2021 Q2 fidye yazılım raporu: En aktif grup Conti Ransomware oldu
Siber güvenlik şirketi Digital Shadows tarafından, yılın 2. çeyreği için yani 1 Nisan – 30 Haziran tarihleri arasında meydana gelen fidye yazılım saldırıları ile ilgili bir rapor yayınlandı. Araştırmaya göre sadece bu süre zarfında 700’den fazla kuruluş ve şirket fidye yazılım saldırısına maruz kalmış.
2021 yılının ilk çeyreğine göz gezdirildiğinde Microsoft Exchange sunucularına ve Solarwinds kaynaklı tedarik zinciri saldırıları damga vurmuştu. Rapora göre 2021 yılının ikinci çeyreğinde damga vuran önemli gelişmelere bakıldığında:
1- 7 Mayıs 2021 tarihinde, ABD’nin en büyük boru hattını yöneten Colonial Pipeline adlı şirketin sistemlerine DarkSide adındaki tehdit aktörleri tarafından izinsiz giriş yapılıp, akaryakıt transferinin devre dışı kalmasına sebep olmuştu. Bu saldırıdan sonra akaryakıt sevkiyatında büyük problemler yaşanmıştı çünkü Amerika’nın Doğu Kıyısı’ndaki petrolle ilgili yakıtların neredeyse yarısı bu şirket tarafından dağıtıyordu. Daha sonra ise ABD Ulaştırma Bakanlığı geçici bir kararname yayınlayarak yakıtın karayoluyla transferinin önünü açılmıştı.
2- Bu olayın patlamasından sonra ise ABD Hükümeti’ne bağlı kolluk kuvvetleri hızlıca bir yanıt verdiği ve DarkSide’a ait site ve sunucularını kapattıklarını iddia edilmişti. Tabi olayın perde arkasında gerçekten sunucuların kaptıldığımı veya tehdit aktörlerinin bir süreliğine ortadan kaybolmayı istemeleri sonucu meydana gelip-gelmediği belli değildi. Diğer bir taraftan ABD’li yetkililer DarkSide’a ödenen fidye ücretinden 2.3 Milyon Dolarlık kripto parayıda kurtardığı da biliniyor.
3- Yine bu saldırı sonrasında tehdit aktörlerine bağlı kullanıcıların popüler hack forumlarında (XSS, Exploitin gibi) herhangi bir şekilde ransomware reklamı yapmaları, buralar üzerinden işe alımlarla ilgili konuların açılmasını yasaklamaları gibi bir dizi yasaklanmalar geldi. Site sahipleri muhtemelen gelebilecek kanuni yaptırımlardan uzak durabilme adına bu kararı almışlardı.
Kolluk kuvvetlerinin özellikle REvil siber suç çetesine ödenen fidyeleri takip edip, 2.3 milyon dolarlık kısmını geri alabilmesinde sonra, kripto paranın izlenemez olduğu tezini bir nebzede olsa çökertmiş oldular. Tabi legal tarafta bunlar olurken REvil gibi fidye yazılımı gruplarının fidye ödemeleri için Monero’ya (XMR) geçiş yaptıkları gözlenmiş.
En aktif fidye yazılım çetesi Conti
Özellikle Maze adlı fidye yazılım çetesinin başlattığı hem kurbanların adlarını yayınlandığı hem de verilerini şifrelediği bir nevi çifte şantaj taktiği, diğer fidye yazılım çeteleri tarafından da hızlıca benimsenmiş. Özellikle 2021’in ikinci çeyreğinde en aktif grubun Conti Ransomware olduğu açıklandı. Grubun ses getirdiği en büyük olay ise İrlanda’nın sağlık sistemine gerçekleştirdiği ve yıkıcı bir etki bıraktığı saldırı oldu.
Bazı gruplar sahneden çekilirken, yeni aktörler ortaya çıktı
2021’in ikinci çeyreğinin birinci çeyrek ile karşılaştırıldığı zaman Avaddon, Babuk Locker, Astro Locker ve DarkSide fidye yazılımı grupları dahil olmak üzere diğer birkaç grubunda faaliyetlerine son verip, ortadan kaybolduğu gözlemlenmiş. Ancak Hive, Vice Society, Prometheus, LV Ransomware, Xing ve Grief gibi yeni aktörlerinde dahil olduğu belirtiliyor.
En fazla hedef ABD merkezli kuruluşlarda oldu
İkinci çeyrekte gerçekleştirilen saldırıların yüzde 60’nın ABD merkezli şirket ve kuruluşlara yapıldığı belirtiliyor. İlginç bir istatistik olarak ise Kanada merkezli şirket ve kuruluşlara yapılan saldırılarda birinci çeyreğe göre yüzde 28’lik bir düşüş görülmüş.
ABD’den sonra, Fransa (46), Birleşik Krallık (39) ve İtalya (35)
fidye yazılımı gruplarının en çok hedef aldığı kurban coğrafyaları olmuş.
