Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), sızdırılan kodların kullanıldığı son fidye yazılımı saldırılarına ışık tutan bir rapor yayınladı. Araştırma hem organize fidye yazılımı grupları hem de bireysel saldırganlar tarafından kullanılan araç ve yöntemlere ışık tutuyor.
Ellerinde fidye yazılımlarına dair çok sayıda araç bulunan organize siber suç grupları genellikle özel fidye yazılımı örneklerine sahipken, bağımsız suçlular saldırılarını kurgulamak ve başlatmak için genellikle sızdırılmış kendin yap türü varyantlara güveniyor. Kaspersky tarafından yapılan son araştırma, tehdit aktörlerinin kurbanları bulmasını ve kötü amaçlı faaliyetleri hızla yaymasını sağlayan sızdırılmış kaynak kodlarını kullanan son fidye yazılımı saldırılarını ortaya koydu. Bunlar, bu işe yeni başlayan siber suçluları da önemli bir tehdit haline getiriyor.
SEXi. Nisan 2024’te SEXi grubu, veri merkezi ve barındırma sağlayıcısı IxMetro’ya karşı yeni tanımlanan bir yazılım çeşidini kullanarak bir fidye yazılımı saldırısı başlattı. Bu grup ESXi uygulamalarını hedef alıyor ve bilinen tüm kurbanlar söz konusu uygulamanın desteklenmeyen sürümlerini çalıştırıyor. SEXi grubu, Linux için Babuk ve Windows için Lockbit olmak üzere farklı platformlar için farklı fidye yazılımı varyantları kullanarak diğerlerinden ayrılıyor. Bu tehdit benzersiz bir şekilde, birden fazla saldırıda evrensel bir kullanıcı kimliği kullanıyor ve iletişim için Session iletişim uygulamasından yardım alıyor. Bu profesyonellikten uzak yaklaşım ve TOR tabanlı bir sızıntı sitesinin olmaması, onları diğerlerinden ayırıyor.
Key Group. Keygroup777 olarak da bilinen Key Group, Nisan 2022’deki keşfinden bu yana sekiz farklı fidye yazılımı ailesi kullandı. Teknikleri ve kalıcılık mekanizmaları her yeni varyantla birlikte daha da gelişiyor. Örneğin UX-Cryptor varyantı kalıcılık adına birden fazla kayıt defteri girdisi kullanırken, Chaos varyantı Başlangıç klasörünü içeren farklı bir yaklaşım kullanıyordu. Başvurdukları farklı yöntemlere rağmen Key Group, C2 iletişimi için halka açık bir GitHub deposunun ve etkileşim için Telegram’ın kullanılması da dahil olmak üzere profesyonel olmayan operasyonlarıyla dikkat çekiyor. Bu da onları takip etmeyi kolaylaştırıyor.
