Microsoft bugün güvenlik ekiplerinin saldırılar sırasında fidye yazılımı konuşlandıran 100'den fazla tehdit aktörünü izlediğini açıkladı. Toplamda şirket, geçen yıl sonuna kadar aktif olarak kullanılan 50'den fazla benzersiz fidye yazılımı ailesini izlediğini söylüyor.
Microsoft, "Son kampanyalardaki en önemli fidye yazılımı yüklerinden bazıları Lockbit Black, Blackcat (AKA ALPHV), Play, Vice Society, Black Basta ve Royal yer alıyor." Dedi.
Fidye yazılımı çeteleri hala ortak veya yakın zamanda ele alınan güvenlik açıklarına karşı yamalı olmayan sunucuları ve cihazları hedeflediğinden, "Ancak savunma stratejileri yüklere daha az odaklanmalıdır, ancak konuşlandırmalarına yol açan faaliyet zincirine daha fazla odaklanmalıdır."
Ayrıca, yeni fidye yazılımı aileleri her zaman piyasaya sürülse de, çoğu tehdit aktörleri ağları ihlal ederken ve yayılırken aynı taktikleri kullanır ve bu tür davranışları tespit etme çabasını saldırılarını engellemede daha da yararlı hale getirir.
Redmond'un eklendiği gibi, saldırganlar, DEV-0671 ve DEV-0882 gibi tehdit aktörleriyle, savunmasız sunucuları kesmek ve Küba'yı dağıtmak ve fidye yazılımlarını oynamak için yakın zamanda yamalı Exchange sunucusu güvenlik açıklarından yararlanan saldırılarını yürütmek için kimlik avı ötesindeki taktiklere güveniyorlar.
Geçen hafta, değişim ekibi yöneticileri şirket içi değişim sunucularını güvence altına almak ve her zaman acil güvenlik güncellemesi yüklemeye hazır hale getirmek için en son desteklenen kümülatif güncellemeyi (CU) dağıtmaya çağırdı.
60.000'den fazla internete maruz kalan değişim sunucusu, proxynotshell RCE istismarlarından yararlanan saldırılara karşı savunmasızdır. Aynı zamanda, binlerce kişi hala 2021'deki en sömürülen güvenlik kusurlarından ikisi olan Proxyshell ve Proxylogon kusurlarını hedefleyen saldırılardan korunmayı bekliyor.
Diğer fidye yazılımı aktörleri, fidye yazılımlarını ve bilgi çalmacılar gibi çeşitli diğer kötü amaçlı yazılım suşlarını zorlamaya yardımcı olan kötü amaçlı yazılım yükleyicileri ve indiriciler sunmak için kötüverizasyona geçiyor veya kullanıyor.
Örneğin, fidye yazılımı çeteleri için ilk erişim brokeri olduğuna inanılan Dev-0569 olarak izlenen bir tehdit oyuncusu, artık kötü amaçlı yazılım dağıtmak, enfekte cihazlardan şifreleri çalmak ve sonuçta kurumsal ağlara erişim elde etmek için Google reklamlarını kötüye kullanıyor.
Bu erişimi saldırılarının bir parçası olarak kullanıyorlar veya Royal Ransomware Gang dahil olmak üzere diğer kötü amaçlı aktörlere satıyorlar.
Hizmet (RAAS) ekosistemi olarak fidye yazılımı, değişen teknikler, hedefler ve beceri setleri getiren çok sayıda oyuncu ile gelişmeye ve genişlemeye devam ediyor. 2022'nin sonundan itibaren Microsoft, saldırılarda fidye yazılımı kullanan 50 benzersiz aktif fidye yazılımı ailesi ve> 100 tehdit aktörünü izler.
Geçen yıl, Conti siber suç operasyonunun sonunda ve Royal, Play ve Blackbasta dahil olmak üzere yeni fidye yazılımı (RAAS) operasyonlarının yükselişi ile işaretlendi.
Bu arada, Lockbit, Hive, Küba, Blackcat ve Ragnar fidye yazılımı operatörleri ihlal etmeye ve 2022 boyunca istikrarlı bir kurban akışını zorlamaya çalıştılar.
Bununla birlikte, fidye yazılımı çeteleri, blockchain analitik şirketi zincirliğine göre, önceki iki yılda rekor kıran 765 milyon dolarlık bir rekor kırmadan sonra, geçen yıl yaklaşık%40 civarında büyük bir gelir düşüşü gördüler, çünkü 2022 boyunca kurbanlardan yaklaşık 456,8 milyon dolar zorlayabildiler.
Bununla birlikte, bu önemli düşüş daha az saldırıdan değil, kurbanlarının saldırganların fidye taleplerini ödemeyi reddetmesinden kaynaklandı.
Bu yıl, Hive Fidye Yazılımı veri sızıntısı ve TOR Ödeme Karanlık Web siteleri ABD Adalet Bakanlığı, FBI, Gizli Servis ve Europol'u içeren uluslararası bir kolluk operasyonunun bir parçası olarak ele geçirildikten sonra fidye yazılımı gruplarına karşı büyük bir galibiyetle başladı.
Hive sunucularına hackledikten sonra, FBI, kovan kurbanları için 1.300'den fazla şifre çözme anahtarı dağıttı ve Hive iletişim kayıtlarına, kötü amaçlı yazılım dosyası karmalarına ve 250 Hive bağlı kuruluşuyla ilgili ayrıntılara erişim sağladı.
Aynı gün, ABD Dışişleri Bakanlığı, kovan fidye yazılımı çetesini (veya diğer tehdit aktörlerini) yabancı hükümetlerle ilişkilendirmeye yardımcı olabilecek herhangi bir bilgi için 10 milyon dolara kadar teklif etti.
Microsoft, OAuth Kimlik Avı için kullanılan doğrulanmış ortak hesapları devre dışı bırakır
Lockbit Fidye Yazılımı 'Yeşil, Yeni Conti tabanlı şifreleyici kullanıyor
Yeni Nevada Fidye Yazılımı Windows ve VMware ESXI Sistemlerini Hedefliyor
Arnold Clark Müşteri Verileri, Play Ransomware tarafından talep edilen saldırıda çalındı
Microsoft, bir gün erken Windows 10 lisansını satmayı durdurur
Kaynak: Bleeping Computer