Yaz mevsiminde bir süreliğine düşüşe geçen fidye yazılım saldırıları, eski ve yeni tehdit aktörlerinin yeniden sahne almasıyla birlikte hızlı bir yükseliş trendine girdi. NCC Group tarafından yayımlanan son rapora göre, Temmuz ayında başarıyla gerçekleştirilen fidye yazılım kampanyalarının sayısı Haziran ayına kıyasla %47 artarak 198'e ulaştı. Bu artışın arkasındaki ana itici güç ise, Lockbit grubu ve daha önce dünyanın en büyük fidye yazılım çetesi olan Conti'nin dağılması sonucu ortaya çıkan iki yeni oluşum.
Raporda, Temmuz ayında 62 saldırıyla en üretken fidye yazılım grubu olarak Lockbit öne çıkıyor. Bu rakam, bir önceki aya göre 10 saldırılık bir artışı temsil ediyor ve ikinci ile üçüncü sıradaki grupların toplam saldırı sayısının iki katından fazla. Araştırmacılar, "Lockbit 3.0, en tehditkar fidye yazılım grubu olarak konumunu koruyor ve tüm kuruluşların bu grubun farkında olması gerekiyor" ifadelerini kullandı. Lockbit'in bu yaz en aktif RaaS (Ransomware as a Service) grubu olduğu vurgulanıyor.
Lockbit'i sırasıyla 27 saldırıyla Hiveleaks ve 24 saldırıyla BlackBasta takip ediyor. Bu iki grubun yükselişi dikkat çekici: Hiveleaks Haziran ayına göre %440, BlackBasta ise %50 artış gösterdi. Her iki grubun da Conti ile bağlantılı olduğu belirtiliyor; Hiveleaks bir affiliate (iştirak) olarak, BlackBasta ise Conti'nin yerini alan bir tür olarak faaliyet gösteriyor. Bu durum, Conti'nin dağılmasının ardından tehdit ortamına yeni kimliklerle geri döndüğünü gösteriyor.
Peki fidye yazılım saldırılarındaki bu dalgalanmanın nedeni ne? Mayıs ayında ABD hükümeti, dönemin en büyük fidye yazılım çetesi olan Conti hakkında bilgi sağlayanlara 15 milyon dolara kadar ödül teklif ederek Rusya merkezli siber suçlarla mücadelede önemli bir adım atmıştı. Bu hamle, Conti'nin yapısal değişikliklere uğramasına ve yeni operasyon modellerine geçmesine yol açtı. Rapora göre, "Tehdit aktörlerinin yapısal değişiklikler geçirdiği ve yeni çalışma biçimlerine alışmaya başladığı, bunun sonucunda toplam uzlaşma sayılarının arttığı düşünülüyor."
Hiveleaks ve BlackBasta'nın hızlı yükselişi, Conti'nin dağılmasıyla yakından ilişkili. Conti'nin ikiye bölünmesiyle birlikte, eski üyelerin bu yeni gruplara katıldığı ve saldırı kapasitelerini artırdığı tahmin ediliyor. Araştırmacılar, "Ağustos ayına girdiğimizde bu rakamların daha da artması şaşırtıcı olmayacaktır" uyarısında bulunuyor. Bu durum, kuruluşların güvenlik önlemlerini güncellemeleri ve özellikle Lockbit, Hiveleaks ve BlackBasta gibi gruplara karşı savunma stratejileri geliştirmeleri gerektiğini ortaya koyuyor.
Siber güvenlik uzmanları, fidye yazılım saldırılarına karşı alınabilecek önlemler konusunda uyarılarda bulunuyor. Düzenli yedekleme, çok faktörlü kimlik doğrulama, çalışan eğitimi ve güncel güvenlik yamaları, bu tür saldırılara karşı ilk savunma hattını oluşturuyor. Ayrıca, RaaS gruplarının hedef seçiminde genellikle kritik altyapı ve büyük şirketlere odaklandığı göz önüne alındığında, kuruluşların tehdit istihbaratı paylaşımı ve olay müdahale planlamasına öncelik vermesi büyük önem taşıyor.
Kaynak: threatpost.com