Avustralya ve ABD’nin yeni ortak siber güvenlik tavsiye belgesine göre, Play fidye yazılımının arkasındaki tehdit aktörlerinin Ekim 2023 itibarıyla yaklaşık 300 kuruluşu etkilediği tahmin ediliyor
Yetkililer, “Play fidye yazılımı aktörleri, verileri sızdırdıktan sonra sistemleri şifreleyerek çift gasp modeli kullanıyor ve Kuzey Amerika, Güney Amerika, Avrupa ve Avustralya’daki çok çeşitli işletmeleri ve kritik altyapı kuruluşlarını etkiledi.” söz konusu.
Balonfly ve PlayCrypt olarak da adlandırılan Play, 2022’de ortaya çıktı ve Microsoft Exchange sunucularındaki (CVE-2022-41040 ve CVE-2022-41082) ve Fortinet cihazlarındaki (CVE-2018-13379 ve CVE-2020-12812) güvenlik açıklarından yararlanarak işletmelerin güvenliğini ihlal ediyor ve dosya şifreleyen kötü amaçlı yazılımları dağıtın.
Fidye yazılımı saldırılarının, ilk enfeksiyon vektörleri olarak kimlik avı e-postalarını kullanmak yerine giderek daha fazla güvenlik açıklarından yararlandığını ve 2022’nin ikinci yarısında neredeyse sıfırdan 2023’ün ilk yarısında neredeyse üçte birine sıçradığını belirtmekte fayda var. Corvus’tan veriler.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Siber güvenlik firması Adlumin, geçen ay yayınlanan bir raporda Play’in diğer tehdit aktörlerine “hizmet olarak” sunulduğunu ve hizmet olarak fidye yazılımı (RaaS) operasyonuna dönüşümünü tamamladığını ortaya çıkardı.
Grup tarafından düzenlenen fidye yazılımı saldırıları, Active Directory sorgularını çalıştırmak için AdFind, antivirüs yazılımını devre dışı bırakmak için GMER, IOBit ve PowerTool ve ağ bilgilerini numaralandırmak ve yedekleme yazılımı ve uzaktan kumanda hakkında bilgi toplamak için Grixba gibi genel ve özel araçların kullanılmasıyla karakterize edilir. bir makineye yüklenen yönetim araçları.
Tehdit aktörlerinin ayrıca yanal hareket, veri sızdırma ve şifreleme adımları gerçekleştirdiği, istismar sonrası için Cobalt Strike, SystemBC ve Mimikatz’a yatırım yaptığı da gözlemlendi.
Ajanslar, “Play fidye yazılımı grubu, verileri sızdırdıktan sonra sistemleri şifreleyerek çift gasp modeli kullanıyor” dedi. “Fidye notları, ilk fidye talebini veya ödeme talimatlarını içermiyor; bunun yerine, kurbanlara tehdit aktörleriyle e-posta yoluyla iletişime geçmeleri talimatı veriliyor.”
Tarafından derlenen istatistiklere göre MalwarebytesPlay’in yalnızca Kasım 2023’te yaklaşık 40 kurbanı olduğu ancak benzerlerinin önemli ölçüde gerisinde kaldığı söyleniyor Kilit Biti Ve Kara kedi (aka ALPHV ve Noberus).
Uyarı, ABD devlet kurumlarının, çalıntı oturum açma bilgileri ve izinsiz giriş aracıları (diğer adıyla ilk erişim aracıları) satın alarak ağlara ilk erişimi elde ettikten sonra saf gasp uğruna şifreleme tabanlı saldırılardan kaçındığı bilinen Karakurt grubu hakkında güncellenmiş bir bülten yayınlamasından birkaç gün sonra geldi. ), kimlik avı ve bilinen güvenlik kusurları.
Hükümet, “Karakurt kurbanları, ele geçirilen makinelerin veya dosyaların şifrelendiğini bildirmediler; bunun yerine, Karakurt aktörleri verileri çaldıklarını iddia etti ve talep edilen fidyeyi ödemedikleri takdirde bunları açık artırmaya çıkarmak veya kamuya açıklamakla tehdit etti.” söz konusu.
Gelişmeler aynı zamanda spekülasyonlar BlackCat fidye yazılımının, karanlık web sızıntı portalları beş gün boyunca çevrimdışı kaldıktan sonra bir kolluk kuvvetleri operasyonunun hedefi olabileceği belirtildi. Ancak e-suç örgütü, kesintinin donanım arızasından kaynaklandığını belirtti.
Dahası, NoEscape olarak bilinen başka bir yeni ortaya çıkan fidye yazılımı grubunun da çıkış dolandırıcılığı yaptıetkili bir şekilde “fidye ödemelerini çalmak ve grubun web panellerini ve veri sızıntısı sitelerini kapatmak”, LockBit gibi diğer çetelerin eski bağlı kuruluşlarını işe almaya teşvik etmesi.
Fidye yazılımı ortamının, ister kolluk kuvvetlerinin dış baskısı nedeniyle olsun, sürekli olarak gelişmesi ve değişmesi hiç de şaşırtıcı değil. Bu, BianLian, White Rabbit ve Mario fidye yazılımı çetelerinin halka açık finansal hizmet firmalarını hedef alan ortak bir gasp kampanyasındaki işbirliğiyle de kanıtlanıyor.
Resecurity, “Bu işbirlikçi fidye kampanyaları nadirdir, ancak muhtemelen karanlık ağdaki birden fazla grupla işbirliği yapan ilk erişim aracılarının (IAB’ler) katılımı nedeniyle daha yaygın hale geliyor.” söz konusu Geçen hafta yayınlanan bir raporda.
“Daha fazla işbirliğine yol açabilecek bir diğer faktör, siber suçlu diaspora ağları oluşturan kolluk kuvvetlerinin müdahaleleridir. Bu tehdit aktörü ağlarının yerinden edilmiş katılımcıları, rakiplerle işbirliği yapmaya daha istekli olabilir.”
