Fidye yazılımı hızlı değişiyor. Son üç ay, fidye yazılımı ekosistemi arasında Lockbit’in fidye yazılımı blogunun yayından kaldırılmasını, ekosistemden çıkan Blackcat ve birkaç küçük fidye yazılım grubunun ortaya çıkmasını içerecek şekilde dramatik gelişmeler gördü.
Bu makale son haberler için bağlam sağlamayı amaçlamaktadır. İlk olarak fidye yazılımı gruplarının ve bağlı kuruluşlarının birlikte nasıl çalıştığını ele alacağız. Ardından, ekosistem için önemli bir itici güç, 2024'te fidye yazılımının nasıl değiştiği ve daha sonra neler olabileceğini bağlı ortaklık yarışmasına dalacağız.
Siber suç ekosistemi büyüdükçe, karmaşık bir tedarik zincirinin bireysel bacaklarını gerçekleştiren birçok farklı aktörle daha karmaşık hale geldi.
Fidye yazılımı ekosistemin nasıl çalıştığını açıklamak için bir an duraklamaya değer. Hizmet olarak fidye yazılımı (RAAS), büyük fidye yazılımı grupları arasında baskın iş modeli olarak ortaya çıkmıştır.
Bu modelde RAAS grupları yeni fidye yazılımı kodu geliştirmeye ve bağlı kuruluşları çekmeye odaklanıyor. Fidye yazılımı iştirakleri BT altyapısını tehlikeye atmak ve fidye yazılımlarını dağıtmak için daha geniş grupla birlikte çalışır, fidye kendisi genellikle RAAS sağlayıcısı tarafından müzakere edilir.
Bu model hem operatörler hem de bağlı kuruluşlar için iyi çalışır ve 2023'te tek başına çok sayıda fidye yazılımı saldırısı oluşturan en büyük iki grup olan hem Lockbit hem de Blackcat tarafından kullanılır.
İştiraklere başarılı saldırılar yürütme konusunda sıkı çalışma yapmak, grupların daha hızlı ölçeklendirilmesine ve mümkün olandan çok daha fazla kurbandan ödün vermesine izin verirken, grupların fidye yazılımı kodlarında yenilik yapmaya devam etmelerini sağlar.
İştirakler kendileri etkili bir şekilde saldırıları gerçekleştirmek için diğer tedarik zincirlerine güvenmektedir. Birçok durumda, başka bir karanlık web tehdidi oyuncusundan (IAB) başka bir tür karanlık web tehdidi aktöründen erişim sağladığını görüyoruz.
En iyi iştirakler için rekabet etmek zor ve karmaşık bir iştir. Servis grupları olarak fidye yazılımı, meşru bir işletme ile aynı ikilemle karşı karşıyadır, modelin çalışmasını sağlamak için bağlı kuruluşlara ihtiyaç duyarlar ve en iyi iştirakleri çekmek için fiyat ve kalite konusunda rekabet etmek zorundadırlar.
Bu, en büyük fidye yazılımı gruplarının potansiyel bağlı kuruluşlara en sofistike bağlı kuruluşları kazanmak için bir oyun olarak diğer gruplardan daha büyük bir başarılı fidye ve daha az kısıtlama sunmaya çalıştığı oldukça rekabetçi bir ekosisteme yol açmıştır. Aslında, Lockbit, diğer tehdit aktörlerinden iştiraklere dağıtmak için kurumsal BT ortamlarına ayrıcalıklı erişim bile satın alıyor, ancak bu, lockbit için potansiyel getiriyi önemli ölçüde azaltıyor.
Son dört ay manzarada dramatik bir değişim gördü. İlk Blackcat'ın Fidye Blogu 2023 Aralık ayında indirildi. Bu, Blackcat'ın yeni bir blog kurmasına ve iştiraklere ödenen fidye payını%90'a çıkardıklarını açıklamasına neden oldu, bu da muhtemelen en üst düzeyde tutma yetenekleri konusunda güvensizlikleri yansıtan önemli bir artış. bağlı kuruluşlar.
Bunu, 2024 Şubat ayında Lockbit’in blogunun bir yayından kaldırma izledi. Altyapı tehlikeye girerken grupların kendilerinin büyük kaldığını belirtmek gerekir. Kolluk kuvvetlerinin bu grup operasyonlarını tamamen durdurabilme yeteneği sınırlıdır, ancak yayından kaldırmaların ortaklık ekosistemi ile önemli etkileri vardır.
Büyük bir grup olmanın faydaları ve dezavantajları vardır. İştirakler, iyi fidye yazılımı koduna sahip ve kararlı görünen yerleşik gruplarla çalışmak istiyor. Raas Group tipik olarak başarı fidye için ödeme yaptığından, kararsız bir grupla çalışmak oldukça risklidir.
Bununla birlikte, büyük gruplar da kolluk eylemleri için büyük hedefler haline gelir. Lockbit ve Blackcat'i indirerek, kolluk kuvvetleri her iki grupla olan iştiraklere olan güveni azalttı.
Azaltılmış bağlı kuruluş güveni, büyük bir ABD sağlık kuruluşuna karşı 22 milyon dolarlık başarılı bir fidye için bir satış ortağı ödemeyi reddettiği iddia edildikten sonra Blackcat'in fidye yazılımı ekosisteminden çıkmasının nedenlerinden biridir.
Fidye yazılımı grupları itibarla çalışır; Siber suçlarda güven var ve dolandırıcılıklar inanılmaz derecede yaygın. Derin teknik becerilere sahip yetenekli bağlı kuruluşlara sahip olmak isteyen fidye yazılımı gruplarının zaman içinde güven oluşturması ve kazanması ve bu güveni “markalarıyla” ilişkilendirmeleri gerekir.
Fidye yazılımı grupları, başarılı bir şekilde iş yapmak için bir dokunulmazlık havasına ihtiyaç duyar. Bağlı kuruluşlar için bir yayından kaldırma, kolluk kuvvetlerinin bunları kişisel olarak tanımlamak için yeterli bilgi edinebileceği varoluşsal tehdidi temsil eder.
Benzer şekilde, grubun kurbanları kolluk kuvvetlerinin altyapı tehlikeye atabileceğine ve şifre çözme anahtarları sağlayabileceğine inanırlarsa, bu grupla çalışmak için iştirakleri daha da önemsizleştirerek, ödemekten büyük ölçüde caydırıcı hale gelirler.
Fidye yazılımı muhtemelen yakın zamanda ortadan kalkmıyor, ancak ekosistemde önemli değişiklikler bekliyoruz. Fidye yazılımı altyapısını indirmek, etkilenen gruplarda kesinlikle geçici bozulmaya neden olur, ancak yüzlerce ila binlerce bağlı kuruluşun yönlendirdiği bir ekosistemi kalıcı olarak etkilemez.
Tarih herhangi bir rehber ise, fidye yazılımı ekosisteminin bir parçalanmasını görebiliriz. 2022'de RAID forumları kolluk kuvvetleri tarafından devredildi, bu da kaçan kullanıcılar kendi topluluklarını oluştururken birçok yeni küçük karanlık web forumunun ortaya çıkmasıyla sonuçlandı.
Blackcat'ın çıkışının neden olduğu ani şok ve kilitli bükülme, fidye yazılımı ekosisteminde benzer bir fenomenle sonuçlanabilir, çünkü bağlı kuruluşlar büyük gruplara olan güvenini yitirir ve bunun yerine kendi küçük kuruluşlarını çalıştırmayı tercih eder.
Kısa vadede, ekosistem yeni bir paradigmaya geçtikçe fidye yazılımı tehdidi biraz geri çekilebilir. Ekosistemin nasıl değiştiğine bakılmaksızın, aynı mavi takım önerileri kuruluşların yüksek etkili olay riskini azaltmasına yardımcı olabilir. Kuruluşları şunlara öneriyoruz:
Stealer günlükleri ve sızdırılmış kimlik bilgileri için kapsamlı izleme yapın: Kimlik tabanlı saldırılar, tehdit gruplarının kurumsal BT ortamlarından ödün vermek için kullandıkları en iyi vektörlerden biridir. Kuruluşunuzun, stealer günlüklerinin ve sızdırılmış kimlik bilgilerinin satıldığı ve paylaşıldığı yüzlerce siber suç topluluğunda geniş karanlık web izlemesine sahip olduğundan emin olun.
Yama Bilinen Sökülen Güvenlik Açıkları: Birçok fidye yazılımı iştiraki, kuruluşların yamaları geciktirdiği bilinen güvenlik açıkları aracılığıyla başlangıç erişimini sağlar. Yama yönetimi programınızda dışa bakan varlıklarda şu anda kullanılmış olan güvenlik açıklarını önceliklendirin.
Tüm kurumsal uygulamalarda MFA/2FA kullanın: Şirketlerin tüm dahili SaaS ve kurumsal uygulamalarda 2FA kontrolleri uygulamalarını öneririz. Kimlik doğrulama uygulamaları, sürekli mevcut SIM değiştirme riski sonucunda SMS'den daha iyi çalışır.
Flare Tehdit Maruz Kalma Yönetimi (TEM) çözümü, kuruluşların tehdit aktörleri tarafından yaygın olarak sömürülen maruziyet türlerini proaktif olarak tespit etmelerini, önceliklendirmesini ve azaltmalarını sağlar.
Platformumuz, bilinmeyen olayları keşfetmek, risklere öncelik vermek ve güvenliği artırmak için anında kullanabileceğiniz eyleme geçirilebilir zeka sunmak için Clear & Dark Web'i ve yasadışı telgraf kanallarını 24/7 otomatik olarak tarar.
Flare, güvenlik programınıza 30 dakika içinde entegre olur ve genellikle birkaç SaaS ve açık kaynaklı araçların yerini alır.
Ücretsiz denememize kaydolarak daha fazla bilgi edinin.
Flare tarafından sponsorlu ve yazılmıştır.
Fidye yazılımı ödemeleri 2023'te rekor 1,1 milyar dolara ulaştı
En son fidye yazılımı saldırıları ağları savunma hakkında ne öğretiyor?
Lockbit fidye yazılımı Gizli olarak yeni nesil şifreleyiciyi yayından kaldırmadan önce inşa etmek
Knight Fidye Yazılımı Kaynak Kodu Sızıntı Sitesi Kapatıldıktan Sonra Satılık
Fidye yazılımı grupları, hedefleme tercihleri ve erişim ekonomisi
Kaynak: Bleeping Computer