Fidye yazılımı gruplarının kapatılması zordur çünkü tekniklerini sürekli olarak daha yeni güvenlik savunmalarından ve kontrollerinden kaçmak için uyarlarlar. Darktrace’de analiz direktörü Brianna Leddy, bu Tech Talk’ta, bir saldırı grubunun operasyonları durdurmasının, farklı bir biçimde yeniden ortaya çıkmayacakları anlamına gelmediğini söylüyor.
Örneğin araştırmacılar, Colonial Pipeline’a yönelik fidye yazılımı saldırısının arkasındaki DarkSide grubunun, bir hizmet olarak fidye yazılımı grubu olan Blackmatter olarak geri döndüğüne inanıyor. DarkSide, muhtemelen kolluk kuvvetlerinin soruşturmaları ve ABD federal hükümetinin fidye ödemelerini geri alması nedeniyle operasyonlarını durdurdu.
Geçen yıl, REvil fidye yazılımının arkasındaki grupla birlikte çalışan birkaç bağlı grup tutuklandı. Öyle olsa bile, yakın zamanda REvil’e bağlı bir sitenin yeni bir siteye yönlendirmeye başlaması, grubun tekrar faaliyete geçtiğinin bir göstergesi gibi görünüyor.
Leddy, “Bu adı duyduğumuz son kişi olduğunu sanmıyorum” diyor.
Leddy, yeniden markalaşmanın taktiklerdeki bir değişimi de yansıtabileceğini söylüyor. Leddy, daha fazla kuruluş kötü niyetli trafik aramak için ağları taradıkça, daha fazla saldırganın “karadan yaşamaya” başladığını söylüyor. Arazi dışında yaşamak, diğer tüm normal, günlük ağ trafiği arasında kötü niyetli faaliyetlerini karıştırmak için meşru yönetici araçlarını ve hizmetlerini kötüye kullanmak anlamına gelir. Saldırganlar ayrıca kuruluşların şifrelenmiş dosyalarını saldırı grubundan kurtarmasını zorlaştırmak için bulut hizmetlerini ve yedekleme sunucularını giderek daha fazla hedef alıyor.