ESET Research, fidye yazılımı ekosisteminde önemli bulgular içeren yeni analizini yayımladı. Araştırmada, RansomHub çetesinin Play, Medusa ve BianLian gibi diğer fidye yazılımı gruplarıyla olan bağlantıları ortaya çıkarılırken, grupların EDRKillShifter adlı özel bir aracı kullandığı belirtildi.
Son dönemde hizmet olarak fidye yazılımı (RaaS) iş modelinde önemli değişimler yaşandı. RansomHub gibi yeni ortaya çıkan çeteler güç kazanırken, LockBit ve BlackCat gibi büyük oyuncuların devre dışı kalmasıyla, fidye ödemelerinde %35 düşüş kaydedildi. Buna rağmen, kamuya açıklanan kurban sayısında %15 artış yaşandı. Bu artışta en büyük pay ise, Cronos Operasyonu sonrası ortaya çıkan RansomHub çetesine ait.
ESET araştırmacısı Jakub Souček, RansomHub’ın RaaS modelinde sıra dışı bir strateji izlediğini söyledi. Grup, iştirakçilere fidyenin tamamını vaat ederken, bu iştirakçilerden gelirin %10’unu gönüllü olarak kendilerine vermelerini bekliyor.
Fidye yazılımlarının yeni silahı: EDR katilleri
Araştırmada dikkat çeken bir başka bulgu ise RansomHub’ın geliştirdiği özel EDR katili “EDRKillShifter” oldu. EDR katilleri, kurbanların sistemlerinde bulunan güvenlik yazılımlarını devre dışı bırakmayı amaçlayan zararlı araçlar olarak biliniyor.
Souček’e göre, bu tür gelişmiş EDR katilleri, fidye yazılımı çeteleri arasında giderek yaygınlaşıyor. RansomHub’ın bu aracı iştiraklerine doğrudan sunması ise sektördeki alışılmış uygulamalardan farklı bir yaklaşım olarak değerlendiriliyor.
ESET uzmanları, bu zararlı yazılımlara karşı savunmanın zorluğuna dikkat çekerek, şirketlerin bu saldırıları daha erken aşamalarda tespit etmesi gerektiğini vurguladı.
Çeteler arası iş birliği ve rekabet
Rapor ayrıca, RansomHub ile Play, Medusa ve BianLian çeteleri arasındaki bağlantıları da gün yüzüne çıkardı. Medusa ile ortak iştirakçilerin bulunması olağan karşılanırken, Play ve BianLian’ın EDRKillShifter’a erişimi, bu çetelerin kapalı yapısı nedeniyle şaşırtıcı olarak yorumlandı. ESET, bu durumu çeteler arasındaki bazı üyelerin RansomHub ile gizlice iş birliği yaparak, elde ettikleri özel araçları kendi saldırılarında kullanmasıyla açıklıyor.
Play grubunun Kuzey Kore bağlantılı Andariel ile ilişkilendirildiğine de dikkat çekildi.
