2024 Zscaler Fidye Yazılımı Raporu’na göre, bir Fortune 50 şirketi, Dark Angels fidye yazılımı çetesine tam 75 milyon dolar fidye ödemesi yaptı. Bu rekor ödeme, kamuoyunda bilinen en yüksek fidye miktarını geride bıraktı ve saldırganların ilgisini çekti.
Zscaler ThreatLabz ekibinin hazırladığı raporda, “2024 yılının başlarında ThreatLabz, Dark Angels’a 75 milyon dolar ödeyen bir kurbanı ortaya çıkardı; bu, kamuoyunda bilinen tüm miktarlardan daha yüksekti – bu başarı, temel taktiklerini (aşağıda açıkladığımız) benimseyerek bu başarıyı tekrarlamak isteyen diğer saldırganların ilgisini çekecektir,” ifadeleri yer alıyor. Bu ödeme, kripto istihbarat şirketi Chainalysis tarafından X platformunda yapılan bir paylaşımda da doğrulandı. Daha önce bilinen en büyük fidye ödemesi, sigorta devi CNA‘nın Evil Corp fidye yazılımı saldırısına maruz kaldıktan sonra ödediği 40 milyon dolar olarak kayıtlara geçmişti.
Hangi şirket ödedi?
Zscaler, 75 milyon dolarlık fidyeyi hangi şirketin ödediğini paylaşmazken, bu şirketin Fortune 50’de yer aldığını ve saldırının 2024’ün başlarında gerçekleştiğini belirtti. Şubat 2024‘te siber saldırıya uğrayan Fortune 50 şirketlerinden biri de listede 10. sırada yer alan ilaç devi Cencora idi. Hiçbir fidye yazılımı çetesi saldırının sorumluluğunu üstlenmediği için potansiyel olarak bir fidye ödendiği düşünülüyor. BleepingComputer, Dark Angels’a fidye ödeyip ödemediklerini sormak için Cencora ile iletişime geçti.
Dark Angels’ın taktikleri
Dark Angels, Mayıs 2022‘de dünya çapındaki şirketleri hedef almaya başlayan bir fidye yazılımı operasyonu olarak biliniyor. İnsanların yönettiği çoğu fidye yazılımı çetesi gibi, Dark Angels operatörleri de kurumsal ağları ihlal eder ve sonunda yönetici erişimi elde edene kadar yanlara doğru hareket eder. Bu süre zarfında, güvenliği ihlal edilmiş sunuculardan veri çalarlar ve bu verileri daha sonra fidye talep ederken ek koz olarak kullanırlar.
Windows etki alanı denetleyicisine erişim sağladıklarında, tehdit aktörleri ağdaki tüm cihazları şifrelemek için fidye yazılımını dağıtır. Operasyonlarını başlattıklarında, Babuk fidye yazılımı için sızdırılan kaynak koduna dayanan Windows ve VMware ESXi şifreleyicilerini kullandılar. Ancak zaman içinde, 2021‘den beri Ragnar Locker tarafından kullanılanla aynı olan bir Linux şifreleyicisine geçtiler. Ragnar Locker 2023 yılında kolluk kuvvetleri tarafından etkisiz hale getirilmişti.
Johnson controls saldırısı
Bu Linux şifreleyici, Johnson Controls‘e yönelik bir Dark Angels saldırısında şirketin VMware ESXi sunucularını şifrelemek için kullanıldı. Bu saldırıda Dark Angels, 27 TB kurumsal veri çaldığını iddia etmiş ve 51 milyon dolar fidye ödemesi talep etmişti.
Zscaler‘ın raporu, bu tür saldırıların tehlikelerini ve şirketlerin karşı karşıya olduğu fidye yazılımı tehditlerini gözler önüne seriyor. Bu tür olaylar, siber güvenlik önlemlerinin önemini bir kez daha ortaya koyuyor ve şirketlerin bu tehditlere karşı daha dikkatli olmaları gerektiğini gösteriyor.
