazançlı verileri tutma hakkı verir.

Fidye yazılımı daha fazla kurban sayıyor

Fidye yazılımı saldırıları da yukarı doğru eğilimli gibi görünüyor. Bu, üst düzey grupların devam eden kolluk kuvvetlerinin ve genel güven ve istikrar sorunlarına rağmen gelir. Rapid7’de bir tehdit araştırmacısı Chris Boyd, “Q2, önde gelen ve gelecekteki tehdit aktörleri, rakiplerin birleştiği iddiaları ve tutuklamalardan etkilenen büyük oyuncular arasında bol miktarda kavga gördü.” Dedi. Diyerek şöyle devam etti: “O zaman, bağlı kuruluşların bir Raas grubundan diğerine geçmesi, hatta toz yerleşene kadar tamamen durması mantıklı.”

Son aylardaki büyük oyuncular arasında perakendeciler ve sigorta şirketleri de dahil olmak üzere birçok isim markasını sosyal olarak tasarlayan Scated Spider, DragonForce ve sağlık hizmeti-mutlu qilin, Boyd dedi (bkz: Fidye yazılımı Salcı Criminal Underworld’de gelişir).

2025’in ilk yarısında Kela, fidye yazılımı Group’un veri sızıntısı bloglarına gönderilen kamu raporları veya taleplerle 3.662 fidye yazılımı kurbanını saydı. Bu kurbanların yarısından fazlası ABD merkezli. Altı aylık toplam, 2024 yılında gruplar tarafından talep edilen 5.230 fidye yazılımı kurbanı sayısının% 70’idir, bu da bilinen fidye yazılımı kurbanlarının sayısı önceki enfeksiyon seviyelerini aşmaya ayarlanmış görünmektedir.

Flashpoint de benzer şekilde ABD’nin, bilinen kurbanlara dayanarak fidye yazılımı tarafından en çok hedeflenen ülkenin uzakta kaldığını ve bu yılın ilk yarısında 2.160 iddia edilen kurban olduğunu, ardından 249, 154 ile Almanya, 148 ile İngiltere ve İtalya ile 96 ile olduğunu buldu.

Fidye yazılımı kurban sayısı ve demografik özellikleri kesin değildir, çünkü gruplar sadece ödeme yapan kurbanların bir alt kümesini listeler, bazen aylar sonra kurbanları listeler ve bazen yalan söyler.

Güvenlik uzmanları, kuruluşların tam olarak ölçülmesi çok zor olan fidye yazılımları tarafından ne ölçüde vurulduğunu ölçmeye yardımcı olmak için iddialarını takip ederler.

Salı raporuna göre, güvenlik uzmanlarının hangi güvenlik uzmanlarının toplayabileceğine dayanarak, “gizli faaliyet ölçeği önemli kalır” dedi.

1 Ocak – 31 Temmuz tarihleri arasında gelen saldırılar, her birinin kurbanlara yapabileceği zararı ortaya koyuyor. Flashpoint, “Veri hırsızlığı detaylarının mevcut olduğu saldırılar arasında, ortalama verilen veri hacmi 858 gigabayt idi.” Dedi. Diyerek şöyle devam etti: “Bu rakam, sızıntı sitesi yayınlarının belirli hacim bilgilerini içerdiği 609 olaya dayanıyor. 44 vakada fidye talepleri açıklandı ve ortalama talep 676.000 doları aştı.”