Birçok insan sadece karanlık ağları uyuşturucu, suç ve sızdırılmış kimlik bilgileriyle ilişkilendirir, ancak son yıllarda Tor ve Telegram'daki yasadışı kanallarda karmaşık ve birbirine bağlı bir siber suç ekosistemi ortaya çıkmıştır.
Bu eğilim, fidye yazılımı grupları, bağlı kuruluşlar ve şirketlere zorla kullandıkları giderek daha karmaşık yöntemler incelenerek örneklenebilir.
Fidye yazılımı, on yıldan fazla bir süredir kuruluşlar için akut bir endişe kaynağı olmuştur, ancak gördüğümüz en yeni eğilimlerden biri, grupların şimdi altyapı oluşturması, ancak gerçek enfeksiyonu (ve bazı durumlarda müzakerelere) etkili bir şekilde hareket eden “bağlı kuruluşlara” dış kaynak kullanmasıdır. Bir Hizmet (RAAS) grubu olarak fidye yazılımına yükleniciler olarak ve başarılı bir saldırıların sonunda karı bölmek.
Bu, rol uzmanlaşmasını sağlar ve “ölçek ekonomileri” ekonomi ilkesinden yararlanır. Bu “siber suçların metalaşması” daha fazla enfeksiyon, daha fazla kurban ve daha yüksek ödemelere izin verir.
Aynı zamanda, giderek daha sofistike gasp taktiklerine başvuran grupları gördük. Sadece bir şirketin verilerini şifreleyen bir grup artık bir nadirdir (tek gasp), bazı gruplar tamamen önceden şifreleme ve bunun yerine veri açığa çıkma ve çalışan şantajına odaklanıyor.
Peki bekar, çift ve üçlü gasp saldırıları nedir?
Bu, bir grubun bir şirketin verilerini şifrelediği ve verilerin piyasaya sürülmesi için ödeme gerektirdiği “geleneksel” fidye yazılımı saldırısınızdır.
Bir fidye yazılımı grubu bir şirketin verilerini şifreler, ancak ilk olarak kurban ödemiyorsa fidye yazılımı bloglarında belirli bir tarihte yayınlanan verileri ortaya çıkarır.
Grup sadece verileri şifrelemek ve püskürtmekle kalmaz, aynı zamanda aşağıdakileri de dener:
veya başka türlü kurbanı ödemeye zorlamak için ek kaldıraç yaratmaya çalışır.
2022'de 2.947 şirketin fidye yazılımı bloglarında sızdığını gördük. Kuşkusuz yüzlerce veya binlerce şirket kurbandı ve veri açıklamasını önlemek için fidye ödedi.
2023'te, yılın ilk altı ayında fidye yazılımı bloglarında 2.000'den fazla veri sızıntısı gördük, bu da 2023'ün fidye yazılımı veri açıklaması için rekor bir yıl olmasını sağladı.
Üçlü gasp fidye yazılımının yükselişi, tehdit manzarasında bir başka önemli değişiklikle doğrudan çakışır: Infostealer kötü amaçlı yazılımların yükselişi.
Vidar, Redline ve Raccoon gibi Infostealer varyantları tek tek bilgisayarları enfekte edin ve tarayıcı parmak izini, ana bilgisayar verilerini ve en önemlisi tarayıcıda kaydedilen tüm kimlik bilgilerini ekleyin.
Fidye yazılımı iştirakleri, özel forumlar aracılığıyla fidye yazılımı için kolayca alışveriş yapabilir, daha sonra halka açık telgraf kanallarına gönderilen veya Rus veya Genesis pazarlarında satılmak üzere listelenen enfekte cihaz günlükleri aracılığıyla ilk erişimi arayabilir.
Bireysel bir günlük aşağıdakiler için kimlik bilgileri içerebilir:
Kara ağ ve telgraf boyunca satılık en az 20 milyon enfekte cihaz olduğunu ve kurumsal ortamlara kimlik bilgileri içeren tek haneli bir yüzde olduğunu tahmin ediyoruz.
Fidye yazılımı grupları, üçlü gasp saldırılarının bir parçası olarak stealer günlüklerini de kullanabilir.
Kurumsal BT ortamlarına ilk erişim için günlükleri kullandıklarını ve kuruluşa daha fazla baskı yapmanın bir yolu olarak kullanılabilecek belirli çalışanlarla ilgili başarılı bir saldırıdan sonra zaten listelenen günlükleri belirlediklerini gördük.
Gördüğümüz bir başka ilginç yakınsama, özel karanlık web forumlarında çalışan ve bir şirkete ilk erişimin kurulması konusunda uzmanlaşan “başlangıç erişim brokerlerinde” hızlı artış, daha sonra açık artırma tarzı formatında satılan bir “ŞİMDİ FİYAT satın al. . "
İlk erişim brokerleri, enfeksiyon sürecini daha da toparlar, bu da tehdit aktörlerinin fidye yazılımı dağıtımından önce hedeflere erişim satın almalarını kolaylaştırır ve doğru hedef için belirli miktarda “alışveriş” yapmalarını sağlar.
Siber suç ekosisteminin artan karmaşıklığı, artan sayıda karmaşık olmayan tehdit aktörünün kurumsal ortamlara karşı sofistike saldırılar başlatmasını sağlıyor. Flare'de, sürekli bir tehdit maruziyet izleme süreci (CTEM) oluşturmanın etkili siber güvenlik için anahtar olduğuna inanıyoruz.
Gartner, CTEM çevresindeki süreçlerden yararlanan şirketlerin 2026'da veri ihlali riskini% 66 azaltacağını tahmin ediyor.
Tüm siber saldırılar ilk bir erişim vektörü gerektirir. Bu, kimlik avı e -postaları ve güvenlik açığı istismarları gibi geleneksel yöntemlerle kazanılabilir, ancak kimlik bilgilerini kamu GitHub depolarına sızdıran geliştiricilerden, çalışan bilgisayarları enfekte eden Infostealer kötü amaçlı yazılım veya kimlik bilgisi doldurma saldırılarına da gelebilir.
Flare, Clear & Dark Web ve yasadışı telgraf kanallarında şirkete özgü tehditleri otomatik olarak algılar, 30 dakika içinde güvenlik programınıza entegre olur ve tek bir kullanımı kolay SaaS platformunda potansiyel yüksek riskli maruziyetin gelişmiş bir şekilde bildirilmesi sağlar.
Tehdit aktörlerinin ortamınıza erişmelerini ve enfekte olmuş cihazlar, fidye yazılımı maruziyeti, genel github sırları sızıntıları, sızdırılmış kimlik bilgileri ve daha fazlası için sürekli izleme sağlamasını sağlayabilecek yüksek riskli vektörleri tespit ediyoruz.
Kuruluşunuzu koruma hakkında daha fazla bilgi edinmek için ücretsiz bir denemeye kaydolun.
Flare tarafından sponsorlu ve yazılmış
İç tehdit aktörleri: Karanlık Web Forumları ve Yasadışı Telgraf Toplulukları
Telegram'ın Büyük Çıkışı: Yeni Siber Saldırı Yeraltı Turu
TSMC, fidye yazılımı çetesi 70 milyon dolar talep ederken Lockbit Hack'i reddediyor
Manchester Üniversitesi son siber saldırıda veri hırsızlığını onayladı
Hackers Warn Manchester Üniversitesi Öğrencileri Yakın Veri Sızıntısı
Kaynak: Bleeping Computer