3. Taraf Risk Yönetimi, Dolandırıcılık Yönetimi ve Siber Suç, Yönetim ve Risk Yönetimi
Suçlulara Veri Silme Sözü İçin Ödeme Yapmak Sorunun Bir Parçası
Mathew J. Schwartz (euroinfosec) •
15 Temmuz 2024
Fidye yazılımı, gasp ve diğer siber suç türlerinin kurbanlarının saldırganlarına doğrudan fon sağlamayı bırakmaları için ne gerekiyor?
Ayrıca bakınız: Web Semineri | OT Sistemleri için Siber Dayanıklılığı ve Mevzuata Uygunluğu Geliştirme APAC
Saldırganlarına fidye ödeyen son ihlal edilen işletme AT&T gibi görünüyor. Dallas merkezli telekomünikasyon devi, yakın zamanda bulut tabanlı veri ambarı platformu Snowflake’un müşterilerini hedef alan bir kampanyanın 150’den fazla kurbanından biri (bkz: AT&T, Müşterilerinin Çağrı ve Mesaj Kayıtlarında Büyük Bir İhlal Olduğunu Açıkladı).
Wired’ın Pazar günkü haberine göre, bilgisayar korsanı çetesi Shiny Hunters’ın bir üyesi, AT&T’nin gruba, çalınan verileri silme sözü ve bunu yaparken kendisinin bir videosunu karşılığında, başlangıçta talep edilen 1 milyon dolardan 370.000 dolar ödediğini iddia etti.
AT&T, fidye ödediği yönündeki habere ilişkin yorum yapmayı reddetti.
Snowflake müşteri hesabı ihlallerinin kurbanlarının çoğu henüz açıklanmasa da, verilerini kaybeden diğer kuruluşlar arasında otomotiv parçaları tedarikçisi Advance Auto Parts, Santander Bank, lüks perakendeci Neiman Marcus, Los Angeles Birleşik Okul Bölgesi ve Live Nation Entertainment’ın Ticketmaster’ı yer alıyor (bkz: Snowflake Veri İhlali Mağdurları Fidye Talepleri Alıyor).
Snowflake müşterilerini hedef alan kampanyanın yaklaşık 165 kurbanından kaçı fidye ödemeyi seçti? Eğer seçtilerse, suç vaatlerinin basıldıkları kağıda değmediğini belirtmekte fayda var. Saldırganlara ödeme yapmak ayrıca suç iş modelini doğrular ve gelecekteki saldırılar için doğrudan fon sağlar.
Güvenlik uzmanları uzun zamandır fidye yazılımı veya veri hırsızlığına kurban giden kuruluşları, çalınan verilerin silindiğine dair güvenceler gibi soyut garantiler için asla ödeme yapmamaları konusunda uyarıyor. Basitçe söylemek gerekirse, siber suç tarihinde, suçluların iddia ettiklerinin aksine, çalınan bir veri setinin her bir kopyasının silindiğine dair hiçbir kanıt yoktur.
İngiliz siber güvenlik uzmanı Kevin Beaumont, Mastodon’da yayınlanan yazısında, “Amerikalı kuruluşlar, son bir yıldır fidye yazılımları ve gasp gruplarına para ödeyerek bu grupları destekliyor… Bu da Amerikalı kuruluşların hedef alınmasını daha da artırıyor” dedi.
Wired’ın haberine göre, Shiny Hunters’ın AT&T’ye ait verileri çaldığı iddiası, telekomünikasyon şirketinin ortamına sızan kişi olmadığı iddia edilen gruptan bir üyenin, “Reddington” adıyla bilinen bir güvenlik araştırmacısıyla iletişime geçerek AT&T ile aracılık yapmasını istemesiyle ortaya çıktı.
Wired’ın haberine göre Reddington, çalınan bilgilerin gerçekliğini doğruladıktan sonra Google Cloud’un Mandiant olay müdahale grubuyla iletişime geçti ve grup, AT&T’yi ihlalden haberdar etti. Ardından telekomünikasyon şirketi Reddington’a müzakere hizmetleri için bir ücret ödedi.
Cuma günü AT&T ilk kamu ihlali bildirimini yayınladı ve saldırganların Nisan ayında Snowflake hesabından “neredeyse tüm” müşterilerinin arama ve kısa mesaj kayıtlarını çaldığı konusunda uyardı. Çalınan bilgiler yaklaşık 110 milyon AT&T cep telefonu planı müşterisine ve onları aramış veya mesaj atmış olabilecek herkese ait. Telekom şirketi ayrıca Menkul Kıymetler ve Borsa Komisyonu’na yaptığı bir başvuruda saldırıya karıştığı düşünülen bir kişinin tutuklandığını söyledi.
Çalınan veriler, kimi aradıkları veya ne zaman mesaj attıklarına dayanarak kişileri ve başkalarıyla olan bağlantılarını tespit etmek için kullanılabilir; bu da kurbanları dolandırıcılık ve kimlik avı saldırılarına karşı daha fazla riske sokar.
Bu riske rağmen, telekomünikasyon şirketi, ABD Adalet Bakanlığı’nın talebi üzerine kamu ihlali bildirimini geçen haftaya kadar erteledi. SentinelOne’da baş istihbarat ve kamu politikası görevlisi olan Christopher Krebs, sosyal platform X’e gönderdiği bir gönderide “AT&T, SEC raporlama gereklilikleri kapsamında DOJ’den ulusal güvenlik istisnası aldı” dedi. “Bildiğim kadarıyla ilk böyle bir istisna.”
FBI sözcüsü Information Security Media Group’a yaptığı açıklamada, Adalet Bakanlığı’nın kamu ihlali bildiriminin ertelenmesi talebini doğruladı ve bunun “SEC kurallarına uygun olarak” yapıldığını ve ihlali daha erken açıklamanın “ulusal güvenlik ve kamu emniyeti için önemli bir risk oluşturacağı” gerekçesiyle yapıldığını söyledi.
Büro tutuklama raporu hakkında yorum yapmayı reddederken, 404 Media çok sayıda kaynağın gözaltındaki şüphelinin daha önce Türkiye’de tutuklanan Amerikalı John Binns olduğunu tespit ettiğini bildirdi.
Türk polisi Binns’i Mayıs ayında T-Mobile’ın 2021’deki ihlalini gerçekleştirdiği şüphesiyle tutukladı, The Desk bildirdi. 54 milyon T-Mobile müşteri kaydının çalınması ve çalınan bilgileri satma girişimleriyle ilgili olarak 2022’de açılan 12 maddelik bir ABD iddianamesiyle karşı karşıya. ABD resmen iadesini talep etti.
Binns, Ağustos 2021’de The Wall Street Journal’a verdiği demeçte, T-Mobile’a yönelik ihlalin sorumluluğunu üstlendiğini iddia ederek, ağa erişmek için korumasız bir yönlendiriciye eriştiğini ve ardından telekomünikasyon firmasının kullandığı Washington eyaletindeki bir veri merkezinde bulunan 100’den fazla sunucuya erişim sağlayan kimlik bilgilerinin depolandığını bulduğunu söyledi.
Binns’in Nisan ayında AT&T’yi hacklemesi durumunda, Shiny Hunters’a ödenen fidye, suçluların hapse girse bile bu saldırıdan kâr elde etmeye devam edeceği anlamına gelecek.
Bir sonraki maaşlarını almak için şimdi hep birlikte kimi vuracaklarını kim bilebilir?