Fidye yazılımı, bir kurbanın verilerini şifrelemek ve şifre çözme anahtarı karşılığında fidye talep etmek için tasarlanmış bir kötü amaçlı yazılım türüdür.
İçindekiler
Fidye yazılımı, erişimlerini genişleten bir Hizmet Olarak Fidye Yazılımı (RaaS) olarak bilinen bir hizmet olarak siber suç modeli haline geldi. Bu yeni yaklaşım, fidye yazılımı geliştiricilerinin fidye yazılımı araçlarını daha fazla saldırıyla sonuçlanan bağlı kuruluşlara kiralamasına olanak tanıyor.
Her yıl her biri farklı taktikler, hedefler ve etkilere sahip daha fazla fidye yazılımı grubu ortaya çıktı. Aşağıda, bu kalıcı siber tehdidin çeşitliliğini ve evrimini vurgulayan 15 fidye yazılımı örneği bulunmaktadır
RansomHub
RansomHub, ilk olarak Şubat 2024'te tespit edilen bir Fidye Yazılımı Hizmet Olarak Yazılım (RaaS) grubudur ve büyük işletmeleri önemli fidyeler ödeme olasılığı daha yüksek olacak şekilde hedefleyerek "büyük oyun avı" stratejisiyle hızla ün kazanmıştır. Trend Micro tarafından Water Bakunawa olarak izlenen RansomHub, bulut depolama yedeklerindeki güvenlik açıklarını ve yanlış yapılandırılmış Amazon S3 ortamlarını istismar ederken gözlemlenmiştir. Grup, hizmet sağlayıcılar ile müşteriler arasındaki güven ilişkisini kötüye kullanarak fidye/extortion taktiklerini güçlendirmektedir.
Rhysida
Rhysida, 2023'ün başlarında ortaya çıkan ve hem kurbanların verilerini şifreleyerek hem de Bitcoin'de fidye talebi ödenmediği sürece yayınlamakla tehdit ederek çifte şantaj taktikleri kullanan bir fidye yazılımı grubudur. Kendilerini bir siber güvenlik ekibi gibi tanıtarak, mağdurların ağ ve sistemlerindeki güvenlik zafiyetlerini öne sürüp yardım teklif ediyormuş gibi davranırlar. Fidye yazılımlarını dağıtmadan önce güvenliği ihlal edilmiş makinelerde yanal hareket için ilk erişimi elde etmek ve Cobalt Strike işaretçileri ile takip etmek için Kimlik Avı saldırılarını kullanacaklar.
Şekil 1: RansomHub Fidye Yazılımının Gözlemlenen Bulaşma Zinciri
Akira
Akira, 2023 yılının başlarında ortaya çıktı ve kısa sürede en kötü şöhretli fidye yazılımı ailelerinden biri haline geldi. Akira, çift yönlü fidye (double extortion) taktiklerini kullanmakta, fidye yazılımı hizmeti (RaaS) modeliyle faaliyet göstermekte ve alışılmadık ödeme seçenekleri sunmaktadır. Bu yaklaşım, operasyonel başarısına önemli ölçüde katkı sağlamıştır. Akira, 200.000 ABD dolarından 4 milyon ABD dolarının üzerine kadar değişen büyük fidye ödemeleri talep ettiği biliniyor.
WannaCry
Mayıs 2017’de gerçekleşen WannaCry fidye yazılımı saldırısı, Microsoft Windows işletim sistemindeki bir güvenlik açığını istismar ederek 150’den fazla ülkede 200.000’den fazla sistemi etkiledi. Kötü amaçlı yazılım, dosyaları şifreledi ve şifre çözme anahtarları için Bitcoin'de fidye ödemeleri talep etti. WannaCry saldırısının en büyük kurbanlarından biri, 70.000 cihaza kadar enfekte olan ve yaklaşık 19.000 tıbbi randevu veya prosedürün iptal edildiği İngiltere Ulusal Sağlık Hizmeti (NHS) idi.
Şekil 2: Enfeksiyon şeması
Clop
Clop fidye yazılımı (Cl0p olarak da bilinir), 2019’dan bu yana faaliyet göstermekte olup çok katmanlı fidye/extortion taktikleri ve yüksek profilli saldırılarıyla tanınmaktadır. Grup, 2019–2021 yılları arasında mağdurlarından 500 milyon ABD dolarından fazla fidye elde etmiştir. Clop, erişimini en üst düzeye çıkarmak için Accellion'un Dosya Aktarım Cihazı gibi yaygın olarak kullanılan yazılımlardaki güvenlik açıklarından da yararlandı.
8Base
8Base, kendisini sızma testi yapan bir ekip gibi gösteren ve ağırlıklı olarak küçük işletmeleri hedef alan bir fidye yazılımı grubudur. Mağdurlar fidye ödemediği sürece, verileri şifreleyen ve hassas bilgileri açığa çıkarmakla tehdit eden iki kat şantaj stratejisi kullanırlar. 8Base, ifşa et ve utandır (name-and-shame) taktiğini benimseyerek, veri gizliliğini ihmal ettiğini iddia ettiği kuruluşları hedef aldığını öne sürer ve gizli bilgileri ifşa ederek mağdurların itibarına zarar vermeyi amaçlar.
Trigona
Trigona fidye yazılımı grubu, özelleştirilebilir şifreleme için komut satırı argümanları da dâhil olmak üzere farklı yetkinliklere sahip birden fazla sürüm yayımlayarak hızla evrim geçirmiştir. Bağlı şirketler için %20 ila %50'lik yüksek gelir paylarını agresif bir şekilde ilan ettiler ve bu da kârlı bir operasyona işaret ediyordu. Bununla birlikte, Ekim 2023'te sızıntı bölgelerinin kaldırılmasıyla faaliyetleri aniden sona erdi ve operasyonel durumları belirsiz hale geldi.
Şekil 3: Trigona fidye yazılımı enfeksiyon zinciri
LockBit
LockBit, bir Hizmet Olarak Fidye Yazılımı (RaaS) modeli üzerinde çalışan önde gelen bir fidye yazılımı grubudur. LockBit 2.0 ve 3.0 dahil olmak üzere, çift kullanımlı taktikler ve özel şifreleme yöntemleri gibi özellikleri tanıtan birden fazla sürümü piyasaya sürdüler. Şubat 2024'te, koordineli bir uluslararası kolluk kuvvetleri girişimi olan Operation Cronos, altyapılarını ele geçirerek ve önemli üyeleri tutuklayarak LockBit'in operasyonlarını önemli ölçüde kesintiye uğrattı. Bu aksaklıklara rağmen LockBit, fidye yazılımı ortamında önemli bir tehdit olmaya devam ediyor.
BlackCat
BlackCat (ALPHV veya AlphaVM olarak da bilinir), 2021’in sonlarından bu yana fidye yazılımı hizmeti (RaaS) modeliyle faaliyet gösteren gelişmiş bir fidye yazılımı grubudur. Finans ve profesyonel hizmetler dâhil olmak üzere birçok sektörü hedef alan grup, özellikle Amerika Birleşik Devletleri’nde yoğun sayıda mağdura sahiptir. BlackCat, ilk erişimi sağlamak için malvertising gibi gelişmiş tekniklerin yanı sıra Log4j gibi güvenlik açıklarını istismar etmektedir. Ayrıca fidye taleplerine uyulması için mağdurlar üzerinde baskı kurmak amacıyla kullanılan herkese açık bir veri sızıntısı sitesine sahip olmasıyla da bilinir.
Ryuk fidye yazılımı
Ryuk, Wizard Spider olarak bilinen siber suç grubuyla ilişkilendirilen bir fidye yazılımı türüdür. 2019 yılında Ryuk, 12,5 milyon ABD dolarına kadar fidye taleplerinde bulunmuş ve 5,3 milyon ile 9,9 milyon ABD doları dâhil olmak üzere o yılın en yüksek fidye taleplerinden bazılarından sorumlu olmuştur. Mağdurları, hükümet, sağlık ve medya dahil olmak üzere çeşitli sektörlere yayıldı. Grup, ilk sistem ihlallerini kolaylaştırmak için TrickBot ve Emotet gibi diğer kötü amaçlı yazılımlarla da ilişkilendirilir.
Kaynak: Malwarebytes
Black Basta
Black Basta, fidye yazılımı hizmeti (RaaS) modeliyle faaliyet gösteren ve dünya genelinde çok sayıda sektörü ve kritik altyapıyı hedef alarak fidye yazılımı ekosisteminde hızla öne çıkan bir gruptur. Grubun, ağlara sızmak ve hassas verileri dışarı aktarmak amacıyla QakBot, Brute Ratel ve Cobalt Strike gibi kötü amaçlı yazılımlar ve araçları kullandığı gözlemlenmiştir.
Royal
Royal, 2022’nin başlarından bu yana faaliyet gösteren bir fidye yazılımı grubudur ve 250.000 ABD dolarından 2 milyon ABD dolarının üzerine kadar çıkan yüksek fidye talepleri ile agresif taktikleri sayesinde kısa sürede dikkat çekmiştir. Royal, verileri hem şifreleyip hem de dışarı aktararak çift yönlü fidye (double extortion) yöntemlerini kullanmakta; operasyonlarını VMware ESXi sunucuları dâhil olmak üzere Linux tabanlı sistemleri hedef alacak şekilde genişletmiştir. Grubun mağdurları birçok sektöre yayılmakla birlikte, özellikle Kuzey Amerika’da yoğunlaşmaktadır.
Şekil 5: Royal Fidye Yazılımının Saldırı Akışı
Water Ouroboros
Water Ouroboros, Ekim 2023’te ortaya çıkan ve fidye yazılımı hizmeti (RaaS) modeliyle faaliyet gösteren bir gruptur. Grubun, Ocak 2023’te FBI tarafından etkisiz hâle getirilen Hive fidye yazılımından evrimleştiği iddia edilmektedir. Şifrelemeden ziyade veri hırsızlığına odaklanırlar; güvenlik açıklarını istismar eder, kimlik bilgisi dökümü (credential dumping) gerçekleştirir ve Rust gibi dillerle yazılmış gelişmiş kötü amaçlı yazılımlar kullanırlar. Başlıca hedefleri arasında Amerika Birleşik Devletleri, Kanada, Birleşik Krallık, Fransa, Almanya ve İtalya yer almaktadır.
Hive
Hive, sağlık, finans ve üretim dahil olmak üzere küresel olarak çeşitli sektörleri hedefleyen, 2021 yılında ortaya çıkan bir Hizmet Olarak Fidye Yazılımı (RaaS) grubudur. Çifte şantaj taktikleri kullanırlar, verileri şifrelerlerler ve fidye ödenmediği sürece hassas bilgileri yayınlamakla tehdit ederler. Ocak 2023'te FBI, Hive'in operasyonlarını kesintiye uğrattı, ancak grup farklı takma adlar altında çalışmaya devam ediyor.
Trend Micro fidye yazılımı koruması
Geçtiğimiz yıl, kurumların %83'ü her biri 4,4 milyon dolara mal olan birden fazla ihlalle karşı karşıya kalırken, risklerle karşı karşıya kalma ihtimalinin azaltılması ortalama 1,3 milyon dolar tasarruf sağladı.
Trend Vision One siber güvenlik platformumuzun bir parçası olan Siber Risk Maruz Kalma Yönetimi, bulut, hibrit veya şirket içi ortamlarda sürekli keşif, gerçek zamanlı değerlendirmeler ve otomatik azaltma ile siber riski önemli ölçüde azaltır.
Joe Lee, Trend Micro’da Ürün Yönetimi Başkan Yardımcısıdır ve burada kurumsal e-posta ve ağ güvenliği çözümleri için küresel strateji ve ürün geliştirmeden sorumludur.