Bilgisayar Korsanları Verileri Silme Sözlerini Yerine Getiremiyor


Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Fidye Yazılımı

Polis, Çetenin Kurbanlardan Milyonları Sadece Hırsızlıkla Değil, Yalan Söyleyerek de Aldığını Söyledi

Mathew J. Schwartz (euroinfosec) •
24 Şubat 2023

Crime Blotter: Bilgisayar Korsanları Verileri Silme Sözlerini Yerine Getiremiyor
Resim: Hollanda siber suç polisi

Siber suç uzmanları, uzun süredir kurbanları, saldırganların çalınan verileri silme sözü vermesi karşılığında asla fidye ödememeye teşvik ediyor.

Ayrıca bakınız: İsteğe Bağlı | Bir Yanıt Sağlayıcı Seçmenin Gerçekleri

Saldırganlara verileri silme garantileri için ödeme yapmak, doğrudan siber suçları finanse eder ve bir iş modeli olarak siber şantajı gerçekleştirir. Daha da önemlisi, yakın zamanda açıklanan bir suç soruşturmasının da gösterdiği gibi, genellikle suçluların çalınan verileri satmasını engellemez.

Perşembe günü, Hollanda’daki siber suç polisi, yalnızca şirketlere girmek, verilerini çalmak ve – fidye ödemesi almadıkça – çevrimiçi yayınlamakla tehdit etmekle değil, aynı zamanda haklarını yerine getirmemekle suçlanan üç kişilik bir çeteyi çökerttiklerini duyurdu. garantiler.

Hollanda polisi, ikisi 21, biri 18 yaşındaki zanlıları 23 Ocak’ta tutukladı ve o zamandan beri ikisi hapse atıldı ve soruşturma devam ederken yalnızca avukatlarıyla konuşmalarına izin verildi. Polis, “Bu tedbir nedeniyle ve soruşturmayı aksatmamak için tutuklamalar daha önce açıklanmadı” dedi. Şüpheliler bilgisayar korsanlığı, veri hırsızlığı, şantaj ve kara para aklama ile suçlandı.

Soruşturma, Mart 2021’de büyük bir Hollandalı şirketin polise veri hırsızlığı içeren bir saldırı ve verileri ifşa etme tehditlerini bildirmesinin ardından başladı.

Yetkililer, çetenin Hollanda’da ve yurt dışında her büyüklükteki işletmeyi hedef alarak milyonlar kazandığını söylüyor. Ekip, düzenli olarak firmalara giriyor ve kripto para cinsinden en az 100.000 ABD Doları değerinde ve bazen 700.000 ABD Dolarına kadar fidye talep eden bir tehdit mesajı gönderiyordu. Ödeme yapan mağdurlara çalınan verileri güvenli bir şekilde iade etme sözü verilirken, ödeme yapmaya cesaret edemeyenler BT altyapılarının yok edilme riskini göze aldı.

Polis, “Birçok şirket, verilerini koruma umuduyla ödeme yapmak zorunda hissetti” dedi. Ancak kurbanlar ödeme yaptığında bile polis, çetenin çoğu zaman çalınan verileri sattığını söyledi.

Grup tarafından çalındığı iddia edilen bilgiler arasında, on milyonlarca kişinin adı, adresleri, doğum tarihleri, banka hesap numaraları, kredi kartı numaraları, şifreler, pasaport verileri ve daha fazlası dahil olmak üzere çok sayıda kişisel tanımlanabilir bilgi yer aldı.

Suçlular, çalınan verileri inatla çevrimiçi olarak satmaz veya satmaz. Hollanda polisi, sosyal mühendislik saldırıları gerçekleştirmek için çalınan kurumsal verileri kullanmanın büyük bir ticaret olduğunu söylüyor.

Polis, “Veri hırsızlığı ve veri ticareti, suçlular için büyük bir gelir modelidir” diyor. “Ele geçirilen veriler, diğer suçlularla takas edilebilmesi için işleniyor.” Bu soruşturma sırasında, şüpheliler tarafından “çalınan verileri iyileştirmek için” kullanılan yazılım araçlarının kurtarıldığını, bu araçların kendilerinin kullanmalarına – veya yeteneklerini başkalarına satmalarına – “kimlik avı, sohbet hileleri, banka yardım masası dolandırıcılığı veya kimlik dolandırıcılığı.”

Saldırganların Garantilerine Kanmayın

Hollandalı çete, planlarının bir parçası olarak fidye yazılımı kullanmakla suçlanmıyor olsa da, fidye yazılımı grupları genellikle bir kurbandan veri çaldıklarını da iddia ediyor. Bir şifre çözücü karşılığında fidye talep etmenin ötesinde, saldırganlar genellikle çalınan verileri silme sözü karşılığında ayrı bir fidye talep ederler. Ne yazık ki, birçok kurban bu tür vaatler için para ödüyor.

Ancak uzmanlar bunu yapmanın aptalca olduğunu söylüyor. Fidye yazılımı müdahale firması Coveware’in CEO’su Bill Siegel, “Diş macununu tüpün içine geri koyamazsınız” diyor (bkz: Fidye Realpolitik: Verilerin Silinmesi İçin Ödeme Yapmak Enayilerin İşidir).

Son zamanlarda İngiltere’nin ulusal posta servisi Royal Mail’e yapılan saldırının ardından görüldüğü gibi, gaspçıların vurduğu tüm kuruluşların bu tür şantajlara boyun eğmediğini vurgulamak önemlidir (bkz:: Royal Mail, ‘Saçma’ LockBit Gasp Talebini Reddetti).

İhracat için mektupları ve kolileri işleyen Royal Mail International’ın sistemleri, 11 Ocak’ta LockBit fidye yazılımı grubu tarafından kripto-kilitlendi. Daha sonra Royal Mail, LockBit’in 2 Şubat’ta döktüğü sohbet günlüklerine dayanarak 80 milyon dolarlık bir fidye talebi aldı. 14, görünüşe göre sarsıntısının nasıl ilerlediği ile ilgili hayal kırıklığından.

Royal Mail, 12 Ocak’ta başlamış gibi görünen sızan müzakerelerin doğruluğu hakkında yorum yapmayı reddetti çünkü saldırıyla ilgili bir kolluk soruşturması devam ediyor.

Müzakere Sanatı

Tartışmalar boyunca, Royal Mail kibar bir tavır takındı ve pişman gibi görünmekten çekinmedi.

Royal Mail müzakerecisi, “Hiçbir şeymiş gibi davranmıyoruz ve öyle görünüyorsa özür dileriz” dedi. “Sadece yönetimim şifre çözücünüzün büyük dosyalarda çalışmayabileceğini duydu. Bu yüzden sordular ve işe yarayıp yaramadığını görmek istediler. Onları burada sizinle çalışmaya ikna etmeye çalışıyorum. Sadece daha fazlasını istiyorlar. Senden alacaklarımızın kanıtı.”

Fidye yazılımı arabulucusu Kurtis Minder, Malwarebytes’e samimi bir tavır sergilemenin ve olay müdahale ekibi dosyaları geri yüklemeye çalışırken zaman kazanmanın bu durumlarda birinci öncelik olduğunu söylüyor.

Royal Mail, LockBit’i haftalarca dizginlemeye devam etti. 6 Şubat’ta Royal Mail müzakerecisi, üst yönetimin “bunun için size ödeme yapmak istemeyebileceğini” belirtti. “

LockBit yanıt olarak fidye talebini azalttı: “Kraliyet bilgilerinin sızmasını önlemek için son şans. Bir indirim yapmaya, çalınan bilgileri kaldırmaya ve 40 milyon dolarlık bir şifre çözücü sağlamaya hazırız. Zamanlayıcının süresi dolduktan sonra daha fazla gecikme olmayacak. tüm veriler açıklanacak.”

Son olarak, Çarşamba günü – sistemlerin zorla şifrelenmesinden 42 gün sonra ve müzakerelerin başlamasından 41 gün sonra – LockBit çalınan verileri çevrimiçi olarak attı.

Belki de tesadüf değil, aynı gün posta servisi “Royal Mail International Export hizmetleri artık çevrimiçi olarak, nakliye çözümleri aracılığıyla ve Postane şubelerindeki tezgahtan satın alınmak üzere tüm varış noktalarında eski durumuna getirildi”, “küçük bir sayı dışında” duyurdu. “alternatif hizmetleri” devreye soktuğunu söylediği ticari müşterilere yönelik hizmetler.

Royal Mail, sonunda yedeklerden geri yüklemiş veya gerekli tüm sistemleri yeniden oluşturmuş gibi görünüyor. Daha da önemlisi, bunu herhangi bir fidye ödemeden yaptı, en azından saldırganların boş vaatleri için.





Source link