21 Haziran’da Cl0p fidye yazılımı, MOVEit güvenlik açığını kullanarak ihlal ettiğini iddia ettiği şirketlerin bilgilerini yayınlamakla meşguldü.
Kas esneme ve tehdit arasında, zaman buldu garip bir mesaj atmak: bir cevap.
Belirsiz sözdizimindeki, madde işaretleriyle tamamlanan uzun, ayrıntılı mesajın özü şuydu: fidye yazılımı grubunun boş tehditler yayınladığını söyleyen bir BBC raporunu reddediyoruz.
Merakla, mesaj açıkça bunu söylemedi!
BBC ile bir e-posta alışverişinde, Cl0p fidye yazılımı grubu, verilere sahip olmadıklarını ve kurbanların verilerine erişmek için ihlal edilen maaş bordrosu sağlayıcısı Zellis’i bilgilendirdiklerini iddia etti.
Cl0p, uzun süredir kullanılan bir taktiği bilen dünyanın beklentilerine gücendi: boş tehditler gönderen fidye yazılımı çeteleri.
Boş tehditler gönderen Cl0p, MOVEit hataları ve fidye yazılımı çeteleri
Cl0p, 14 Haziran’dan bu yana darknet web sitesinde şirket profillerini yayınlayarak kurbanlara fidye ödemeleri için baskı yapıyor.
Sonraki günlerde Cl0p, ABD, Almanya, İsviçre, Birleşik Krallık, Kanada ve Belçika da dahil olmak üzere çeşitli ülkelerden yaklaşık 50 kurbanın adlarını, web sitelerini ve adreslerini kademeli olarak ekledi.
Başlangıçta MOVEit’in yapımcıları olan Progress Software tarafından duyurulan saldırı, yazılımdaki farklı bilgisayar korsanları tarafından kullanılmış olabilecek güvenlik açıklarını ortaya çıkardı.
Soruşturmalar devam ederken, ABD hükümeti Cl0p çetesini veya kritik altyapıyı hedefleyen diğer kötü niyetli siber aktörleri yabancı bir hükümete bağlayan bilgiler için 10 milyon dolarlık bir ödül teklif etti.
Durum devam ediyor ve yetkililer, etkilenen kuruluşlar ve siber güvenlik uzmanları, ihlalin boyutunu anlamak ve sorumlu tarafları belirlemek için aktif olarak çalışıyor.
Cl0p tarafından listelenen şirketlerden bazıları ayrı veri ihlallerini doğrularken, siber güvenlik araştırmacıları MOVEit dosya aktarım aracını kullanan yüzlerce kuruluşun verilerinin çalındığı konusunda uyardı.
Buna Zellis’in müşterileri olan BBC, British Airways ve Boots dahildir. Ancak siber suçlular, Zellis verilerini çalmadıkları konusunda ısrar ediyor ve şirketi buna göre bilgilendirdiklerini iddia ediyorlar.
Siber güvenlik uzmanları, Cl0p’nin iddialarını şaşırtıcı buldu ve durumun karmaşıklığını artırdı.
Bazıları, Cl0p’nin verileri başka bir bilgisayar korsanlığı grubuna sattıkları gerçeğini saklıyor olabileceğini düşünürken, diğerleri başka bir grubun Cl0p’in katılımından önce verilere erişip verileri çalmış olabileceğine inanıyor.
Veri ihlalini çevreleyen kesin koşullar belirsizliğini koruyor.
“Verileri çalınan büyük Birleşik Krallık kuruluşlarından hiçbirini neden yayınlamadıklarını merak ettikten sonra Clop’a e-posta gönderdim. BBC muhabiri Joe Tidy, defalarca ‘Bu verilere sahip değiliz’ iddiasında bulundular. tweet attı.
“Onlar da satmadıklarını iddia ediyorlar. Kafa karıştırıcı bir resim ama bu devam eden toplu hack hakkında başka olasılıkları gündeme getiriyor.”
Cyber Express, bir gasp taktiği olarak sahte tehditler oluşturmanın, tehdit aktörlerinin yaygın bir uygulaması olduğunu keşfetti.
Boş tehditler gönderen fidye yazılımı çeteleri: Yerleşik bir taktik
Cyber Express, farklı coğrafyalarda çalışan güvenlik analistleriyle iletişime geçti. Hepsi boş tehditler gönderen fidye yazılımı çetelerinin örneklerini gördü.
Aslında, son veri ihlallerinden ve fidye yazılımı olaylarından yararlanan ve ABD şirketlerinden zorla ödeme almak için meşru fidye yazılımı çeteleri gibi görünen sahte gaspçılardan oluşan koca bir çete bulundu.
“Midnight Group” adı altında faaliyet gösteren bu kötü niyetli aktörler, en az 16 Mart’tan bu yana faaliyet gösteriyor ve kurbanlarını zorlamak için çeşitli taktikler uyguluyor.
Tanınmış fidye yazılımı ve veri gaspı gruplarını taklit eden saldırganlar, hedeflenen kuruluşlara veri ihlallerinin ve önemli miktarda önemli bilginin çalınmasının sorumluluğunu üstlenen e-postalar gönderdi.
Bir keresinde, bir petrol katkıları holding şirketinin bir çalışanına, Luna Moth olarak da bilinen Silent Ransom Group (SRG) ile bağlantılı olduğunu iddia eden bir e-posta gönderildi.
İlginç bir şekilde aynı mesaj, ilk kez Aralık 2021’de ortaya çıkan konu satırında başka bir tehdit aktörü olan Surtr fidye yazılımı grubunun adını kullanıyordu.
BleepingComputer, Midnight Group’tan gelen ve sunuculardan 600 GB önemli verinin çalındığını iddia eden bir veri ihlalinin suçlusu olduklarını iddia ettikleri başka bir e-posta keşfetti.
Çarpıcı bir şekilde, bu mesaj hedeflenen şirketten altı ay önce ayrılmış olan kıdemli bir finansal planlamacıya gönderilmişti.
Veri hırsızlığı iddialarına ek olarak, bu sahte gaspçılardan bazıları, mesajlarda verilen talimatlara uymamaları halinde kurbanları dağıtılmış hizmet reddi (DDoS) saldırılarıyla tehdit etti.
Kurumsal araştırma ve risk danışmanlığı şirketi Kroll, 23 Mart’tan bu yana Silent Ransom Group adı altında alınan bu tür e-postaların sayısında artış olduğunu bildirdi.
Tanınmış siber suçluların isimlerini kullanan bu e-postaların yazarları, tehditlerini sindirmeyi ve meşrulaştırmayı amaçlıyor.
Kroll’a göre, bu dolandırıcılık yöntemi uygun maliyetli ve düşük vasıflı saldırganlar tarafından kolayca yürütülüyor.
Elektronik dolandırıcılık dolandırıcılıklarına benzer şekilde, bu sahte şantaj girişimleri, kurbanları belirli bir son tarihten önce ödemeye zorlamak için sosyal mühendislik taktiklerine dayanır.
Kroll, siber suçlular için gelir sağladığı için bu eğilimin süresiz olarak devam edeceğini tahmin ediyor.
Bir olay müdahale şirketi olan Arete, Kroll’un Midnight Group’un sahte e-postalarına ilişkin gözlemlerini doğruladı.
Arete, grubun öncelikle daha önce fidye yazılımı saldırılarının kurbanı olan kuruluşları hedef aldığını belirtti.
Arete tarafından belirlenen ilk saldırganlar arasında QuantumLocker (artık DagonLocker olarak değiştirildi), Black Basta ve Luna Moth yer alıyor.
Arete’nin mevcut ve eski en az 15 müşterisi, Midnight Group’tan sahte tehditler aldı ve grup, veri hırsızlığı iddialarını belirsiz ayrıntılar kullanarak destekliyor.
Kurbanların nasıl seçildiği belirsizliğini koruyor, ancak ilk saldırganlardan sızan veriler, sosyal medya, haberler veya şirket açıklamaları gibi halka açık kaynakların rol oynayabileceği tahmin ediliyor.
Ancak Arete, sahte saldırganların bilgileri kamuya açık olmayan fidye yazılımı kurbanlarını tespit ettiği örnekleri de keşfetti ve bu da ilk davetsiz misafirlerle olası işbirliğini düşündürdü.
Bu tür bir gasp dolandırıcılığı yeni değil ve daha önce 2019’da bir fidye yazılımı olay müdahale şirketi olan Coveware tarafından gözlemlenmişti.
Coveware, tehdit aktörlerinin tehditlerine güvenilirlik kazandırmak için hedeflenen kuruluş hakkındaki benzersiz verileri kullandıklarını açıklayarak buna “Hayalet Olay Gasp” adını verdi.
Ayrıca potansiyel maliyetli sonuçları vurgularlar ve kamunun maruz kalmasından doğabilecek zararlardan önemli ölçüde daha düşük bir ödeme tutarı talep ederler.
Hem Coveware hem de Arete, Midnight Group’un tehditlerini bir dolandırıcılık kampanyasının parçası olarak sınıflandırıyor. Arete’nin grupla etkileşime girme girişimleri, hiçbir yanıt veya çalınan veri kanıtı vermedi.
Comparitech tüketici gizliliği savunucusu Paul Bischoff, The Cyber Express’e “Birçok kuruluş, saldırganlar bunu kendilerine ifşa edene kadar ihlal edildiğinin farkında değil” dedi.
“Dolayısıyla, bir kuruluşun düzmece bir tehdide inanıp ihlalin fark edilmediği varsayımıyla ödeme yapması ihtimal dışı değil.”
Uzmanlar, bu tür e-postaları dikkatlice analiz etmenizi, hayali bir olayın bileşenlerini tanımanızı ve aldığınız tehdidin sahte olabileceğini doğrulamanızı tavsiye ediyor.
Fidye yazılımı çetelerinin boş tehditler göndermesinin ardındaki motivasyonlar
Çoğu fidye yazılımı, saldırganların yalnızca kurbanın verilerini şifrelemekle kalmayıp aynı zamanda onları çaldığı ve fidye ödenmezse onları serbest bırakmak veya satmakla tehdit ettiği “çifte gasp” olarak bilinen yönteme başvurur.
Öte yandan, siber güvenlik araştırmacıları, boş tehditler yayınlayan fidye yazılımı çetelerini düpedüz dolandırıcılık olarak değerlendiriyor.
Comparitech Tüketici gizliliği savunucusu Paul Bischoff, “Sızıntı tehdidi savuran fidye yazılımı çeteleri, çalınan verilerin bir örneğini gerçekten ellerinde olduğunu kanıtlamak için genellikle yayınlar.”
“Bu tür durumlarda neredeyse hepsinin meşru olduğunu tahmin ediyorum. Bir örnek göndermezlerse, ona güvenmem.”
The Cyber Express’in bu rapor için görüştüğü araştırmacıların çoğuna göre, fidye yazılımı çetelerinin boş tehditler göndermesinin amacı, kurban üzerindeki baskıyı artırarak hızlı para kazanmasıdır.
Boş tehditler gönderen fidye yazılımı çetelerinin bu stratejisi, kurbanın itibar zedelenmesi, yasal uyumluluk ihlalleri veya veri sızıntılarının potansiyel etkisi hakkındaki endişelerinden yararlanmayı amaçlar.
Axio Kıdemli Siber Güvenlik Danışmanı Richard Caralli başka bir olasılık önerdi.
“Saldırganlar sizi ele geçirdiklerine inandırabilirse, onlara saldırmaya istekli olursunuz ki bu da ironik bir şekilde gerçek bir saldırıya kapı açabilir. Onları içeri alman için bir hile,” dedi The Cyber Express’e.
Fidye yazılımı çetelerinin, kurbanın verilerine sahip olmasalar bile boş tehditler göndermesinin arkasında birkaç olası neden vardır.
Bu güdüler, saldırganların özel koşullarına ve hedeflerine bağlı olarak değişebilir.
Siber güvenlik araştırmacılarına göre, fidye yazılımı çetelerinin boş tehditler göndermesinin birkaç olası nedeni şunlar olabilir:
Psikolojik baskı: Saldırganlar, hassas verilere eriştiklerini ve bunları çaldıklarını iddia ederek kurbanda aciliyet, korku ve panik duygusu yaratmayı amaçlar.
Psikolojik baskı, mağduru iddiaların geçerliliğini sorgulamadan veya doğrulamadan fidyeyi hızlı bir şekilde ödemeye itebilir.
Gelişmiş pazarlık pozisyonu: Boş tehditler, müzakereler sırasında saldırganların pazarlık pozisyonunu güçlendirebilir.
Kurbanlar verilerinin risk altında olduğuna inanıyorsa, fidye taleplerini derhal ve pazarlık yapmadan karşılamaya daha yatkın olabilirler.
Saldırganlar, daha yüksek bir fidye ödemesi elde etmek için potansiyel veri ifşası korkusundan yararlanabilir.
İtibar zedelenmesi: İddialar geçerli olsun veya olmasın, yalnızca bir veri ihlali veya sızıntısı önerisi bile halkın güvenini aşındırabilir, müşteri güvenini etkileyebilir ve potansiyel olarak kurbanın marka imajına zarar verebilir.
The Cyber Express, “Bariz mali ödülleri toplamanın yanı sıra, başarılı saldırılar hakkında yanlış iddialarda bulunmak, saldırıya uğrayan kuruluşun itibarına zarar verir” dedi.
Caydırıcılık ve gelecekteki kaldıraç: Saldırganlar, boş tehditler oluşturarak, bunları belirli bir durumda fiilen gerçekleştirmemiş olsalar bile, veri ihlalleri ve sızıntıları yapma konusunda itibar kazanabilirler.
Bu itibar, gelecekteki hedefler için caydırıcı olabilir ve saldırganlara gelecekte gasp girişiminde bulunurken veya kurbanlarla pazarlık yaparken algılanan bir avantaj sağlayabilir.
Dikkat dağıtma ve dikkat dağıtma: Boş tehditler göndermek aynı zamanda dikkat dağıtıcı bir taktik görevi görebilir.
Kurbanın dikkatini veri ihlali iddiasına çekerek potansiyel olarak kurbanın fidye yazılımını kaldırma girişimleri veya güvenliği ihlal edilmiş ağ içindeki diğer kötü amaçlı faaliyetler gibi saldırının diğer yönlerinden dikkatini dağıtır.
Araştırmacılar, farklı grupların kendi özel motivasyonları ve stratejileri olabileceğinden, bu güdülerin evrensel olarak tüm fidye yazılımı çeteleri için geçerli olmayabileceğini belirtmek önemlidir.
Her saldırı vaka bazında değerlendirilmeli ve mağdurlar, tehditlerin güvenilirliğini değerlendirmek ve uygun yanıtı belirlemek için siber güvenlik uzmanlarıyla görüşmelidir.
Kuruluşlar boş tehditler gönderen fidye yazılımı çetelerini nasıl tanımlar?
Axio’dan Richard Caralli The Cyber Express’e “Bence bir blöfün iki açık işareti var: tekrarlanan girişimler ve fidye talebindeki artış” dedi.
“Saldırganlar bir girişimde bulunduğunda, bazı misilleme davranışlarıyla tehdit ettiğinde, misillemede başarısız olduğunda ve ardından başka bir girişimde bulunduğunda iddialar büyük olasılıkla sahtedir.”
Compareitech’ten Bischoff, “Fidye yazılımı çetesi, size bir örneğini göstererek verilerinize eriştiklerini kanıtlayabilmelidir,” dedi.
Caralli’ye göre bu, hedeflenen kişilerin kendi fotoğraflarının veya videolarının bulunduğu iddia edilen tehdit e-postaları aldığı başka bir şantaj biçimidir.
Fidyeyi ödemezlerse, onları kişi listelerindeki herkese bırakacaklar. Fidye yazılımı çeteleri, saldırıya tepkilerini test etmek için genellikle bu taktiği kuruluşlarla birlikte kullanır, dedi.
“Bir saldırıya devam etme niyetlerinin bir göstergesi olarak sizin veya kuruluşunuz için değerli bir şeye sahip olduğuna dair hiçbir kanıt sunmuyorlarsa, muhtemelen blöf yapıyorlardır.
“Unutmayın: İlk eğilimleri genellikle tehdidi yerine getirmemektir; onlara bunu yapmamaları için ödeme yapmanı sağlamak için.