Fidye yazılımı çeteleri tek bir şeyi önemsiyor: Para çalmak.
Zamanla korkak siber suç çabaları işletmeleri devirdi, hastanelerin istikrarını bozdu ve hayatları mahvetti. Hepsinden kötüsü, hiçbir yavaşlama belirtisi göstermiyorlar ve artık yalnızca fidye yazılımı dağıtımına odaklanmayan şantaj girişimleri daha cesur, daha kötü ve daha çirkinleşiyor.
Recorded Future’ın istihbarat analisti Allan Liska’nın yakın zamanda Lock and Code podcast’inde söylediği gibi, zaman değişti.
Liska, “Artık hiçbir koruma yok” dedi. “Bir süreliğine bazı fidye yazılımı aktörleri [said] ‘Hayır, hastanelerin peşine düşmeyeceğiz, şunu yapmayacağız, bunu yapmayacağız.’ Bu korumaların hepsi uçup gitmiş gibi görünüyor ve onlara para kazandıracak her şeyin ve herkesin peşine düşecekler. Ne kadar küçük ya da büyük oldukları önemli değil.”
Tüm bunlar göz önüne alındığında, fidye yazılımı çetelerinin kaybettiğini görmek oldukça güzel.
Tatiller insanları ailelerine ve arkadaşlarına yaklaştırırken (ve fidye yazılımı çetelerini saldırmaya yaklaştırırken – cidden, buna dikkat edin), Malwarebytes Labs, fidye yazılımı çetelerinin istediklerini elde edemediği 2023’ün en parlak anlarından bazılarını paylaşıyor. Ve bu “zaferlerin” bazıları hâlâ talihsiz bir fidye yazılımı dağıtımını içerse de, hepsi olaya karışan fidye yazılımı çeteleri için aynı sonucu doğuruyor: Kayıp bir maaş günü.
İşte fidye yazılımı çetelerinin 2023’te dört kez başarısızlığa uğraması.
1. Royal Mail fidye yazılımı saldırısı
11 Ocak’ta Birleşik Krallık’taki Royal Mail hizmeti, bir siber olay nedeniyle “ciddi hizmet kesintisi” yaşadığını kamuoyuna duyurdu. Olay çözülene kadar müşterilerden yurtdışına paket veya mektup göndermemeleri istendi.
Royal Mail’in duyurusunu takip eden birkaç gün içinde haber kaynakları, iddia edilen siber olayı fidye yazılımı çetesi LockBit ile ilişkilendirmeye başladı ve bu çete garip bir şekilde saldırıyı reddetti.
Ancak kamuoyuna yapılan haberlerin altında, siber suç çetesi ile kurbanı arasında haftalarca sürecek büyüleyici bir müzakerenin olduğu görülüyor.
12 Ocak’ta Royal Mail’in bir temsilcisi, karanlık ağda barındırılan bir sohbet üzerinden LockBit’in bir siber suçlusuyla iletişim kurdu. Royal Mail temsilcisi açık sözlü, BT’de çalıştıklarını ve LockBit’in çalışmasına “kalem testi” olarak atıfta bulunarak ilginç bir şekilde dalkavuklukta usta olduklarını söylüyor. Daha etkileyici bir şekilde, Royal Mail temsilcisi, fidye yazılımı görüşmelerinde en etkili stratejilerden birini uygulayarak konuşmanın kontrolünü hemen ele alıyor: Zamanı oyalamak.
LockBit’in aciliyet konusunda sürekli baskı yapmasına rağmen, Royal Mail temsilcisi sohbeti durma noktasına getiriyor ve bir noktada LockBit’in şifre çözme anahtarıyla ilgili duyulmamış bir endişeyi dile getiriyor: Evet, birkaç örnek dosya üzerinde çalışabilir, ancak üzerinde çalışacak mı? gerçekten büyük dosyalar?
Royal Mail temsilcisi, “Yönetimim, şifre çözücünüzün büyük dosyalar üzerinde çalışmayabileceğini duydu” diyor ve zor haberleri iletmesi için bir yöneticiyi çağırmaya çalışarak başka bir çarpıcı müzakere taktiği uyguluyor.
Günlerce süren ileri geri hareketlerden sonra LockBit temsilcisi en önemli konuya, yani ödemeye geri dönüyor. LockBit 80 milyon dolarlık şaşırtıcı bir fidye talep etmişti ve yeterince gecikmenin ardından parayı konuşmanın zamanı geldi.
Ancak Royal Mail’in temsilcisi bir kez daha durumu tersine çevirdi. Evet, Royal Mail hizmeti muhtemelen bu kadar büyük bir ödeme yapabilir, ancak temsilci tek bir sorun olduğunu söylüyor: Biz Royal Mail değiliz.
Şok. Korku. Tam bir utanç. Royal Mail temsilcisine göre LockBit saldırıya uğradı yanlış Kraliyet Postasıbunun yerine Royal Mail yan kuruluşu için fidye yazılımı dağıtmak; fidye yazılımı taleplerinde daha makul bir başlangıç noktasının yaklaşık 4 milyon dolar olması gerekir.
Bu noktada LockBit temsilcisi yenilgiyi kabul ediyor.
LockBit temsilcisi, “Sen çok akıllı bir müzakerecisin” diyor. “Oyalama ve kandırma konusundaki deneyiminizi takdir ediyorum.”
Bunu bir galibiyet olarak kabul edeceğiz.
2. MGM, fidye yazılımı kuşatmasından 10 gün sonra geri döndü
Sin City’de ev 100 milyon dolar kaybetse bile her zaman kazanır.
11 Eylül’ün geç saatlerinde, Las Vegas tatil beldesi MGM Grand’ın müşterileri ve otel misafirleri, kelimenin tam anlamıyla bir şeylerin yolunda gitmediğini fark etti. TikTok’ta bir kullanıcı, boş, işlevsel olmayan ekranlara sahip sıra sıra dijital kumar makinelerini gösteren bir video paylaştı. MGM Grand web sitesinde çevrimiçi rezervasyonlara erişilemez hale gelmişti. Ve bazı talihsiz misafirler için oda anahtarları bile çalışmıyordu.
Otelin bozuk dijital slot makinelerinin videosunu paylaşan aynı TikTok kullanıcısı, “Dijital anahtarlar çalışmıyordu” dedi. “Fiziksel anahtarların yazdırılması gerekiyordu.”
MGM Grand, Scattered Spider adlı bir fidye yazılımı çetesi tarafından vurulmuştu; bu çete, Las Vegas şeridinde çoktan şans bulmuş bir grup siber suçluydu.
14 Eylül’de Caesar’s Entertainment, ABD Menkul Kıymetler ve Borsa Komisyonu’na sunduğu bir dosyada kendisinin de bir siber ihlale maruz kaldığını bildirdi ve CNBC’nin haberine göre 30 milyon dolarlık fidye talebi aldı ve daha sonra bu talebi yaklaşık 100 dolar kadar düşürdü. yüzde 50.
Ancak MGM Grand farklı bir yol seçti. Konukların herhangi bir sorunla karşılaşması durumunda otel asansörlerinin el tipi, iki yönlü telsizlerle donatılmasının da dahil olduğu 10 yoğun gün boyunca MGM Grand, fidye ödemeden bir kez daha faaliyete geçti.
MGM Resorts International daha sonra kurtarma çabasının maliyetine ilişkin makul bir tahmin sunarak üçüncü çeyrek sonuçlarında 100 milyon dolarlık bir kayıp bekledi ve otel işletmecisinin güvenlik açıklarına ilişkin geçerli eleştiriler devam etti, ancak ahlaksızlık ve açgözlülük diyarında bir fidye yazılımını durdurdu çete çok az kişinin başardığı bir başarıdır.
3. Qakbot düşürüldü
Ördek avı sezonu bu yıl erken geldi.
Ağustos ayında, ABD kolluk kuvvetleri tarafından yürütülen uluslararası bir soruşturma, Qakbot’u neredeyse internetten sildi, botnet altyapısının büyük bir bölümünü kapattı, 8,6 milyon dolarlık kripto para birimini ele geçirdi ve botnet’le ilişkili Qakbot kötü amaçlı yazılımını etraftaki yüz binlerce virüslü makineden kaldırdı. Dünya.
Bilgisayarlar, Qakbot kötü amaçlı yazılımına bulaştığında, bir siber suçlu çetesi tarafından kontrol edilebilecek ve oturum açma kimlik bilgilerinin çalınabileceği bir cihaz ordusu olan Qakbot “botnet”ine katılacaktı. Etkilenen makineler ayrıca ek kötü amaçlı yazılımlara karşı da hassastır ve Qakbot bulaşmış bilgisayarlarda, bu ek kötü amaçlı yazılım genellikle Black Basta adı verilen fidye yazılımı çeşididir.
Bu muazzam erişim nedeniyle Black Basta, Malwarebytes’in halka açık saldırılar arasında en aktif fidye yazılımı türlerini kaydeden aylık Fidye Yazılımı İncelemelerinde sürekli olarak yer aldı.
Nisan ayında Black Basta en az 40 saldırıdan sorumluydu. Eylül ayında, yani Qakbot’un yayından kaldırılacağını duyurmasından yalnızca bir ay sonra bu sayı altıya düştü.
4. ALPHV çok az başarının kurbanı hakkında konuşuyor
Modern fidye yazılımı saldırılarıyla ilgili yeni bir sorun, bazılarının hiçbir fidye yazılımı içermemesidir.
Bunun nedeni, yıllar önce fidye yazılımı çetelerinin, kurbanların fidye ödemesinin tek sebebinin kendi seçtikleri kötü amaçlı yazılım olmadığını öğrenmiş olmasıdır. Daha ziyade, devreye alınan fidye yazılımı oldukça etkili, suç teşkil eden bir yöntemin dijital temsiliydi: Gasp.
Fidye yazılımı çeteleri, en az 2020’den bu yana kurbanlara karşı “çifte gasp” tekniği uyguluyor, bir kuruluşun dosyalarını çalıyor ve geride bırakılan orijinal kopyaları şifrelemek için fidye yazılımı dağıtmadan önce bunları çevrimiçi yayınlamakla tehdit ediyor. Ancak son zamanlarda fidye yazılımı çeteleri, daha sonra herhangi bir fidye yazılımını patlatmadan sadece kurbanın verilerini çalma yoluna gitti. Örneğin Maine Eyaleti, bu yıl muhtemelen 1,3 milyon insanı etkileyen bir veri ihlali nedeniyle böyle bir saldırıya maruz kaldı.
Ancak Kasım ayında, BlackCat olarak da bilinen fidye yazılımı çetesi ALPHV farklı bir şey denedi.
Ayın başlarında ALPHV, MeridianLink şirketine saldırdı. Birkaç gün sonra MeridianLink fidyeyi ödeyeceğine dair herhangi bir işaret göstermeyince ALPHV, MeridianLink’i ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) bildirerek baskıyı artırdı.
ALPHV’nin bunu söylediğini duymak için MeridianLink’in, herhangi bir “maddi siber güvenlik olayının” dört gün içinde rapor edilmesini zorunlu kılan federal kurum tarafından yeni açıklanan kurallar nedeniyle ALPHV’nin saldırısını SEC’ye bildirmesi gerekiyordu.
“MeridianLink’in, müşteri verilerini ve operasyonel bilgileri tehlikeye sokan önemli bir ihlal ışığında, yeni yönetmeliğin zorunlu kıldığı şekilde öngörülen dört iş günü içinde Form 8-K Madde 1.05 kapsamında gerekli açıklamayı yapmadığı dikkatimizi çekti. ALPHV’nin SEC’e şikayetinde yazdığı iddia ediliyor.
Ancak MeridianLink etkilenmemişti. Şirketten bir sözcü, “bir” siber güvenlik olayını doğruladıktan sonra olayın ciddiyetini küçümsedi.
MeridianLink sözcüsü, “Bugüne kadar yaptığımız incelemeye dayanarak, üretim platformlarımıza yetkisiz erişime dair hiçbir kanıt tespit etmedik ve olay, minimum düzeyde iş kesintisine neden oldu” dedi. Üstelik ALPHV’nin bahsettiği kurallar henüz yürürlükte bile değildi, dolayısıyla uyumsuzluk imkansız olurdu.
MeridianLink’in bugüne kadar fidyeyi ödemediği bildirildi. Daha da önemlisi, ALPHV dünyanın geri kalanının zaten bildiği bir şeyi öğrenmiş olabilir: Suç taktikleri yalnızca suç örgütlerinin sempatisini kazanır. Bir dahaki sefere federal hükümete değil iş arkadaşlarınıza şikayette bulunun.
Fidye yazılımından nasıl kaçınılır
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya onları etkilemeden önce durdurun. Fidye yazılımı dağıtmak için kullanılan kötüye kullanımları ve kötü amaçlı yazılımları önleyebilecek uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği kullanan ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri döndüren ThreatDown EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğramayın. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.