Fidye yazılımı grupları, güvenliği ihlal edilmiş sistemlerde dosya şifreleyen kötü amaçlı yazılımları dağıtmak için taktiklerini ve tekniklerini geliştirmeye devam ediyor, kolluk kuvvetlerinin siber suç çetelerine karşı başka şirketleri mağdur etmelerini önlemek için yaptığı yıkıcı eylemlere rağmen.
“Kolluk yaptırımı, gruplar arasındaki iç çatışmalar veya varyantları tamamen terk eden insanlar nedeniyle olsun, RaaS [ransomware-as-a-service] Bu noktada ekosisteme hakim olan gruplar, birkaç ay öncesine göre tamamen farklı.” Intel 471 araştırmacıları söz konusu Bu ay yayınlanan bir raporda. “Yine de, varyantlardaki değişime rağmen, bir bütün olarak fidye yazılımı olayları hala artıyor.”
Son aylarda devlet kurumları tarafından üstlenilen kapsamlı kolluk operasyonları, RaaS ortamında hızlı değişimlere neden oldu ve Avaddon, BlackMatter, Cl0p, DarkSide, Egregor ve REvil gibi fidye yazılımı sendikalarının durumunu tersine çevirerek oyuncuları yavaşlamaya veya kapanmaya zorladı. tamamen işlerini.
Ancak bu varyantlar belirsizliğe doğru kaybolurken, boşluğu doldurmak için diğer gelecek vaat eden gruplar devreye girdi. Intel 471’in bulguları, Temmuz ile Eylül 2021 arasında, 35 farklı fidye yazılımı varyantına atfedilebilecek toplam 612 fidye yazılımı saldırısını ortaya çıkardı.
Gözlemlenen enfeksiyonların yaklaşık %60’ı tek başına dört çeşide bağlıydı – en üstte LockBit 2.0 (%33), Conti (%15.2), BlackMatter (%6.9) ve Hive (%6) – ve birincil olarak imalat, tüketici ve sanayiyi etkiledi. ürünler, profesyonel hizmetler ve danışmanlık ve gayrimenkul sektörleri.
Avos Dolap yalnızca saldırılarda bir artışa tanık olmakla kalmayıp, aynı zamanda finansal olarak motive edilmiş planlarını sürdürmek için yeni taktikler benimseyen bu tür birçok kartelden biridir; bunların başlıcaları, hedeflenen sistemlerde uç nokta güvenlik ürünlerini devre dışı bırakma ve Windows Güvenli’ye önyükleme yeteneğidir. Fidye yazılımını çalıştırma modu. Güvenli Modda çalışırken makineye erişimi sürdürmek için AnyDesk uzaktan yönetim aracı da yüklenmiştir.
SophosLabs müdürü “Bunun nedeni, çoğu olmasa da birçok uç nokta güvenlik ürününün Güvenli Mod’da çalışmamasıdır – bu, Windows’un çoğu üçüncü taraf sürücü ve yazılımı devre dışı bıraktığı ve aksi takdirde korunan makineleri güvensiz hale getirebildiği özel bir tanılama yapılandırmasıdır.” güvenlik araştırmacısı Andrew Brandt, söz konusu. “Avos Locker tarafından kullanılan teknikler basit ama akıllı; saldırganlar, fidye yazılımının Güvenli Mod’da çalışmak için en iyi şansa sahip olmasını sağlıyor ve saldırganların saldırı boyunca makinelere uzaktan erişimini sürdürmesine izin veriyor.”
Hive’ın RaaS programı, Group-IB ile kurban kuruluşların fidye ödemesini sağlamak için baskı taktikleri kullanması nedeniyle kendi adına “agresif” olarak adlandırıldı. bağlama Haziran 2021’in sonlarında ortaya çıkmasından bu yana 16 Ekim itibariyle 355 şirkete saldırı baskısı. Bu arada, Rus dili fidye yazılımı grubu Everest, hedeflenen sistemlere erişimi satmakla tehdit ederek gasp taktiklerini bir sonraki seviyeye taşıyor. NCC Group, taleplerin karşılanmadığını söyledi.
“Hizmet olarak fidye yazılımı satışının popülaritesinde geçen yıl bir artış görülse de, bu, bir fidye talebinde bulunan ve BT altyapısına erişim sunan bir grubun nadir bir örneğidir – ancak 2022’de taklit saldırıları görebiliriz. ve ötesi,” İngiltere merkezli siber güvenlik şirketi işaret etti.
Dahası, Pysa (aka Mespinoza) adlı nispeten yeni bir fidye yazılımı ailesi, Conti’yi LockBit 2.0 ile birlikte Kasım ayı için en iyi fidye yazılımı tehdit gruplarından biri olarak koltuğundan etti. Fidye yazılımı, Ekim ayına kıyasla hedeflenen şirket sayısında %50’lik bir artışa ve devlet sektörü sistemlerine yönelik saldırılarda %400’lük bir artışa tanık oldu.
“Dünyanın dört bir yanındaki kolluk kuvvetleri, saldırıların arkasındakileri tutuklama çabalarında daha agresif hale gelse de, geliştiriciler popüler varyantları kolayca kapatıyor, gözden kaçıyor ve kendileri ve bağlı kuruluşlar tarafından kullanılan ince ayarlanmış kötü amaçlı yazılımlarla geri dönüyor,” dedi. 471 araştırmacı söyledi. Geliştiriciler kendilerine güvenli liman verilen ülkelerde kaldıkları sürece saldırılar farklı varyantlarla da olsa devam edecek” dedi.
.
siber-2