ABD Federal Soruşturma Bürosu (FBI) Pazartesi günü, Radar/Dispossessor adlı yeni bir fidye yazılımı grubuyla ilişkili çevrimiçi altyapının kesintiye uğradığını duyurdu.
Bu çaba, üç ABD sunucusunun, üç Birleşik Krallık sunucusunun, 18 Alman sunucusunun, sekiz ABD tabanlı suç alanının ve bir Alman tabanlı suç alanının kaldırılmasını gördü. Dispossessor’ın, çevrimiçi “Brain” takma adıyla bilinen kişi(ler) tarafından yönetildiği söyleniyor.
FBI, “Radar/Dispossessor, Ağustos 2023’teki kuruluşundan bu yana, üretim, geliştirme, eğitim, sağlık, finansal hizmetler ve ulaşım sektörlerinden küçük ve orta ölçekli işletmeleri ve kuruluşları hedef alan ve saldıran uluslararası düzeyde etkili bir fidye yazılımı grubuna hızla dönüştü” dedi. söz konusu bir açıklamada.
Dispossessor saldırılarının kurbanı olarak Arjantin, Avustralya, Belçika, Brezilya, Kanada, Hırvatistan, Almanya, Honduras, Hindistan, Peru, Polonya, BAE, İngiltere ve ABD’de bulunan şirketler de dahil olmak üzere 43 şirket tespit edildi.
Benzerlikleriyle dikkat çeken mülksüzleştirici Kilit bitidiğer e-suç çetelerinin öncülük ettiği aynı ikili gasp modelini izleyen bir fidye yazılımı hizmeti (RaaS) grubu olarak ortaya çıktı. Bu tür saldırılar, sistemlerini şifrelemenin yanı sıra fidye için kurban verilerini sızdırarak çalışır. Uzlaşmayı reddeden kullanıcılar, verilerinin ifşa edilmesiyle tehdit edilir.
Tehdit aktörleri tarafından başlatılan saldırı zincirlerinin, güvenlik açıkları veya zayıf parolalar içeren sistemleri hedeflere erişmek ve verilerini şifreleme bariyerlerinin arkasına kilitlemek için bir giriş noktası olarak kullandıkları gözlemlendi.
FBI, “Şirket saldırıya uğradığında, suçluyla iletişime geçmezse grup, mağdur şirketteki diğer kişilerle e-posta veya telefon görüşmesi yoluyla proaktif bir şekilde iletişime geçiyordu” dedi.
“E-postalar ayrıca daha önce çalınan dosyaların sunulduğu video platformlarına bağlantılar içeriyordu. Bu her zaman şantaj baskısını artırma ve ödeme isteğini yükseltme amacı taşıyordu.”
Buna göre Veri İhlalleri.NetRadar ve Dispossessor, aynı özel araçları, yöntemleri, erişimleri birbirleriyle paylaşan ve karları bölüşen iki gruptur. Dispossessor grubunun üyeleri ayrıca inandı kendi operasyonlarını başlatmak için yollarını ayıran eski LockBit iştirakçileri.
Siber güvenlik şirketi SentinelOne’dan önceki raporlama kurmak Dispossessor grubunun, sızdırılmış verileri indirip satmak üzere reklamını yaptığı ve “Cl0p, Hunters International ve 8Base gibi diğer operasyonlarla ilişkilendirilen verileri yeniden yayınladığı” belirtildi.
Bu tür kaldırma işlemlerinin sıklığı, tehdit aktörlerinin sürekli değişen ortamda yenilik yapmanın ve gelişmenin yollarını bulmasına rağmen, dünya çapında kolluk kuvvetlerinin kalıcı fidye yazılımı tehdidiyle mücadele çabalarını artırdığının bir başka göstergesi.
Bu bir saldırılarda artış Yükleniciler ve servis sağlayıcılar aracılığıyla gerçekleştirilen bu çalışma, tehdit aktörlerinin nasıl silaha dönüştüğünü vurgulamaktadır güvenilir ilişkiler “Bu yaklaşım, daha az çabayla büyük ölçekli saldırıları kolaylaştırıyor ve veri sızıntıları veya şifrelenmiş veriler keşfedilene kadar çoğu zaman tespit edilemiyor.”
Palo Alto Networks Unit 42’nin sızıntı sitelerinden topladığı verilere göre, 2024’ün ilk yarısında fidye yazılımlarından en çok etkilenen sektörler imalat (%16,4), sağlık (%9,6) ve inşaat (%9,4) oldu.
Bu dönemde en çok hedef alınan ülkeler arasında ABD, Kanada, İngiltere, Almanya, İtalya, Fransa, İspanya, Brezilya, Avustralya ve Belçika yer aldı.
Şirket, “Yeni ortaya çıkan güvenlik açıkları, saldırganların bu fırsatları hızla istismar etmek için harekete geçmesiyle birlikte, esas olarak fidye yazılımı faaliyetlerini yönlendirdi” dedi. söz konusu“Tehdit aktörleri, kurban ağlarına erişmek, ayrıcalıkları yükseltmek ve ihlal edilen ortamlarda yatay olarak hareket etmek için düzenli olarak güvenlik açıklarını hedef alırlar.”
Rapid7’ye göre, dikkat çekici bir eğilim, toplam 68 benzersiz gruptan 21’ini oluşturan yeni (veya yenilenen) fidye yazılımı gruplarının ortaya çıkması ve daha küçük kuruluşların hedef alınmasının artmasıdır.
“Bunun birçok nedeni olabilir, en önemlisi de bu küçük kuruluşların tehdit aktörlerinin peşinde olduğu verilerin çoğunu barındırması, ancak genellikle daha az olgunlaşmış güvenlik önlemlerine sahip olmalarıdır.” söz konusu.
Bir diğer önemli husus ise RaaS iş modellerinin profesyonelleştirilmesiFidye yazılımı grupları yalnızca daha karmaşık olmakla kalmıyor, aynı zamanda meşru kurumsal işletmelere benzeyen operasyonlarını giderek daha fazla ölçeklendiriyorlar.
Rapid7, “Kendi pazar yerleri var, kendi ürünlerini satıyorlar ve bazı durumlarda 7/24 destek sağlıyorlar,” diye belirtti. “Ayrıca, dağıttıkları fidye yazılımlarında bir işbirliği ve konsolidasyon ekosistemi yaratıyor gibi görünüyorlar.”
(Radar ve Dispossessor’ın birbiriyle ilişkili iki fidye yazılımı grubu olduğu açıklığa kavuşturulmak üzere haber yayımlandıktan sonra güncellendi.)