Bir şirketin bir siber saldırıyı açıklamaması durumunda ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) şikayette bulunmak, öncelikle şeffaflık, yatırımcının korunması ve finansal piyasaların bütünlüğünün korunması ilkelerine dayanmaktadır. Ancak bir hacker grubunun SEC şikayet formunu titizlikle doldurup sızıntı sitelerinde yayınlamaya karar vermesi ne anlama gelebilir?
Kötü şöhretli Alphv/BlackCat fidye yazılımı grubu, dikkat çekici derecede alışılmadık bir taktikle ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) şikayette bulunarak iddia edilen kurbanlarından biri olan Kaliforniya merkezli dijital kredi ve veri doğrulama çözümleri sağlayıcısı MeridianLink’i şu suçlarla suçladı: Henüz yürürlükte olmayan bir siber saldırının ifşa edilmesine ilişkin dört günlük kurala uymamak.
Her zamanki gizli operasyonlar ve fidye taleplerinden çok farklı olan bu hareket, şu soruyu akla getiriyor: Bir hacker grubunu, geleneksel olarak yatırımcılarla ve piyasa bütünlüğüyle ittifak halinde olan bir düzenleyici kurumla etkileşime geçmeye iten şey nedir?
İlk bakışta bu durum ironik bir durum gibi görünebilir; siber suçlular düzenleyici gözlemci rolünü üstleniyor. Ancak daha derin bir analiz, olası bir stratejik manevrayı, bir çaresizlik işaretini veya fidye baskısını artırmaya yönelik yenilikçi bir taktiği ortaya koyuyor.
Koruma amaçlı düzenlemeleri manipüle ederek baskı ve gasp uygulamasının yeni bir biçimine tanık olan bu eylem, bizi amansız yasadışı kazanç peşinde koşan siber suç gruplarının motivasyonlarını ve gelişen stratejilerini incelemeye zorluyor.
7 Kasım 2023’te BlackCat/APLHV, MeridianLink ağını ihlal ettiğini ve hassas verileri çıkardığını iddia etti. MeridianLink veri ihlalinin ardından hacker grubu, çalınan bilgilerin ifşa edilmesini önlemek amacıyla 24 saatlik bir ödeme süresi belirleyerek fidye talep etti.
İlk iletişimler kurulmuş olmasına rağmen BlackCat/APLHV, MeridianLink’in o zamandan beri veri güvenliği şartlarını müzakere etmek için daha fazla diyalog kurmada başarısız olduğunu iddia ediyor.
Şirketin müzakereler konusundaki görünürdeki sessizliği, hacker grubunun SEC’e şikayette bulunmasına neden olmuş olabilir.
Bilgisayar korsanı grubu, gönderdikleri formda şunları vurguladı: “MeridianLink’in yakın zamanda kabul edilen siber güvenlik olayı açıklama kurallarına uyumuyla ilgili endişe verici bir konuya dikkatinizi çekmek istiyoruz.”
“MeridianLink’in, müşteri verilerini ve operasyonel bilgileri tehlikeye sokan önemli bir ihlal ışığında, yeni yönetmeliğin zorunlu kıldığı şekilde öngörülen dört iş günü içinde Form 8-K Madde 1.05 kapsamında gerekli açıklamayı yapmadığı dikkatimizi çekti. SEC kuralları” diye yazdılar.
“Yeni SEC kuralları uyarınca zorunlu kılınan dört iş günü içinde Form 8-K Madde 1.05 uyarınca gerekli açıklama yapılmadı” ifadesi, bir şirketin, bu durumda MeridianLink’in, bu kurallara uymadığı yönündeki suçlamayı ifade eder. ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) tarafından belirlenen özel bir raporlama gerekliliği.
Kısa süre sonra MeridianLink siber saldırıyı doğruladı. MeridianLink’ten bir sözcü, The Cyber Express ile siber güvenlik olayının ayrıntılarını paylaşarak, “MeridianLink yakın zamanda bir siber güvenlik olayı tespit etti” dedi.
Sözlerine şöyle devam ettiler: “Bugüne kadar yaptığımız incelemelere göre, üretim platformlarımıza yetkisiz erişime dair herhangi bir kanıt tespit etmedik ve olay, minimum düzeyde iş kesintisine neden oldu. Bu olaya herhangi bir tüketici kişisel bilgisinin dahil olduğunu tespit edersek yasaların gerektirdiği şekilde bildirimde bulunacağız.”
Form 8-K, ABD’de halka açık şirketlerin hissedarlarını ve Menkul Kıymetler ve Borsa Komisyonunu, paydaşlar için önemli olabilecek veya düzenleyici dikkat gerektirebilecek belirli olaylar hakkında bilgilendirmek için resmi bir bildirim mekanizması olarak hizmet eder.
SEC, siber güvenlik, risk yönetimi, strateji, yönetim ve olay açıklamasına ilişkin nihai kuralları 26 Temmuz 2023’te onayladı. Bu gelişmiş siber güvenlik açıklama düzenlemeleri, “Nihai Kurallar” olarak anılan 5 Eylül 2023’te resmi olarak yürürlüğe girdi.
“Form 8-K’nın 1.05. Maddesi ve Form 6-K’daki olay açıklama gerekliliklerine uyum açısından, daha küçük raporlama yapan şirketler dışındaki tüm tescil ettirenlerin 18 Aralık 2023’te uymaya başlaması gerekmektedir. Yukarıda tartışıldığı gibi, daha küçük raporlama yapan şirketler, 15 Haziran 2024’te Form 8-K Madde 1.05’e uymaya başlamaları gerekmeden önce, küçük olmayan raporlama şirketine uyum tarihinden itibaren ek 180 gün süre verildi.”
Rapora göre, 18 Aralık 2023’ten itibaren, küçük raporlama şirketleri hariç tüm kayıt yaptıranlar, olay açıklama düzenlemelerine uymak zorunda kalacak.
Bu, etkilenen şirketlerin siber güvenlik olaylarını bildirmek için yeni oluşturulan kurallara uymaları için Aralık ayına kadar süreleri olduğunu gösteriyor. Alphv/BlackCat fidye yazılımı grubunun ani tepkisinin ardından sosyal medyayı kullanan birçok siber güvenlik uzmanı buna dikkat çekti.
“ALPHV, ihlalin 7 Kasım’da gerçekleştiğini iddia ediyor MeridianLink, 10 Kasım’da söylüyor. Değiştirilen SEC gereklilikleri, *önemli* olayların, olayın önemli olduğunun belirlenmesinden dört iş günü sonra rapor edilmesi gerektiğini söylüyor. Zaten 18 Aralık’a kadar uyumluluk gerekmiyor,” diye tweet attı 20 yıllık deneyime sahip bilgi güvenliği stratejisti Steve Werby.
The Cyber Express ile yaptığı röportajda Steve Werby, BlackCat hacker grubunun gösterisine ilişkin yorumunu paylaştı. Grubun SEC’e şikayette bulunma kararının MeridianLink’in fidye konusundaki tutumunu değiştirmesinin beklenmeyebileceğine, bunun yerine grubun gelecekteki hedeflerine yönelik keskin bir uyarı görevi gördüğüne ve fidyeyi ödemenin onların tek kaçış yolu olabileceğini belirtti. halka açık olarak adlandırılmak ve düzenleyici sonuçlarla karşı karşıya kalmak.
Werby şunları belirtti: “BlackCat’in sızdırılan verileri sızdırma tehdidi, talep edilen fidyeyi ödemeye istekli olmalarıyla sonuçlanmadığından, SEC şikayetinin MeridianLink’in kararını değiştireceğini düşünmeleri pek olası değil. Eylemin amacı muhtemelen gelecekteki BlackCat kurbanlarına fidye ödemesinin doğru seçim olduğu sinyalini vermekti. Belki de bir miktar intikamla.”
İlginç bir şekilde, “uyumsuzluğu” bildirme hamlesi önemli ölçüde geri tepebilir.
Siber güvenlik ve tehdit istihbaratı firması Cyble’dan bir Siber Tehdit Araştırmacısı, BlackCat fidye yazılımı grubunun son SEC başvurusuna ilişkin bir bakış açısını paylaştı. Araştırmacı, bu eylemin aslında bir cesaret gösterisi ve bir çeşit şantaj olduğunu vurguladı.
Araştırmacı konuyu şöyle açıkladı: “Bu çaresizlik değil, gösteriş ve şantaj. Çeteler kendilerini tüm kararları veren biri olarak görüyor ve kurbanlar da onların taleplerine boyun eğmek zorunda.”
Ayrıca, bu taktiğin potansiyel istenmeyen sonucunu da vurguladılar. “SEC’e rapor vererek, istemeden de olsa hükümeti daha sıkı düzenlemeler uygulamaya sevk edebilirler. Bu, fidye ödemeyi zorlaştırabilir ve fidye yazılımı çetelerinin temel motivasyonunu, yani ödeme almayı zayıflatabilir.”
“Bu hareketin onlara geri tepmesi muhtemeldir. Artan düzenleme fidye yazılımı gruplarının operasyonlarını daha zorlu hale getireceğinden, bu kurbanlar için olumlu bir gelişme” diye tamamladılar.
Başka bir bakış açısı, bilgisayar korsanlarının eylemlerinin SEC’in siber güvenlik düzenlemelerini kendi çıkarları doğrultusunda manipüle etme girişimini temsil ettiğini öne sürüyor.
Equifax Başkan Yardımcısı ve Bilgi Güvenliği Direktörü (CISO) Jamil Farshchi, bu hareketi başarısız fidye müzakerelerinin ardından agresif bir taktik olarak yorumluyor. Bilgisayar korsanları, şirketlerin önemli siber olayları açıklamasını gerektiren SEC kurallarından yararlanarak, hedefleri üzerinde ek baskı oluşturmayı amaçlıyor.
Farshchi şöyle açıkladı: “Bu neredeyse kesinlikle fidye alamadıktan sonra yapılan bir misilleme tepkisi.”
Bu açıklama, SEC’e yapılan başvurunun, fidye yazılımı grubunun karşılanmayan taleplerden duyduğu hayal kırıklığının doğrudan bir sonucu olabileceğini gösteriyor.
Ayrıca şunları ekledi: “Gelecekteki kurbanları fidyeyi ödemeye teşvik etmek için SEC siber kurallarını silah haline getirmeye çalışıyorlar.”
Bu taktik, düzenleyici gereksinimlerin bir baskı aracı olarak kullanılmasını, şirketlerin kamuyu aydınlatmanın ve olası düzenleyici incelemelerin sonuçlarından kaçınmak için fidye ödemeye zorlamayı içerir. Böyle bir strateji, şirketleri önemli ölçüde etkileyebilir ve onları, bilgisayar korsanlarının taleplerine boyun eğmenin sonuçlarına karşı SEC kurallarına uymama risklerini tartmaya zorlayabilir.
BlackCat’in şikayette bulunma ve bunu kamuya duyurma kararı, aynı zamanda şirketlerin üst düzey yöneticileri arasında korku yaratmaya yönelik hesaplanmış bir strateji gibi görünüyor. Greg Linaresbir siber güvenlik uzmanı ve beyaz şapkalı hacker.
Linares, The Cyber Express’e “Bunu kesinlikle C seviyeleri arasında korku yaratmaya yönelik bir kaldıraç taktiği olarak görüyorum” dedi.
Bu taktiğin, mağdur şirketle yapılan müzakere sürecinde tespit edilen bir güvenlik açığına dayanarak seçilmiş olabileceğini öne sürüyor.
Bu hamlenin etkisini genişleterek şunları ekledi: “Bu taktiği potansiyel olarak neden yaptıklarını bilmiyoruz, belki de müzakereler sırasında keşfedilen bir zayıflığa dayanıyordu, ancak CISO’ların kesinlikle bunu dikkate aldığını biliyorum.”
Linares, olayın sosyal medyada büyük ilgi gördüğünü belirterek olayın benzer gruplar üzerindeki potansiyel etkisini öngördü. “Sosyal medyada gördüğü ilgi nedeniyle yakın gelecekte başka fidye yazılımı grupları tarafından da kopyalanması muhtemeldir.”
Linares, kurumsal siber güvenlik stratejilerinin sonuçlarını tartışırken şu tavsiyede bulundu: “Herkesin maddi raporlama sürecini, fidye yazılımı müdahalesini ve bununla ilgili masa üstü tatbikatlarını ve diğer ek gasp yollarını gözden geçirmesi gerektiğini düşünüyorum.”
Cyble’daki bir karanlık ağ araştırmacısı, BlackCat’in stratejisine ilişkin daha fazla bilgi sunarak bunu yüksek basınçlı bir taktik olarak tanımladı. Araştırmacıya göre bu hamle sadece zorlamayla ilgili değil; bu aynı zamanda meşruiyet için hesaplanmış bir oyundur.
“Bu, mağdura itaat etmesi için baskı yapmaya yönelik umutsuz bir girişim gibi görünüyor” dediler.
Ayrıca araştırmacı, grubun beklentileri hakkında spekülasyon yaptı: “Görünüşe göre SEC bildiriminden sadece bahsetmenin bile paniğe yol açacağını ve hızlı bir tepki vereceğini ve muhtemelen kurbanın hızlı bir şekilde çözüme kavuşturacağını ummuşlardı.”
BlackCat’in Sebeplerini Çözmek
BlackCat fidye yazılımı grubunun SEC’e şikayette bulunma kararı, geleneksel fidye yazılımı taktiklerinden önemli bir sapmayı temsil ediyor çünkü geleneksel yöntemler artan dirençle karşılaşabilir.
BlackCat’in eylemlerinin olası bir yorumu, şirketlerin daha dirençli hale gelmesi ve fidye taleplerini kabul etme konusunda daha az istekli olmalarıdır. Bu değişim, gelişmiş siber güvenlik önlemlerinin, daha iyi farkındalığın veya fidyeyi ödemenin verilerin açığa çıkmasına karşı hiçbir garanti sağlamadığının anlaşılmasının bir sonucu olabilir. Şirketler bilgisayar korsanlarının güvenilmezliğinin giderek daha fazla farkına varıyor.
Fidyeyi ödemenin, verilerin açığa çıkması veya gelecekteki saldırılara karşı koruma sağlamayacağının anlaşılması birçok şirketi ikilemde bıraktı. Bu yeni dirençle karşı karşıya kalan BlackCat gibi fidye yazılımı grupları, baskı uygulamak ve ödemeyi güvence altına almak için daha umutsuz ve yenilikçi taktikler keşfediyor olabilir.
Bu hareket aynı zamanda siber güvenlik alanında daha sıkı düzenlemelerin getirdiği komplikasyonları da yansıtıyor. Şirketlerin siber saldırıları SEC gibi düzenleyici kurumlara bildirme zorunluluğu, fidye yazılımı oyununa yeni bir katman ekliyor. BlackCat’in bu düzenlemelerden yararlanma kararı, hedeflerine karşı koz olarak kullanılabilecek yasal ve itibari baskıların farkında olduklarını gösteriyor.
Fidye alma konusundaki belirsizliğe rağmen BlackCat’in yaklaşımı şüphesiz istenilen ilgiyi gördü. Bu tanıtım, doğrudan kazançlı olmasa da, onların ününü artırır ve gelecekteki hedefler için bir uyarı görevi görebilir.
Sonuç olarak, BlackCat’in SEC ile işbirliğine yönelik alışılmadık taktiği, siber suçların mevcut durumu hakkında çok şey anlatan bir harekettir. Bu durum, bilgisayar korsanlarının daha sert kurumsal direnişle ve karmaşık düzenleyici ortamlarla karşı karşıya kalabilecekleri olası bir çaresizliğe işaret ediyor. Bu aynı zamanda fidye ödeme vaadinin giderek güvenilmez hale geldiği anlayışını da yansıtıyor.