Bu platformlar, meşru bilgilerden ve e-ticaret hizmetlerinden nasıl tasarlandıkları ve pazarlandıkları konusunda ipuçları alır. Birçok pazar ve forum, platforma erişmek için bir abonelik ücreti alır ve ardından ne kadar değerli olabileceğine bağlı olarak veriler için farklı fiyatlandırma yapıları uygular. Gray, şu anda Russian Market’in bilgi hırsızlarından elde edilebilecek çok fazla çalıntı veriye sahip olduğunu ve kullanıcıların indirmek istediği herhangi bir veri alt kümesi için genellikle 10 dolardan fazla olmayan düşük bir sabit ücret aldığını söylüyor.
Gray, “Kuruluşlar güvenlik konusunda çok iyi hale geldi ve insanlar da daha bilgili hale geldi, bu yüzden artık geleneksel özel saldırılar için en iyi hedefler değiller,” diyor. “Bu yüzden saldırganların daha az hedefli ve daha çok kullanabilecekleri şeylere dayalı bir şeye ihtiyaçları var. Bilgi hırsızları modülerdir ve genellikle abonelik temelinde satılır ve bu evrim muhtemelen video akışı gibi modern abonelik hizmetlerinin yükselişiyle örtüşüyor.”
Bilgi hırsızları, şirketler çalışanların kişisel cihazlarından iş hizmetlerine ve iş cihazlarından kişisel hesaplara erişmesine izin vermeye uyum sağladıkça uzaktan çalışma ve hibrit çalışmanın yükselişiyle özellikle etkili oldu. Bu, bilgi hırsızları için örneğin ev bilgisayarlarında kişileri rastgele tehlikeye atma fırsatları yaratıyor ancak yine de kişi bazı iş sistemlerinde oturum açtığı için kurumsal erişim kimlik bilgilerine sahip oluyor. Ayrıca, çalışanlar kişisel e-posta veya sosyal medya hesaplarını açabiliyorsa, bilgi hırsızı kötü amaçlı yazılımların kurumsal korumaları, hatta kurumsal cihazlarda bile aşmasını kolaylaştırıyor.
Mandiant’tan Carmakal, “Bu bir kurumsal sorun haline geldiğinde buna dikkat etmeye başladım,” diyor. “Ve özellikle 2020 civarında, çünkü öncelikle ev bilgisayarlarının ele geçirilmesiyle başlayan, insanların Yahoo hesapları, Gmail hesapları ve Hotmail hesaplarının kimlik avı yoluyla daha fazla kurumsal saldırı görmeye başladım; bunlar kurumsal hedeflemeyle hiçbir ilgisi olmayan, ancak bana çok fırsatçı görünüyordu.”
Güvenlik firması KELA’da tehdit araştırmaları direktörü olan Victoria Kivilevich, bazı durumlarda suçluların siber suç pazarlarını potansiyel hedeflerin etki alanını aramak ve herhangi bir kimlik bilgisi olup olmadığını görmek için kullanabileceğini söylüyor. Kivilevich, bilgi hırsızı verilerinin satışının, potansiyel kurbanların ayrıntılarını arayan fidye yazılımı operatörleri, iş e-postası ihlaline karışanlar ve hatta ayrıntıları diğer siber suçlulara tekrar satabilen ilk erişim aracıları dahil olmak üzere çeşitli siber saldırı türleri için “tedarik zinciri” olarak kabul edilebileceğini söylüyor.
Kivilevich, çeşitli siber suç pazar yerlerinde ve Telegram’da, Snowflake hesaplarına bağlı 7.000’den fazla tehlikeye atılmış kimlik bilgisinin paylaşıldığını söylüyor. Bir örnekte, bir suçlu eğitim sektöründen 41 şirkete erişim sağladığını iddia ediyor; başka bir siber suçlu, Kivilevich’in analizine göre, 50 milyon ila 8 milyar dolar arasında geliri olan ABD şirketlerine erişim sattığını iddia ediyor.
Kivilevich, bilgi hırsızı kötü amaçlı yazılım tarafından hiçbir hesabı tehlikeye atılmamış tek bir şirketin bize geldiğini sanmıyorum, diyor bilgi hırsızı günlüklerinin işletmelere sağladığı tehdit hakkında ve KELA, bilgi hırsızıyla ilgili faaliyetlerin 2023’te arttığını söylüyor. KELA’nın baş araştırma görevlisi Irina Nesterovsky, son yıllarda milyonlarca kimlik bilgisinin bilgi hırsızı kötü amaçlı yazılım tarafından toplandığını söylüyor. Nesterovsky, “Bu gerçek bir tehdit,” diyor.
Carmakal, şirketlerin ve bireylerin bilgi hırsızlarının tehditlerinden ve bunların artçı etkilerinden korunmak için atabilecekleri birden fazla adım olduğunu, kötü amaçlı faaliyetleri tespit etmek için antivirüs veya EDR ürünleri kullanmanın da buna dahil olduğunu söylüyor. Şirketlerin kullanıcıları arasında çok faktörlü kimlik doğrulamayı uygulama konusunda katı olmaları gerektiğini söylüyor. Carmakal, “İnsanları kurumsal cihazlarındaki parolaları kişisel cihazlarıyla senkronize etmemeye teşvik etmeye çalışıyoruz” diye ekliyor.
Bilgi hırsızlarının kullanımı o kadar iyi çalışıyor ki siber suçluların Snowflake gibi uzlaşma çılgınlıklarının başarısını tekrarlamaya çalışması ve çeşitli müşteri şirketlerine erişim için giriş noktası olarak kullanabilecekleri diğer kurumsal yazılım hizmetleri konusunda yaratıcı olması neredeyse kaçınılmaz. Carmakal, bunun önümüzdeki aylarda daha fazla ihlale yol açacağını beklediği konusunda uyarıyor. “Bu konuda hiçbir belirsizlik yok,” diyor. “Tehdit aktörleri bilgi hırsızı günlüklerini avlamaya ve Snowflake’e benzer şekilde oturum açıp verileri çaldıkları ve ardından bu şirketlerden gasp ettikleri diğer SaaS sağlayıcılarını aramaya başlayacaklar.”