Kitlesel ölçekli kampanyalardan büyük avlara: JSWorm fidye yazılımının iki yıl içindeki dönüşümü hayret verici
Hedefli fidye yazılımları dünyanın her dört bir yanındaki işletmelere musallat olmaya devam ederken, fidye yazılımı çetelerinin operasyonlarına dair derin bakış ilginç sonuçlar ortaya koyuyor. Kaspersky araştırmacıları, araç setini dönüştürme konusunda ilginç bir performans ortaya koyan JSWorm grubuna ait bir örneği parçalara ayırarak inceledi. Daha önce geniş ölçekli operasyonlara odaklanan grup, sadece iki yıl içinde hızlı bir şekilde ortama uyum sağlayarak yüksek profilli hedefleri kıskacına alan bir yapıya dönüştü ve sekizden fazla farklı kötü amaçlı yazılım “markası” geliştirdi.
Her ‘markalı’ varyant, kodun farklı yönlerine, yeniden adlandırılmış dosya uzantılarına, şifreleme şemalarına ve değiştirilmiş şifreleme anahtarlarına sahip oluşuyla dikkat çekiyor. İsim değişiklikleriyle birlikte fidye yazılımı geliştiricileri kodlarını yeniden işliyor ve dağıtım için farklı yaklaşımlar deniyor. Bu da son derece geniş kaynaklara sahip ve uyarlanabilir olduklarını gösteriyor.
JSWorm, Kuzey ve Güney Amerika’dan (Brezilya, Arjantin, ABD) Orta Doğu ve Afrika’ya (Güney Afrika, Türkiye, İran), Avrupa’ya (İtalya, Fransa, Almanya) ve APAC bölgesine (Vietnam) kadar tüm dünyada tespit edildi. Grubun 2020’de hedeflediği işletmelerin ve bireylerin üçte birinden fazlası (%39) APAC bölgesinde yer alıyor.
Hedef endüstriler söz konusu olduğunda, fidye yazılımı ailesinin kritik altyapıyı ve dünya çapındaki büyük sektörleri gözüne kestirdiği açık. JSWorm saldırılarının yaklaşık yarısı (%41) mühendislik ve imalat sektöründeki şirketlere yöneliyor. Enerji ve kamu hizmetleri (%10), finans (%10), profesyonel ve tüketici hizmetleri (%10), ulaştırma (%7) ve sağlık (%7) sektörleri de listenin ilk sıralarında yer alıyor.
Kaspersky Güvenlik Araştırmacısı Fedor Sinitsyn, şunları ifade ediyor: “JSWorm’ün operasyonları ve yeni kötü amaçlı yazılımları hızla adapte etme ve geliştirme yeteneği, endişe verici bir eğilimi yansıtıyor. Fidye yazılımı çetelerinin operasyonlarını değiştirmek, araç setlerini rahatsız edici bir hızda yükseltmek ve daha fazla kurbana ulaşmak için ellerinde yeterli miktarda kaynak var. Bu derece hızlı adaptasyon genellikle APT grupları arasında görülür. Ancak fidye yazılımı çeteleri kendilerini belirli hedeflerle sınırlamıyor, bulaştırabilecekleri herhangi bir şirketin hiç tereddüt etmeden peşinden gidiyor. Bu kişi ve kurumların siber güvenlik ekiplerinin, güvenlik önlemlerini yükseltme konusunda daha hızlı, dikkatli ve uyarlanabilir olması gerektiğini gösteriyor.”
Securelist’te JSWorm’ün farklı sürümleri hakkındaki raporun tamamını okuyabilirsiniz. 2021’de Ransomware dünyasında fidye yazılımı ekosistemi hakkında daha fazla bilgi Ransomware world in 2021: who, how and why raporuna göz atabilirsiniz.
Kaspersky, JSWorm ve diğer fidye yazılımlarına karşı korunmanız için şunları öneriyor:
- Gerekli olmadıkça uzak masaüstü hizmetlerini (RDP gibi) genel ağlara maruz bırakmayın ve bunlar için her zaman güçlü parolalar kullanın.
- Ticari VPN çözümlerinin ve diğer sunucu tarafı yazılımlarının her zaman güncel olduğundan emin olun. Bu tür yazılımlar fidye yazılımları için yaygın bir bulaşma yoludur. İstemci tarafı uygulamalarını da her zaman güncel tutun.
- Savunma stratejinizi yanal hareketleri ve internete veri sızmasını tespit etmeye odaklanın. Siber suçlu bağlantılarını tespit etmek için giden trafiğe özellikle dikkat edin. Verilerinizi düzenli olarak yedekleyin. Gerektiğinde acil bir durumda yedeklere hızlı bir şekilde erişebildiğinizden emin olun. Tehdit aktörleri tarafından kullanılan gerçek TTP’lerden haberdar olmak için en son Tehdit İstihbaratı bilgilerini kullanın.
- Saldırganlar nihai hedeflerine ulaşmadan önce bir saldırıyı erken aşamalarda belirleyip durdurmaya yardımcı olmak için Kaspersky Endpoint Detection and Response ve Kaspersky Managed Detection and Response gibi çözümleri kullanın.
- Kurumsal ortamınızı korumak için çalışanlarınızı eğitin. Kaspersky Automated Security Awareness Platform’da sağlanan özel eğitim kursları bu konuda size yardımcı olabilir.
- Açıklardan yararlanmayı önlemek için, davranış algılama ve kötü amaçlı eylemleri geri alabilen bir düzeltme motoru tarafından desteklenen Kaspersky Endpoint Security for Business gibi güvenilir bir uç nokta güvenlik çözümü kullanın. KESB ayrıca siber suçlular tarafından kaldırılmasını engelleyebilecek savunma mekanizmalarına da sahiptir.