Kurumsal güvenlik ekipleri, izlemeleri gereken ve sürekli büyüyen fidye yazılımı tehditleri listesine üç tane daha fidye yazılımı türü ekleyebilir.
Çoğu fidye yazılım aracı gibi üç varyant – Vohuk, ScareCrow ve AESRT – Windows sistemlerini hedefliyor ve birden çok ülkedeki kullanıcılara ait sistemlerde nispeten hızlı bir şekilde çoğalıyor gibi görünüyor. Fortinet’in FortiGuard Laboratuarlarında bu hafta tehditleri izleyen güvenlik araştırmacıları, fidye yazılımı örneklerinin şirketin fidye yazılımı veritabanında ilgi gördüğünü açıkladı.
Fortinet’in analizi üç tehditten biri, bunların güvenliği ihlal edilmiş sistemlerdeki verileri şifrelemede çok etkili olan türden standart fidye yazılımı araçları olduğunu gösterdi. Fortinet’in uyarısı, yeni fidye yazılımı örneklerinin operatörlerinin kötü amaçlı yazılımlarını nasıl dağıttığını belirlemedi, ancak kimlik avı e-postasının genellikle fidye yazılımı bulaşmaları için en yaygın vektör olduğunu belirtti.
Fortinet FortiGuard Labs kıdemli güvenlik mühendisi Fred Gutierrez, “2022’de fidye yazılımındaki artış geleceğin ne getireceğini gösteriyorsa, her yerdeki güvenlik ekipleri bu saldırı vektörünün 2023’te daha da popüler hale gelmesini beklemeli” diyor.
2022’nin sadece ilk yarısında, FortiGuard Labs’in belirlediği yeni fidye yazılımı varyantlarının sayısı önceki altı aylık döneme kıyasla yaklaşık %100 arttı, diyor. FortiGuard Labs ekibi, 2021’in ikinci yarısında sadece 5.400 olan 2022’nin ilk yarısında 10.666 yeni fidye yazılımı çeşidi belgeledi.
“Yeni fidye yazılımı türevlerindeki bu büyüme, öncelikle Dark Web’de hizmet olarak fidye yazılımından (RaaS) yararlanan daha fazla saldırgan sayesinde oldu” diyor.
“Ayrıca, belki de en rahatsız edici yönü, geniş ölçekte ve neredeyse tüm sektör türlerinde daha yıkıcı fidye yazılımı saldırılarında bir artış görüyor olmamız ve bunun 2023’te de devam etmesini bekliyoruz.”
Fortinet araştırmacılarının analiz ettiği Vohuk fidye yazılımı varyantı, yazarlarının onu aktif olarak geliştirmekte olduğunu gösteren üçüncü yinelemesinde görünüyor.
Fortinet, kötü amaçlı yazılımın güvenliği ihlal edilmiş sistemlere kurbanlardan saldırganla benzersiz bir kimlikle e-posta yoluyla iletişim kurmasını isteyen “README.txt” adlı bir fidye notu bıraktığını söyledi. Not, kurbana, saldırganın siyasi bir amacı olmadığını, yalnızca mali kazançla ilgilendiğini bildirir – muhtemelen kurbanlara talep edilen fidyeyi ödedikleri takdirde verilerini geri alacaklarına dair güvence vermek içindir.
Bu arada Fortinet, “ScareCrow, kurbanların makinelerindeki dosyaları şifreleyen başka bir tipik fidye yazılımıdır” dedi. “Readme.txt” başlıklı fidye notu, kurbanların saldırganla konuşmak için kullanabileceği üç Telegram kanalı içeriyor.”
Fortinet, fidye notunun herhangi bir özel mali talep içermemesine rağmen, kurbanların şifrelenmiş dosyaları kurtarmak için fidye ödemesi gerekeceğini varsaymanın güvenli olduğunu söyledi.
Güvenlik satıcısının araştırması, ScareCrow ile şimdiye kadarki en üretken fidye yazılımı araçlarından biri olan kötü şöhretli Conti fidye yazılımı varyantı arasında bir miktar örtüşme olduğunu da gösterdi. Örneğin, her ikisi de dosyaları şifrelemek için aynı algoritmayı kullanır ve tıpkı Conti gibi, ScareCrow da WMI komut satırı yardımcı programını (wmic) kullanarak gölge kopyaları siler ve virüslü sistemlerde verileri kurtarılamaz hale getirir.
VirusTotal’a yapılan başvurular, ScareCrow’un Amerika Birleşik Devletleri, Almanya, İtalya, Hindistan, Filipinler ve Rusya’daki sistemlere bulaştığını gösteriyor.
Ve son olarak, Fortinet’in kısa süre önce vahşi doğada keşfettiği üçüncü yeni fidye yazılımı ailesi olan AESRT, diğer iki tehdide benzer işlevselliğe sahip. Temel fark, bir fidye notu bırakmak yerine, kötü amaçlı yazılımın saldırganın e-posta adresini içeren bir açılır pencere ve kurban talep edilen fidyeyi ödediğinde şifrelenmiş dosyaların şifresini çözmek için bir anahtar görüntüleyen bir alan sunmasıdır.
Fidye yazılımı operatörleri kurumsal kuruluşlara acımasızca saldırmaya devam ederken, yeni varyantlar, kuruluşların artık günlük olarak uğraşmak zorunda kaldığı uzun ve sürekli büyüyen fidye yazılımı tehditleri listesine ekleniyor.
LookingGlass’ın bu yılın başlarında analiz ettiği fidye yazılımı saldırılarına ilişkin veriler, yalnızca 2022’nin ilk yarısında yaklaşık 1.133 doğrulanmış fidye yazılımı saldırısı olduğunu gösterdi – bunların yarısından fazlası (%52) ABD şirketlerini etkiledi. LookingGlass, en aktif fidye yazılımı grubunun LockBit varyantının arkasındaki grup olduğunu, ardından Conti, Black Basta ve Alphy fidye yazılımının arkasındaki grupların geldiğini tespit etti.
Bununla birlikte, faaliyet hızı sabit değildir. Bazı güvenlik sağlayıcıları, yılın belirli bölümlerinde fidye yazılımı etkinliğinde hafif bir yavaşlama gözlemlediklerini bildirdi.
Örneğin, bir yıl ortası raporunda SecureWorks, Mayıs ve Haziran aylarındaki olaylara müdahale taahhütlerinin, başarılı yeni fidye yazılımı saldırılarının gerçekleşme hızının biraz yavaşladığını gösterdiğini söyledi.
SecureWorks, eğilimin, en azından kısmen, bu yıl Conti RaaS operasyonunun kesintiye uğraması ve aşağıdakiler gibi diğer faktörlerle ilgili olduğunu belirledi: Ukrayna’daki savaşın yıkıcı etkisi fidye yazılımı çetelerinde.
Kimlik Hırsızlığı Kaynak Merkezi’nden (ITRC) alınan başka bir rapor, 2022’nin ikinci çeyreğinde, yılın ilk çeyreğine kıyasla ihlalle sonuçlanan fidye yazılımı saldırılarında %20’lik bir düşüş bildirdi. SecureWorks gibi ITRC de düşüşün Ukrayna’daki savaşla ve önemli ölçüde fidye yazılımı operatörlerinin ödemeler için tercih ettiği kripto para birimlerinin çöküşüyle ilgili olduğunu belirledi.
LookingGlass CEO’su Bryan Ware, kripto çöküşünün 2023’te fidye yazılımı operatörlerini engelleyebileceğine inandığını söyledi.
“Son FTX skandalı, kripto para birimlerini çökertiyor ve bu, fidye yazılımlarından para kazanmayı etkiliyor ve esasen onu öngörülemez hale getiriyor” diyor. “Uzun vadede diğer para kazanma biçimlerini düşünmek zorunda kalacakları için bu, fidye yazılımı operatörleri için pek iyiye işaret değil.”
Ware, kripto para birimleri etrafındaki eğilimlerin bazı fidye yazılımı gruplarının kendi kripto para birimlerini kullanmayı düşündüğünü söylüyor: “Bunun gerçekleşip gerçekleşmeyeceğinden emin değiliz, ancak genel olarak, fidye yazılımı grupları nasıl para kazanacakları ve ileriye dönük bir düzeyde anonimliği nasıl koruyacakları konusunda endişeli.”
siber-1