{"id":9564,"date":"2021-04-26T11:59:13","date_gmt":"2021-04-26T08:59:13","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=9564"},"modified":"2022-05-05T14:26:33","modified_gmt":"2022-05-05T11:26:33","slug":"top5-ransomware-groups","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/top5-ransomware-groups\/9564\/","title":{"rendered":"\u015eirket avc\u0131lar\u0131: En b\u00fcy\u00fck 5 fidye yaz\u0131l\u0131m\u0131 grubu"},"content":{"rendered":"

Son be\u015f y\u0131lda fidye yaz\u0131l\u0131mlar\u0131, bireysel bilgisayarlar i\u00e7in bir tehdit olmaktan \u00e7\u0131k\u0131p kurumsal a\u011flar i\u00e7in ciddi tehlike olu\u015fturan bir kavrama d\u00f6n\u00fc\u015ft\u00fc.<\/a> Siber su\u00e7lular art\u0131k olabildi\u011fince \u00e7ok bilgisayara vir\u00fcs bula\u015ft\u0131rmaya \u00e7al\u0131\u015fmaktan vazge\u00e7ip bunun yerine b\u00fcy\u00fck kurbanlar\u0131 hedef almaya ba\u015flad\u0131lar. Ticari i\u015fletmelere ve devlet kurumlar\u0131na y\u00f6nelik ger\u00e7ekle\u015ftirilen sald\u0131r\u0131lar dikkatli bir planlama gerektiriyor, ancak sonucunda on milyonlarca dolarl\u0131k \u00f6d\u00fcl potansiyeli de var.<\/p>\n

Fidye yaz\u0131l\u0131m\u0131 \u00e7eteleri, \u015firketlerin s\u0131radan kullan\u0131c\u0131lara g\u00f6re \u00e7ok daha b\u00fcy\u00fck olan mali g\u00fc\u00e7lerininden faydalan\u0131yor. Dahas\u0131, g\u00fcn\u00fcm\u00fczdeki bir\u00e7ok fidye yaz\u0131l\u0131m\u0131 grubu, daha fazla kazan\u00e7 sa\u011flamak i\u00e7in \u00e7ald\u0131klar\u0131 verileri \u015fifrelemeden \u00f6nce onlar\u0131 yay\u0131nlamakla tehdit ediyor. Bu tehdit sald\u0131r\u0131dan etkilenen \u015firket i\u00e7in, itibar\u0131n\u0131n zarar g\u00f6rmesinden hissedarlarla ya\u015fanacak sorunlara ve d\u00fczenleyici otoritelerin verece\u011fi para cezalar\u0131na kadar her t\u00fcrl\u00fc yeni riskin ortaya \u00e7\u0131kmas\u0131na neden oluyor ve sonucunda ortaya \u00e7\u0131kan zarar genellikle fidyeden daha pahal\u0131ya mal oluyor.<\/p>\n

Verilerimize g\u00f6re 2016, bu konuda bir d\u00f6n\u00fcm noktas\u0131 oldu. \u0130\u015fletmelere y\u00f6nelik ger\u00e7ekle\u015ftirilen fidye yaz\u0131l\u0131m\u0131 siber sald\u0131r\u0131lar\u0131n\u0131n say\u0131s\u0131 yaln\u0131zca birka\u00e7 ayda \u00fc\u00e7 kat\u0131na \u00e7\u0131kt\u0131<\/a>: Ocak 2016\u2019da ortalama her 2 dakikada bir olay kaydediyorken, bu s\u00fcre aral\u0131\u011f\u0131 Eyl\u00fcl sonunda 40 saniyeye d\u00fc\u015ft\u00fc.<\/p>\n

2019\u2019dan bu yana uzmanlar d\u00fczenli olarak b\u00fcy\u00fck av denen fidye yaz\u0131l\u0131m\u0131n\u0131n hedef ald\u0131\u011f\u0131 bir dizi giri\u015fimi g\u00f6zlemliyorlar. K\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar\u0131n kendi sitelerinde sald\u0131r\u0131 istatistiklerini g\u00f6r\u00fclebiliyor. Bu verileri kullanarak en aktif siber su\u00e7lu gruplar\u0131n s\u0131ralamas\u0131n\u0131 yapt\u0131k.<\/p>\n

<\/strong><\/p>\n

1. Maze (Di\u011fer ad\u0131yla ChaCha fidye yaz\u0131l\u0131m\u0131)<\/h2>\n

\u0130lk olarak 2019\u2019da g\u00f6r\u00fclen<\/a> Maze fidye yaz\u0131l\u0131m\u0131, k\u0131sa s\u00fcrede k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar listesinde zirveye y\u00fckseldi. Toplam kurban say\u0131s\u0131na bak\u0131ld\u0131\u011f\u0131nda bu fidye yaz\u0131l\u0131m\u0131, sald\u0131r\u0131lar\u0131n \u00fc\u00e7te birinden fazlas\u0131ndan sorumlu denebilir. Maze\u2019in arkas\u0131ndaki grup, \u015fifrelemeden \u00f6nce verileri \u00e7alan<\/a> ilk gruplardan biriydi. Siber su\u00e7lular, fidyeyi \u00f6demeyi reddetmesi halinde kurban\u0131, \u00e7al\u0131nan dosyalar\u0131 yay\u0131nlamakla tehdit ediyordu. Grubun kulland\u0131\u011f\u0131 y\u00f6ntemin i\u015fe yarad\u0131\u011f\u0131 g\u00f6r\u00fcld\u00fc ve daha sonra, a\u015fa\u011f\u0131da bahsetti\u011fimiz REvil ve DoppelPaymer dahil olmak \u00fczere, di\u011fer bir\u00e7ok fidye yaz\u0131l\u0131m\u0131 operasyonunda bu y\u00f6ntem uyguland\u0131.<\/p>\n

Kullan\u0131lan ba\u015fka bir yeni y\u00f6ntem de, siber su\u00e7lular\u0131n ger\u00e7ekle\u015ftirdi\u011fi sald\u0131r\u0131lara ili\u015fkin medyay\u0131 bilgilendirmeye ba\u015flamas\u0131yd\u0131. 2019\u2019un sonlar\u0131nda Maze grubu, Bleeping Computer\u2019a g\u00f6nderdi\u011fi e-postada Allied Universal \u015firketini hackledi\u011fini<\/a> ve \u00e7al\u0131nan dosyalardan birka\u00e7\u0131n\u0131 da kan\u0131t olarak ekledi\u011fini s\u00f6yl\u00fcyordu. Grup, internet sitesinin edit\u00f6rleriyle yapt\u0131\u011f\u0131 e-posta yaz\u0131\u015fmas\u0131nda, Allied Universal\u2019\u0131 \u015firketin sunucular\u0131ndan spam g\u00f6ndermekle tehdit ediyordu ve sonras\u0131nda da hacklenen \u015firketin gizli verilerini Bleeping Computer\u2019\u0131n forumunda yay\u0131nlad\u0131lar.<\/p>\n

Maze\u2019in sald\u0131r\u0131lar\u0131, grubun faaliyetlerini durdurmaya ba\u015flad\u0131\u011f\u0131<\/a> Eyl\u00fcl 2020\u2019ye kadar devam etti; ancak, bu tarihten \u00f6nce birka\u00e7 uluslararas\u0131 \u015firket, Latin Amerika\u2019daki bir devlet bankas\u0131 ve bir ABD \u015fehrinin bilgi i\u015flem sistemi de grubun faaliyetlerinden zarar g\u00f6rm\u00fc\u015ft\u00fc. Bu olaylar\u0131n her birinde Maze operat\u00f6rleri, kurbanlardan fidye olarak birka\u00e7 milyon dolar talep etti.<\/p>\n

2. Conti (Di\u011fer ad\u0131yla IOCP fidye yaz\u0131l\u0131m\u0131)<\/h2>\n

Conti, 2019\u2019un sonlar\u0131nda ortaya \u00e7\u0131kt\u0131 ve 2020 boyunca olduk\u00e7a aktifti. Bu d\u00f6nemdeki t\u00fcm fidye yaz\u0131l\u0131m\u0131 sald\u0131r\u0131s\u0131 kurbanlar\u0131n\u0131n %13\u2019\u00fcnden fazlas\u0131ndan Conti sorumluydu. Yaz\u0131l\u0131m\u0131n yarat\u0131c\u0131s\u0131 grup bug\u00fcn hala aktif.<\/p>\n

Conti sald\u0131r\u0131lar\u0131yla ilgili ilgin\u00e7 bir detaysa, siber su\u00e7lular\u0131n kendilerine \u00f6denecek fidye kar\u015f\u0131l\u0131\u011f\u0131nda hedef ald\u0131klar\u0131 \u015firkete g\u00fcvenlikle ilgili \u015f\u00f6yle bir<\/a> yard\u0131m teklifinde bulunmas\u0131d\u0131r: \u201cG\u00fcvenli\u011finizdeki a\u00e7\u0131\u011f\u0131 nas\u0131l kapataca\u011f\u0131n\u0131z ve gelecekte bu t\u00fcr sorunlar\u0131 nas\u0131l \u00f6nleyece\u011finizle ilgili talimatlar alacaks\u0131n\u0131z + size, hackerlara en \u00e7ok sorun yaratan \u00f6zel bir yaz\u0131l\u0131m \u00f6nerece\u011fiz.\u201d<\/p>\n

Maze\u2019de oldu\u011fu gibi, fidye yaz\u0131l\u0131m\u0131 yaln\u0131zca verileri \u015fifrelemekle kalm\u0131yor, ayn\u0131 zamanda dosyalar\u0131n kopyalar\u0131n\u0131 da sald\u0131r\u0131ya u\u011fram\u0131\u015f sistemlerden fidye yaz\u0131l\u0131m\u0131 operat\u00f6rlerine g\u00f6nderiyor. Siber su\u00e7lular, kurban\u0131n taleplerini yerine getirmemesi halinde \u00e7ald\u0131klar\u0131 bilgileri internette yay\u0131nlamakla tehdit ediyor. Kamuoyunda en bilinen Conti sald\u0131r\u0131s\u0131 Amerika Birle\u015fik Devletleri\u2019ndeki bir okulun hacklenmesi<\/a> ve ard\u0131ndan talep edilen 40 milyon dolarl\u0131k fidyeydi. (Okul y\u00f6netimi, 500.000 dolar fidye \u00f6demeye haz\u0131r oldu\u011funu ancak bu tutar\u0131n 80 kat\u0131 olan fidye talebi i\u00e7in pazarl\u0131k yapmayaca\u011f\u0131n\u0131 s\u00f6yledi.)<\/p>\n

<\/strong><\/p>\n

3. REvil (Di\u011fer ad\u0131yla Sodin, Sodinokibi fidye yaz\u0131l\u0131m\u0131)<\/h2>\n

REvil fidye yaz\u0131l\u0131m\u0131 ile ger\u00e7ekle\u015ftirilen ilk sald\u0131r\u0131lar 2019\u2019un ba\u015flar\u0131nda Asya\u2019da tespit edildi. Bu k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, g\u00fcvenlik sistemlerini atlatmak i\u00e7in ge\u00e7erli CPU i\u015flevlerini kullanmak gibi teknik becerilere sahip olmas\u0131 nedeniyle k\u0131sa s\u00fcrede uzmanlar\u0131n ilgisini \u00e7ekti.<\/a> Ek olarak, yaz\u0131l\u0131m\u0131n koduna bak\u0131ld\u0131\u011f\u0131nda, kiralanabilecek \u015fekilde olu\u015fturuldu\u011funa ili\u015fkin baz\u0131 karakteristik i\u015faretler yer al\u0131yordu.<\/p>\n

Toplam istatistiklere bak\u0131ld\u0131\u011f\u0131nda, REvil kaynakl\u0131 sald\u0131r\u0131lardan etkilenen kurbanlar\u0131n oran\u0131 %11 seviyesinde. Neredeyse 20 farkl\u0131 sekt\u00f6r bu k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mdan etkilendi. Etkilenen sekt\u00f6rler i\u00e7indeki en b\u00fcy\u00fck pay %30\u2019la M\u00fchendislik ve \u0130malat sekt\u00f6r\u00fcne ait; bunu %14\u2019le Finans, %9\u2019la Profesyonel ve T\u00fcketici Hizmetleri, %7 ile Hukuk ve ayn\u0131 oranla BT ve Telekom\u00fcnikasyon sekt\u00f6rleri takip ediyor. Hackledi\u011fi<\/a> bir\u00e7ok MSP ve bu MSP\u2019lerin m\u00fc\u015fterilerine da\u011f\u0131tt\u0131\u011f\u0131 Sodinokibi fidye yaz\u0131l\u0131m\u0131 sonucunda grup, BT ve Telekom\u00fcnikasyon sekt\u00f6r\u00fcnde 2019 y\u0131l\u0131n\u0131n en sansasyonel fidye yaz\u0131l\u0131m\u0131 sald\u0131r\u0131lardan birini ger\u00e7ekle\u015ftirmi\u015f oldu.<\/p>\n

Grup \u015fu anda Mart 2021\u2019de Acer\u2019dan talep ettikleri 50 milyon dolar fidye ile bug\u00fcne kadar talep edilmi\u015f en b\u00fcy\u00fck fidye<\/a> rekorunu elinde bulunduruyor.<\/p>\n

4. Netwalker (Di\u011fer ad\u0131yla Mailto fidye yaz\u0131l\u0131m\u0131)<\/h2>\n

Toplam kurban say\u0131s\u0131n\u0131n i\u00e7inde Netwalker sald\u0131r\u0131lar\u0131n\u0131n kurban\u0131 olanlar %10\u2019un \u00fczerindeydi. Hedefleri aras\u0131nda lojistik sekt\u00f6r\u00fc devleri, sanayi gruplar\u0131, enerji \u015firketleri ve di\u011fer b\u00fcy\u00fck kurulu\u015flar bulunuyor. 2020\u2019de sadece birka\u00e7 ayl\u0131k bir s\u00fcrede, siber su\u00e7lular 25 milyon dolardan fazla para kazand\u0131<\/a>.<\/p>\n

Yaz\u0131l\u0131m\u0131n\u0131n yarat\u0131c\u0131lar\u0131, fidye yaz\u0131l\u0131m\u0131n\u0131 kitlelere ula\u015ft\u0131rmaya kararl\u0131<\/a> g\u00f6r\u00fcn\u00fcyor. Sald\u0131r\u0131dan elde edilen kardan k\u00fc\u00e7\u00fck bir pay verilmesi kar\u015f\u0131l\u0131\u011f\u0131nda Netwalker\u2019\u0131 tek ba\u015f\u0131na \u00e7al\u0131\u015fan doland\u0131r\u0131c\u0131lara kiralamay\u0131 teklif ettiler. Bu t\u00fcr planlarda ortaklara yap\u0131lan \u00f6deme genellikle daha d\u00fc\u015f\u00fck olmas\u0131na kar\u015f\u0131n Bleeping Computer\u2019a g\u00f6re, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m da\u011f\u0131t\u0131mc\u0131s\u0131n\u0131n fidyeden istedi\u011fi pay %70\u2019i bulabiliyor<\/a>.<\/p>\n

Siber su\u00e7lular ama\u00e7lad\u0131klar\u0131 y\u00f6nteme kan\u0131t olarak b\u00fcy\u00fck tutarl\u0131 para transferlerine ili\u015fkin ekran g\u00f6r\u00fcnt\u00fcleri yay\u0131nlad\u0131lar. Kiralama s\u00fcrecini olabildi\u011fince kolayla\u015ft\u0131rmak i\u00e7inse, fidye i\u00e7in verilen s\u00fcrenin sonunda \u00e7al\u0131nan verileri otomatik olarak yay\u0131nlayacak bir internet sitesi kurdular.<\/p>\n

Ocak 2021\u2019de polis, Netwalker dark web kaynaklar\u0131na el koydu<\/a> ve Kanada vatanda\u015f\u0131 olan Sebastien Vachon-Desjardins\u2019i fidye yaz\u0131l\u0131m\u0131 ile kurbanlardan 27,6 milyon dolar\u0131n \u00fczerinde para s\u0131zd\u0131rmakla su\u00e7lad\u0131. Vachon-Desjardins kurbanlar\u0131 bulmak, g\u00fcvenliklerini ihlal etmek ve Netwalker\u2019\u0131 sistemlerine yerle\u015ftirmekten sorumlu tutuldu. Kolluk kuvvetlerinin ger\u00e7ekle\u015ftirdi\u011fi operasyon sonucunda Netwalker etkili bir \u015fekilde ortadan kald\u0131r\u0131lm\u0131\u015f oldu.<\/p>\n

5. DoppelPaymer fidye yaz\u0131l\u0131m\u0131<\/h2>\n

Toplam istatistiklere bak\u0131ld\u0131\u011f\u0131nda, listemizin son k\u00f6t\u00fc karakteri olan DoppelPaymer fidye yaz\u0131l\u0131m\u0131 sald\u0131r\u0131lar\u0131ndan etkilenen kurbanlar\u0131n pay\u0131 %9 civar\u0131nda. Yaz\u0131l\u0131m\u0131n yarat\u0131c\u0131lar\u0131, Dridex bankac\u0131l\u0131k Truva At\u0131 ve DopplePaymer\u2019in eski bir s\u00fcr\u00fcm\u00fc olarak kabul edilen<\/a> ve art\u0131k kullan\u0131lmayan BitPaymer (di\u011fer ad\u0131yla FriedEx) fidye yaz\u0131l\u0131m\u0131 da dahil olmak \u00fczere yaratt\u0131\u011f\u0131 di\u011fer k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlarla da ad\u0131ndan s\u00f6z ettirmi\u015fti. Dolay\u0131s\u0131yla, grubun sorumlu oldu\u011fu toplam kurban say\u0131s\u0131 san\u0131landan \u00e7ok daha fazla.<\/p>\n

Latin Amerika merkezli b\u00fcy\u00fck bir petrol \u015firketinin yan\u0131 s\u0131ra, elektronik ve otomobil \u00fcreticileri de dahil olmak \u00fczere bir \u00e7ok ticari i\u015fletme DoppelPaymer\u2019dan etkilendi<\/a>. DoppelPaymer s\u0131kl\u0131kla, sa\u011fl\u0131k, acil servis ve e\u011fitim hizmetleri dahil olmak \u00fczere d\u00fcnya \u00e7ap\u0131ndaki devlet kurulu\u015flar\u0131n\u0131<\/a> hedef al\u0131yor. Grup ayr\u0131ca, her ikisi de Amerika Birle\u015fik Devletleri\u2019nde ger\u00e7ekle\u015fen iki olaydan, Georgia ve Hall County\u2019den \u00e7al\u0131nan se\u00e7men bilgilerinin yay\u0131nlanmas\u0131<\/a> ve Delaware County, Pennsylvania\u2019dan 500.000 dolar fidye al\u0131nmas\u0131n\u0131n<\/a> ard\u0131ndan man\u015fet oldu. DoppelPaymer sald\u0131r\u0131lar\u0131 bug\u00fcn hala kadar devam ediyor: Bu y\u0131l\u0131n \u015eubat ay\u0131nda, Avrupal\u0131 bir ara\u015ft\u0131rma kurulu\u015fu sald\u0131r\u0131ya u\u011frad\u0131\u011f\u0131n\u0131 a\u00e7\u0131klad\u0131.<\/a><\/p>\n

<\/strong><\/p>\n

Hedefli sald\u0131r\u0131 y\u00f6ntemleri<\/h2>\n

B\u00fcy\u00fck bir \u015firkete y\u00f6nelik her hedefli sald\u0131r\u0131, altyap\u0131daki g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 bulma, bir senaryo olu\u015fturma ve sald\u0131r\u0131 ara\u00e7lar\u0131n\u0131 se\u00e7me gibi uzun bir s\u00fcrecin sonucunda ger\u00e7ekle\u015fir. Ard\u0131ndan s\u0131zma olur ve k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m kurumsal altyap\u0131ya yay\u0131l\u0131r. Siber su\u00e7lular bazen dosyalar\u0131 \u015fifrelemeden ve herhangi bir talepte bulunmadan \u00f6nce birka\u00e7 ay boyunca bir \u015firket a\u011f\u0131nda kal\u0131rlar.<\/p>\n

Altyap\u0131ya giden ana yollar \u015funlar:<\/p>\n