Güncel bir raporda Trend Micro, fidye yazılımı ortamını analiz ediyor ve LockBit etkinliklerinin kesintiye uğramasının bu ortam üzerindeki etkisine ilişkin bir genel bakış sunuyor. LockBit tamamen parçalanmadı ancak etkinliği ciddi şekilde bastırıldı ve yeni kötü amaçlı kod geliştirmeleri keşfedilerek kullanılamaz hale getirildi.
Trend Micro, Britanya Ulusal Suç Ajansı (NCA) ile iş birliği yaparak, fidye yazılımı grubunun faaliyetlerine ilişkin ayrıntılı analizler sunabildi ve kötü amaçlı yazılımın tüm işlevselliğini kalıcı olarak bozabildi. LockBit ve BlackCat, 2022'den bu yana sürekli olarak en çok keşfedilen Hizmet Olarak Fidye Yazılımı (RaaS) sağlayıcıları arasında yer alıyor. Küresel ölçekte artan mağdur sayısına paralel olarak aktif RaaS gruplarında da artış gözlemlenebiliyor.
🔎 Çeşitli LockBit Tor adresleri altındaki sızıntı sayfaları yetkililer tarafından ele geçirildi. Ancak APT grubu yeni adreslerle geri döndü (Resim: Trend Micro).
Güvenlik uzmanlarının araştırması, hizmet olarak fidye yazılımı tehdit aktörlerinin çoğunun özellikle BT güvenliği için daha az kaynağa sahip olduğuna inandıkları daha küçük kuruluşlara odaklandığını gösteriyor. 2023'ün ikinci yarısında, dünya çapında LockBit kurbanlarının çoğunluğunu (yüzde 200) ve BlackCat kurbanlarının önemli bir kısmını (yüzde 61) 50'den az çalışanı olan şirketler oluşturuyordu. Clop fidye yazılımı grubunda, çalışma dönemindeki saldırıların yarısından fazlası (yüzde 62) bu tür KOBİ'lere yönelikti.
4'ün 2023. çeyreği: Saldırı sayıları artmaya devam ediyor
Rapor, Trend Micro'nun 2023'ün ikinci yarısında e-posta, URL ve dosya düzeylerinde dünya çapında toplam 7,5 milyona yakın fidye yazılımı tehdidini tespit edip engellediğini ortaya koyuyor. Bu, yılın ilk altı ayına kıyasla yüzde 11'den fazla bir artışı temsil ediyor. Fidye yazılımı aktörleri, başarılı bir saldırının ardından fidyeyi ödemeyi reddettiği iddia edilen toplam 2.500 civarında şirketin verilerini sızıntı sitelerinde yayınladı.
Bu, 26'ün ilk yarısına kıyasla dünya çapında fidye yazılımı kurbanı olduğu iddia edilenlerin sayısında yüzde 2023'dan fazla artışa karşılık geliyor. Aktif RaaS gruplarının sayısı da yılın ikinci yarısında yüzde 15'ten fazla arttı.
LockBit, dünya çapında lider fidye yazılımı ailesiydi ve üçüncü çeyrekte toplam kurban sayısının yüzde 18'ini, dördüncü çeyrekte ise yüzde 22'sini oluşturdu. 2023 yılı boyunca odak noktaları Kuzey Amerika'ydı. 2023'ün ikinci yarısında saldırıların yüzde 45'i bu bölgeyi hedef alırken, onu yüzde 26 ile Avrupa ve yüzde 12 ile Asya-Pasifik bölgesi izledi.
Fidye yazılımı grubu BlackCat de 58'ün ikinci yarısında saldırılarının yüzde 2023'ini Kuzey Amerika'yı hedef aldı. Bunu yine Avrupa (yüzde 17) ve Asya-Pasifik bölgesi (yüzde 14) takip ediyor. Clop aktörleri benzer coğrafi tercihler gösteriyor. 70 yılının üçüncü çeyreğinin odak noktası neredeyse yüzde 2023 ile Kuzey Amerika oldu. Dördüncü çeyrekte olaylar sadece bu bölgede yoğunlaştı. Almanya, Avrupa'da fidye yazılımı saldırılarında ilk sırada yer alıyor, ancak rakamlar son çeyrekte biraz düştü.
LockBit'e karşı Cronos Operasyonu
LockBit, 2023'teki tüm fidye yazılımı sızıntılarının dörtte birine karıştı ve fidye yazılımını teknolojinin ön saflarında yer alacak şekilde geliştirmeye devam etti. Trend Micro, Birleşik Krallık Ulusal Suç Ajansı (NCA) ile yakın işbirliği içinde çalışarak, halen geliştirilmekte olan LockBit fidye yazılımının bir sonraki sürümü olan LockBit-NG-Dev'in ayrıntılı bir analizi için tehdit istihbaratı sağlamayı başardı. Analiz, LockBit ürün serisinin tamamını suç teşkil eden amaçlar için uygunsuz hale getirdi. Fidye yazılımının en büyük oyuncularından birinin toplu olarak bozulmasına "Cronos Operasyonu" adı verildi, siber tehditlere karşı küresel mücadelede önemli bir adıma işaret ediyor.
LockBit'e karşı Cronos operasyonunun ana sonuçları
- Çekirdek aktörlerin itibarının zedelenmesi: Lekelenen itibarı göz önüne alındığında LockBit, operasyonlarını ve bağlı kuruluş ağlarını yeniden inşa etmede önemli zorluklarla karşı karşıyadır.
- Stratejik altyapı kesintisi: Operasyonun derinlemesine yaklaşımı, aktörlerin sistemlerini yeniden inşa etmelerini ve yeniden gruplaşmalarını son derece zor ve zaman alıcı hale getirdi.
- Etkili caydırıcı: Bağlı kuruluşların suç faaliyetlerine ilişkin içgörüler ve ardından gelen uyarılar, muhtemelen LockBit'in tüm bağlı kuruluş programlarını ortadan kaldırdı ve grubun operasyonel kapasitesini daha da zayıflattı.
- Şirketler için artan güvenlik: Şirketler, operasyonun sağladığı içgörülerden ve fidye yazılımı pazarındaki büyük bir oyuncunun saldırısına uğrama riskinin azalmasından yararlanıyor.
Trend Micro İleriye Dönük Tehdit Araştırma Ekibi Direktörü Robert McArdle şöyle açıklıyor: "Uluslararası kolluk kuvvetlerinin LockBit grubuna karşı yürüttükleri çalışmalarda, planladıkları yeni versiyona ilişkin analizlerimizle başarılı bir şekilde destekleyebildiğimiz için çok mutluyuz." "Analizimizle bu tehdit aktörlerinin bir adım önünde kalarak, yalnızca kolluk kuvvetleriyle bilgi paylaşmakla kalmadık, aynı zamanda küresel müşteri tabanımızın korunmasını da güçlendirdik. Kesinti operasyonuna ilişkin bir değerlendirme, küresel tehdit istihbaratının güvenlik düzeyinin artırılmasına değerli bir katkı sağladığını gösteriyor."
BlackCat de büyük ölçüde kesintiye uğradı
LockBit'e benzer şekilde, FBI liderliğindeki uluslararası bir kolluk kuvveti operasyonu da BlackCat'in altyapısına sızmayı ve bozmayı başardı. Aralık ayında, operasyon BlackCat'in sunucularına sızdı ve BlackCat'in Tor siteleri için yüzlerce anahtar çiftini başarıyla ele geçirdikten sonra sızıntı sitesini kapattı.
TrendMicro.com'da daha fazlası
Trend Micro Hakkında Dünyanın önde gelen BT güvenliği sağlayıcılarından biri olan Trend Micro, dijital veri alışverişi için güvenli bir dünya yaratılmasına yardımcı olur. 30 yılı aşkın güvenlik uzmanlığı, küresel tehdit araştırması ve sürekli yenilikle Trend Micro işletmeler, devlet kurumları ve tüketiciler için koruma sunar. XGen™ güvenlik stratejimiz sayesinde çözümlerimiz, öncü ortamlar için optimize edilmiş nesiller arası savunma teknikleri kombinasyonundan yararlanır. Ağa bağlı tehdit bilgileri, daha iyi ve daha hızlı koruma sağlar. Bulut iş yükleri, uç noktalar, e-posta, IIoT ve ağlar için optimize edilmiş bağlantılı çözümlerimiz, daha hızlı tehdit algılama ve yanıt için tüm kuruluş genelinde merkezileştirilmiş görünürlük sağlar.