Son birkaç yılda, siber suçluların verileri fidye için şifrelemek üzere kötü amaçlı yazılımları kullandığı yaygın fidye yazılımı saldırıları, yerini belirli şirketlere ve sektörlere yönelik daha hedefli saldırılara bıraktı. Bu hedeflenmiş kampanyalarda saldırganlar yalnızca verileri şifrelemekle tehdit etmiyor, aynı zamanda gizli bilgileri çevrimiçi yayınlıyor. Bu eğilim, Kaspersky araştırmacıları tarafından iki önemli fidye yazılımı ailesi olan Ragnar Locker ve Egregor’un analizlerinde gözlemlendi.

Fidye yazılımı saldırıları, şirketlerin karşılaştığı en ciddi siber tehditlerden biri olarak kabul edilir. Yalnızca kritik iş operasyonlarını aksatmakla kalmaz, aynı zamanda büyük mali kayıplara ve hatta bazı durumlarda yasa ve yönetmeliklerin ihlali sonucunda ortaya çıkan para cezaları ve davalar nedeniyle iflasa neden olabilirler. Örneğin WannaCry saldırılarının bugüne dek 4 milyar dolardan fazla mali kayba neden olduğu tahmin ediliyor. Ancak yeni fidye yazılımı kampanyaları işleyiş tarzını değiştiriyor: Artık çalınan şirket bilgilerini kamuya açıklamakla da tehdit ediyorlar.

Ragnar Locker ve Egregor, bu yeni gasp yöntemini uygulayan iki tanınmış fidye yazılımı ailesi olarak öne çıkıyor.

Ragnar Locker ilk olarak 2019’da keşfedildi, ancak 2020’nin ilk yarısında büyük şirketlere saldırana kadar pek tanınmadı. Saldırılar hedeflenen kurbanlardan fidye ödemeyi reddedenlerin gizli verilerini veri sızıntısı sitelerinin “Utanç Duvarı” bölümünde yayınlıyor. Kurban saldırganlarla sohbet ediyor ve ardından ödeme reddedilirse bu sohbet de yayınlanıyor. Birincil hedefi Amerika Birleşik Devletleri’nde faaliyet gösteren farklı sektörlerdeki şirketler olan Ragnar Locker, geçtiğimiz Temmuz ayında Maze fidye yazılımı karteline katıldığını, yani ikilinin iş birliği yaparak çalınan bilgileri paylaşacağını açıkladı. Maze, 2020’de en kötü şöhretli fidye yazılımı ailelerinin başında geliyor.

Egregor ise Ragnar Locker’dan çok daha yeni, ilk olarak geçen Eylül ayında keşfedildi. Ancak aynı taktikleri kullanıyor ve kodlarının bir bölümünü Maze ile paylaşıyor. Kötü amaçlı yazılım, genellikle ağı ihlal ederek saldırıya geçiyor ve ardından kurbana, çalınan bilgiler halka açılmadan önce fidyeyi ödemesi için 72 saat süre veriyor. Mağdurlar ödemeyi reddederse, saldırganlar mağdurların adlarını ve gizli şirket verilerini sızıntı sitelerine indirmek için bağlantıları yayınlıyor.

Egregor’un saldırı alanı Ragnar Locker’ınkinden çok daha geniş. Şimdiye dek Kuzey Amerika’nın yanı sıra Avrupa ve APAC bölgesinin bazı kısımlarında da yeni kurbanları hedef aldığı görüldü.

Latin Amerika Küresel Araştırma ve Analiz Ekibi (GReAT) başkanı Dmitry Bestuzhev, “Şu anda gördüğümüz şeye Fidye Yazılımı 2.0’ın yükselişi adını verdik” diyor. “Bununla demek istediğim, saldırılar son derece hedefli hale geliyor ve odak noktası sadece şifreleme değil. Gasp süreci aynı zamanda gizli verilerin çevrimiçi olarak yayınlanması üzerine kurulu. Bunu yaparak sadece şirketlerin itibarını riske atmakla kalmıyor, aynı zamanda yayınlanan veriler HIPAA veya GDPR gibi düzenlemeleri ihlal ederse şirketleri çok daha büyük cezalarla ve mali kayıplarla baş başa bırakıyor.”

Kaspersky Güvenlik Uzmanı Fedor Sinitsyn, bu nedenle kurumların fidye yazılımı tehdidini bir tür kötü amaçlı yazılımdan daha fazlası olarak düşünmeleri gerektiğine dikkat çekiyor. Sinitsyn, “Çoğu zaman fidye yazılımı bir ağ ihlalinin yalnızca son aşamasıdır. Fidye yazılımı devreye girdiğinde, saldırgan zaten bir ağ keşfi gerçekleştirmiş, gizli verileri tanımlamış ve bu verileri çalmıştır. Kuruluşların tüm siber güvenlik en iyi uygulamalarını uygulamaları çok önemli. Saldırganlar nihai hedeflerine ulaşmadan önce saldırıyı erken bir aşamada tespit etmek, kurumların para ve itibar kaybetmesinin önüne geçecektir” diyor.