Fidye Yazılımı Kurbanları Tehdit Aktörleri Sıfırıncı Gün İstismarlarına Döndükçe Artıyor

Saldırganlar hedef ağlara sızmak için sıfır gün güvenlik açıklarından ve bir günlük açıklardan giderek daha fazla yararlandıkça, fidye yazılımı saldırılarının kurbanı olan kuruluşların sayısı 143'nin ilk çeyreği ile bu yılın ilk çeyreği arasında %2022 arttı.

Bu saldırıların çoğunda tehdit aktörleri, kurban kuruluşlara ait verileri şifreleme zahmetine bile girmemiştir. Bunun yerine, yalnızca hassas verilerini çalmaya odaklandılar ve verileri başkalarına satmak veya sızdırmakla tehdit ederek kurbanları gasp ettiler. Taktik, sağlam yedekleme ve geri yükleme süreçlerine sahip olanları bile köşeye sıkıştırdı.

Kurbanlarda Artış

Akamai'deki araştırmacılar trendleri keşfetti yakın zamanda 90 fidye yazılımı grubuna ait sızıntı sitelerinden toplanan verileri analiz ettiklerinde. Sızıntı siteleri, fidye yazılımı gruplarının tipik olarak saldırıları, kurbanları ve şifrelemiş veya sızdırmış olabilecekleri veriler hakkında ayrıntılar yayınladığı konumlardır.

Akamai'nin analizi, fidye yazılımı saldırılarıyla ilgili bazı popüler fikirlerin artık tamamen doğru olmadığını gösterdi. Şirkete göre en önemlilerinden biri, ilk erişim vektörü olarak kimlik avından güvenlik açığından yararlanmaya geçiş. Akamai, birkaç büyük fidye yazılımı operatörünün, saldırılarında kullanmak üzere sıfırıncı gün güvenlik açıklarını (kurum içi araştırma yoluyla veya gri pazar kaynaklarından temin ederek) edinmeye odaklandığını tespit etti.

Dikkate değer bir örnek, Fortra'nın GoAnywhere yazılımındaki sıfır günlük bir SQL enjeksiyon güvenlik açığını kötüye kullanan Cl0P fidye yazılımı grubudur (CVE-2023-0669) bu yılın başlarında çok sayıda yüksek profilli şirkete girmek için. Mayıs ayında, aynı tehdit aktörü, keşfettiği başka bir sıfır gün hatasını bu kez Progress Software'in MOVEIt dosya aktarım uygulamasında (CVE-2023-34362) — dünya çapında düzinelerce büyük kuruluşa sızmak. Akamai, sıfır gün hatalarını kullanmaya başladıktan sonra 0'nin ilk çeyreği ile bu yılın ilk çeyreği arasında Cl2022p'nin kurban sayısının dokuz kat arttığını tespit etti.

Akamai, sıfır gün güvenlik açıklarından yararlanmak özellikle yeni olmasa da, fidye yazılımı aktörleri arasında bunları büyük ölçekli saldırılarda kullanma eğiliminin önemli olduğunu söyledi.

Akamai güvenlik araştırması CORE ekibinin başkanı Eliad Kimhy, "Özellikle endişe verici olan, sıfır gün güvenlik açıklarının kurum içi geliştirilmesidir" diyor. "Bunu, son iki büyük saldırısında Cl0p ile görüyoruz ve diğer grupların da aynı yolu izlemesini ve bu tür güvenlik açıklarını satın almak ve kaynak sağlamak için kaynaklarını kullanmasını bekliyoruz."

Diğer durumlarda, LockBit ve ALPHV (namı diğer BlackCat) gibi büyük fidye yazılımı ekipleri, kuruluşların satıcının düzeltmesini onlar için uygulama şansı bulamadan yeni açıklanan güvenlik açıklarına atlayarak ortalığı kasıp kavurdu. Bu tür "birinci gün" güvenlik açıklarına örnek olarak şunlar verilebilir: Nisan 2023'teki PaperCut güvenlik açıkları (CVE-2023-27350 ve CVE-2023-27351) ve ESXiArgs kampanyasının operatörünün yararlandığı VMware'in ESXi sunucularındaki güvenlik açıkları.

Şifrelemeden Sızmaya Dönme

Akamai ayrıca BianLian kampanyasının arkasındakiler gibi bazı fidye yazılımı operatörlerinin tamamen veri şifrelemeden döndüğünü keşfetti. veri hırsızlığı yoluyla gasp için. Anahtarın önemli olmasının nedeni, veri şifreleme ile kuruluşların, yeterince sağlam bir veri yedekleme ve geri yükleme sürecine sahip olmaları durumunda kilitli verilerini alma şansına sahip olmalarıdır. Veri hırsızlığı söz konusu olduğunda, kuruluşlar bu fırsata sahip değildir ve bunun yerine ya ödeme yapmak zorundadır ya da tehdit aktörlerinin verilerini herkese açık bir şekilde sızdırma veya daha kötüsü, başkalarına satma riskini almaları gerekir.

Kimhy, gasp tekniklerinin çeşitliliğinin dikkate değer olduğunu söylüyor. Kimhy, "Verilerin çalınması, bazı yönlerden dosyaların şifrelenmesine ikincil olan ek bir kaldıraç olarak başladı" diyor. "Günümüzde bunun gasp için birincil kaldıraç olarak kullanıldığını görüyoruz, bu da örneğin dosya yedeklemenin yeterli olmayabileceği anlamına geliyor."

Akamai'nin veri setindeki kurbanların çoğu - aslında yaklaşık %65'i - 50 milyon dolara kadar gelir bildiren küçük ve orta ölçekli işletmelerdi. Genellikle en büyük fidye yazılımı hedefleri olarak algılanan daha büyük kuruluşlar, aslında kurbanların yalnızca %12'sini oluşturuyordu. Üretim şirketleri, saldırıların orantısız bir yüzdesini yaşadı, ardından sağlık kuruluşları ve finansal hizmetler şirketleri geldi. Akamai, önemli bir şekilde, bir fidye yazılımı saldırısına maruz kalan kuruluşların, ilk saldırıdan sonraki üç ay içinde ikinci bir saldırı yaşama olasılığının çok yüksek olduğunu buldu.

Kimhy, kimlik avına karşı korunmanın hala çok önemli olduğunu vurgulamanın önemli olduğunu söylüyor. Aynı zamanda, kuruluşların yeni açıklanan güvenlik açıklarının yamalarına öncelik vermesi gerekir. "[T]düşmanı, tehdit yüzeylerini, kullanılan, tercih edilen ve geliştirilen teknikleri ve özellikle de hangi ürünleri, süreçleri ve insanları geliştirmek için geliştirmeniz gerektiğini anlamak gibi aynı tavsiyeler hala geçerli. modern bir fidye yazılımı saldırısını durdurun.”

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
• Kaynak: https://www.darkreading.com/threat-intelligence/ransomware-victims-surge-as-threat-actors-pivot-to-zero-day-exploits