Fidye yazılımı operasyonları, kapalı ve amatör başlangıçlardan karanlık internette birbirine rakip olan farklı markalara ve stillere sahip tam teşekküllü işletmelere kadar uzanan uzun bir yol kat etti. En makus şöhrete sahip çetelerden kimileri büyük çapta darbe almalarına karşın işlerini geliştirmeye ve başarılı olmaya devam ediyorlar. Kurbanlarına saldırmak için alışılmadık yollar buluyorlar yahut hücumlarını daha alakalı hale getirmek için haber hırsızlığına başvuruyorlar. Kaspersky uzmanları, fidye yazılımı kümelerinin faaliyetlerini daima izleyerek 12 Mayıs Fidye Yazılımına Karşı Muhafaza Günü’nde 2022 yılında tespit edilen yeni fidye yazılımı eğilimlerini kapsayan ayrıntılı bir rapor yayınladı.
Dikkat çeken birinci eğilim, fidye yazılımı kümeleri tarafından platformlar ortası yeteneklerin verimli kullanımı oldu. Bu günlerde operatörler tıpkı anda birkaç işletim sisteminde çalıştırılabilen kodlar yazarak, tek bir berbat emelli yazılımla mümkün olduğunca çok sisteme ziyan vermeyi hedefliyorlar. En etkin fidye yazılımı kümelerinden biri olan Conti, seçilen bağlı kuruluşlar aracılığıyla dağıtılan ve Linux işletim istemini hedefleyen bir varyant geliştirdi. 2021’in sonlarında platformlar ortası programlama lisanları olan Rust ve Golang kullanımı daha yaygın hale geldi. Aralık 2021’den bu yana 60’tan fazla kuruluşa saldırdığı bildirilen, kendini “yeni nesil” makus gayeli yazılım çetesi ilan eden BlackCat, makus emelli yazılımını Rust’ta yazdı. Golang, QNAP’a yönelik hücumlarıyla ünlü bir küme olan DeadBolt tarafından fidye yazılımında kullanıldı.
Ek olarak 2021’in sonlarında ve 2022’nin başlarında fidye yazılımı kümeleri, dikkatleri kendilerinden uzak tutmak için tertipli olarak tekrar markalama ve sızma araçlarının güncellenmesi dahil olmak üzere iş süreçlerini kolaylaştırmaya yönelik faaliyetlerine devam etti. Birtakım kümeler, âlâ niyetli yazılım şirketlerinden alınanlara benzeyen eksiksiz araç grupları geliştirdi ve uyguladı. Lockbit, burada fidye yazılımı çetelerinin evriminin dikkate paha bir örneği olarak öne çıkıyor. Bu çete sistemli güncellemeler ve altyapısındaki tamirler dahil olmak üzere rakiplerine kıyasla bir dizi düzgünleştirmeye imza attı. Ayrıyeten birinci olarak, şimdiye kadarki en yüksek süratlerde data sızmasını sağlayan özel bir fidye yazılımı sızma aracı olan StealBIT’i duyurdu. Bu da, kümenin berbat maksatlı yazılım hızlandırma süreçlerine yönelik ağır bir biçimde çalıştığının işareti olarak görülüyor.
Kaspersky uzmanlarının şahit olduğu üçüncü eğilim, fidye yazılımı ortamını büyük ölçüde etkileyen Ukrayna’daki çatışmaya atıfta bulunan jeopolitik durumun bir sonucu. Bu çeşit akınlar ekseriyetle gelişmiş kalıcı tehdit (APT) aktörleriyle ilişkilendirilse de Kaspersky, siber kabahat forumlarında birtakım kıymetli faaliyetler ve mevcut duruma karşılık olarak fidye yazılımı kümelerinin öne çıkan aksiyonlarını tespit etti. Çatışma başladıktan kısa bir mühlet sonra fidye yazılımı kümeleri çatışmaya taraf oldu ve bu da kimi fidye yazılımı çetelerinin Rusya yahut Ukrayna’yı destekleyen siyasi emelli hücumlarına yol açtı. Çatışma sırasında yeni keşfedilen makus emelli yazılımlardan biri de Ukraynalı destekçiler tarafından geliştirilen Freeud idi. Freeud, bulaştığı sistemlerdeki belgeleri şifrelemek yerine direkt silmeyi tercih ediyor.
Kaspersky Global Araştırma ve Tahlil Grubu Kıdemli Güvenlik Araştırmacısı Dmitry Galov şunları söyledi: “Geçen yıl fidye yazılımlarının geliştiğini görüyorduk lakin bu yıl uygunca coşmuş durumdalar. Geçen yılki büyük fidye yazılımı kümeleri ayrılmak zorunda kalsa da yeni oyuncular daha evvel hiç görülmemiş tekniklerle ortaya çıktılar. Yeniden de fidye yazılımı tehditleri hem teknolojik hem de coğrafik olarak gelişip genişledikçe daha öngörülebilir hale geliyor. Bu da onları daha âlâ tespit etmemize ve bunlara karşı savunma geliştirmemize yardımcı oluyor.”
Fidye Yazılımına Karşı Muhafaza Günü olan 12 Mayıs’ta Kaspersky, kuruluşları fidye yazılımlarına karşı korunmaya yardımcı olacak şu en uygun uygulamaları takip etmeye teşvik ediyor:
- Saldırganların güvenlik açıklarından yararlanmasını ve kuruluş ağına sızmasını önlemek için kullanılan tüm aygıtlarda, yazılımlar her vakit yeni tutulmalıdır.
- Savunma stratejisi yanal hareketleri ve internete yönelik data sızmasını tespit etmeye odaklanmalıdır. Siber hatalıların kurumsal ağla olan irtibatlarını tespit etmek için giden trafiğe bilhassa dikkat edilmelidir. Davetsiz konukların kurcalayamayacağı çevrimdışı yedekler planlanmalıdır. Gerektiğinde yahut acil durumlarda bunlara süratli bir halde erişilebileceğinden emin olunmalıdır.
- Tüm uç noktalar için fidye yazılımı müdafaası etkinleştirilmelidir. Bilgisayarları ve sunucuları fidye yazılımlarından ve öbür berbat hedefli yazılım tiplerinden koruyan, istismarları önleyen ve halihazırda heyeti güvenlik tahlilleriyle uyumlu olan fiyatsız Kaspersky Anti-Ransomware Tool for Business eseri kullanılabilir.
- Gelişmiş tehdit keşfi ve tespiti, soruşturma ve olayların vaktinde düzeltilmesi için özellikler sağlayan anti-APT ve EDR tahlilleri kurulabilir. SOC grubuna en son tehdit istihbaratına erişim sağlanmalıdır ve profesyonel eğitimlerle tertipli olarak maharetleri yükseltilmelidir. Üstteki tekliflerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.
- SOC takımının en son tehdit istihbaratına (TI) erişimi sağlanmalıdır. Kaspersky Tehdit İstihbarat Portalı, Kaspersky’nin Tehdit İstihbaratı için 20 yılı aşkın müddettir toplanan siber hücum bilgileri ve öngörüleri sağlayan ortak erişim noktasıdır. İşletmelerin bu çalkantılı vakitlerde tesirli savunmaları etkinleştirmesine yardımcı olmak için Kaspersky, devam eden siber akınlar ve tehditler hakkında bağımsız, daima güncellenen ve global kaynaklı bilgilere fiyatsız olarak erişim sağlıyor. Bu bilgilere buradan erişim talebinde bulunulabilir.
Kaynak: (BHA) – Beyaz Haber Ajansı