Fidye Yazılımı Çeteleri, Yeni Saldırılarda Mağdurlara Baskı Yapmak İçin LockBit'in İtibarını Kullanıyor

Siber suçlular taktiklerini sürekli olarak geliştiriyor ve son stratejilerinden biri de kurbanları korkutmak için kötü şöhretli LockBit fidye yazılımının itibarından yararlanmayı içeriyor. Son saldırılarda tehdit aktörlerinin Amazon S3'ün Transfer Acceleration özelliğini kullanarak verileri sızdırdığı görüldü, LockBit'in adını korku yaratmak için kullandılar, oysa söz konusu olan gerçek fidye yazılımı değildi.

Büyüyen Bir Trend: Bulut Hizmetlerinin Kötüye Kullanımı

Trend Micro'dan güvenlik araştırmacıları, Amazon Web Services'ı (AWS) kötüye kullanan fidye yazılımı gruplarında bir artış gözlemledi. Saldırganlar artık verileri kendi kontrolleri altındaki S3 kovalarına yükleyerek daha verimli bir şekilde çalmak için kötü amaçlı yazılımlarına AWS kimlik bilgilerini yerleştiriyor. Saldırganlar kendi veya çalınmış AWS hesaplarını kullanabilirken sonuç aynı: hassas veriler onların eline geçiyor. Neyse ki AWS, Trend Micro tarafından uyarıldığında tehlikeye atılan hesapları askıya alarak hızlı bir şekilde harekete geçti.

Bu trend, siber suçluların saldırılarını ilerletmek için popüler bulut hizmetlerini silahlandırmada daha usta hale geldiğinin sinyalini veriyor. Trend Micro, AWS Erişim Anahtarları içeren 30'dan fazla örnek keşfetti ve bu kampanyaların aktif olduğunu ve genişlediğini gösteriyor.

İpi Sıkmak İçin LockBit Kılığına Girmek

Bu saldırılarda, fidye yazılımı operatörleri kötü amaçlı yazılımlarını fidye yazılımı dünyasında kötü şöhretli bir isim olan LockBit olarak gizlemeye çalıştı. Saldırganlar LockBit'in adını kullanarak psikolojik baskı eklemeyi ve kurbanların korkudan fidye ödeme olasılığını artırmayı amaçladılar. Golang'da yazılan fidye yazılımı hem Windows hem de macOS sistemlerini enfekte edebilir, ancak orijinal LockBit grubuyla doğrudan bağlantılı değildir.

Çalıştırma sonrasında fidye yazılımı, dosyaları şifrelemek için bir ana anahtar oluşturmak için kullanılan bir makinenin benzersiz tanımlayıcısını (UUID) ele geçirir. Belirli dosya türlerini hedefler, bunları AWS'ye sızdırır ve işlem sırasında dosyaları yeniden adlandırır. Örneğin, "text.txt" adlı bir dosya, şifreleme sonrasında "text.txt..abcd" olur.

Son olarak korku faktörünü yoğunlaştırmak için fidye yazılımı, kurbanın duvar kağıdını LockBit 2.0 mesajıyla değiştirerek, saldırıyı yanlış bir şekilde bilinen fidye yazılımı çetesine bağlıyor.

Fidye Yazılımının Gelişen Tehdit Ortamı

Bu gelişmeler, fidye yazılımı manzarası değişmeye devam ederken ortaya çıkıyor. LockBit uluslararası kolluk kuvvetlerinin çabalarıyla zayıflatılırken , RansomHub, Qilin ve Akira gibi diğer gruplar boşluğu doldurmak için devreye giriyor. Özellikle Akira, veri hırsızlığını şifrelemeyle birleştirerek çift gasp taktiklerine geri döndü.

SentinelOne araştırmacıları ayrıca Mallox fidye yazılımı operasyonunun iştirakçilerinin Linux sistemlerini ihlal etmek için Kryptina fidye yazılımının değiştirilmiş sürümlerini kullanmaya başladığını ortaya çıkardı. Bu çeşitlenme, fidye yazılımı gruplarının farklı araç setlerini nasıl çapraz tozlaştırdığını ve daha karmaşık, hibrit kötü amaçlı yazılım türleri yarattığını vurgulamaktadır.

Fidye Yazılımlarına Karşı Savaş

Fidye yazılımı saldırılarının artan karmaşıklığına rağmen bazı olumlu gelişmeler oldu. Örneğin, Gen Digital tarafından Mallox fidye yazılımı için bir şifre çözücü yayınlandı ve kurbanlara daha önceki bir varyanta maruz kalmaları durumunda dosyalarını ücretsiz olarak kurtarma şansı sunuldu. Bu, tüm fidye yazılımı kurbanları için bir çözüm olmasa da, bu tehditlere karşı mücadelede ilerleme kaydedildiğini gösteriyor.

Ek olarak, Microsoft'un son raporunda, fidye yazılımı saldırılarının genel hacmi azalırken, insan tarafından gerçekleştirilen fidye yazılımı olaylarının önemli ölçüde arttığı belirtildi. Bu değişim, siber suçluların operasyonlarını aktif olarak yönettiği, kuruluşların uyanık kalma baskısını artıran daha hedefli saldırılara işaret ediyor.

Fidye yazılımı saldırıları, saldırganların bulut hizmetlerini giderek daha fazla kötüye kullanmaları ve çabalarını LockBit gibi iyi bilinen isimler altında gizlemeleriyle gelişmeye devam ediyor. Bu saldırıların artan karmaşıklığı, kuruluşların oyunun bir adım önünde olmaları, sağlam siber güvenlik önlemlerine yatırım yapmaları ve ortaya çıkan tehditlere karşı dikkatli olmaları gerektiği anlamına geliyor. Şifre çözücülerin piyasaya sürülmesi gibi bazı kazanımlar doğru yönde atılmış bir adım olsa da, fidye yazılımına karşı mücadele henüz bitmedi.