Clop fidye yazılımı çetesinin, devasa MOVEit veri hırsızlığı kampanyalarının kurbanlarını gasp ederek 75-100 milyon dolar kazanması bekleniyor.
Bugün yayınlanan yeni bir raporda Coveware, fidye ödeyen kurbanların sayısının %34 gibi rekor bir düşük seviyeye düştüğünü ve bunun da fidye yazılımı çetelerinin saldırılarını daha karlı hale getirmek için stratejilerini değiştirmesine neden olduğunu açıklıyor.
Coveware, farklı gasp saldırılarının, beklenen fidye talebiyle karşılaştırıldığında bir saldırıyı gerçekleştirmek için gereken çaba ve yatırım miktarıyla yansıtılan farklı fırsat maliyetlerine sahip olduğunu açıklıyor.
Bir kurban üzerindeki etki ile tehdit aktörünün saldırıyı gerçekleştirme maliyetleri (zaman, çaba ve yatırım) arasındaki ilişki aşağıdaki tabloda gösterilmektedir. Dikey eksen kurban üzerindeki etkiyi temsil ederken, yatay eksen tehdit aktörünün maliyetlerini göstermektedir.
Kaynak: BleepingComputer
Grafik, en düşük karmaşıklığa ve otomasyona sahip gasp saldırılarının kurbanlar üzerinde en az etkiye sahip olduğunu ve saldırganlara maliyetinin en az olduğunu gösteriyor.
Bu, hayali saldırılar (sosyal mühendislik), fidye ile DB silme ve Qlocker gibi NAS şifreleme saldırıları ile fidye taleplerine yansır ve saldırılarda otomasyon ve karmaşıklık olmaması nedeniyle genellikle düşük fidye talepleri vardır.
Bu tür saldırılar için, fidye talepleri tipik olarak birkaç yüz dolar ile binlerce dolar arasında değişiyor ve tehdit aktörleri, düşük fidye fiyatlarını büyük hacimli ödemelerin telafi edeceğini umuyor.
Bununla birlikte, daha önemli etkiye sahip daha karmaşık ve zaman alan saldırılar, genellikle milyonları bulan çok daha büyük fidye talepleri oluşturur.
Clop, ödemeler düştükçe taktik değiştiriyor
27 Mayıs’ta Clop fidye yazılımı çetesi, MOVEit Transfer güvenli dosya aktarım platformundaki sıfırıncı gün güvenlik açığından yararlanarak yaygın veri hırsızlığı saldırıları başlattı.
Bu saldırıların dünya çapında yüzlerce şirketi etkilemesi bekleniyor ve birçoğu son iki ay içinde etkilenen müşterilerini bilgilendirdi.
Ancak Coveware, yalnızca veri hırsızlığına odaklanan şantaj saldırılarının zaman içinde ödemeleri azalttığını, kurbanların tehdit aktörlerine ödeme yapmaktansa saldırıları ifşa etmeyi ve veri ihlali bildirimleri yayınlamayı tercih ettiğini söylüyor.
Coveware’in raporu, “Yalnızca DXF saldırıları, şifreleme etkisi gibi maddi iş kesintilerine neden olmaz, ancak marka hasarına neden olabilir ve bildirim yükümlülükleri oluşturabilir” diye açıklıyor.
“Bir fidyenin ödenme olasılığı %50’den az, ancak yalnızca DXF saldırılarında bir fidye talebinin ($) değeri nispeten yüksek.”
Kaynak: Coveware
Coveware, Clop’un, birkaç büyük ödemenin genel düşüşün üstesinden geleceğini umarak, daha önce veri hırsızlığı saldırılarında görülenden çok daha önemli fidye talepleri talep ederek gasp stratejisini değiştirdiğini söylüyor.
Coveware’in tahminine göre, yalnızca birkaç MOVEit veri hırsızlığı kurbanı muhtemelen ödeme yapacak. Bununla birlikte, önemli fidye talepleri göz önüne alındığında, Clop’un yalnızca bu ödemelerden etkileyici bir 75-100 milyon dolar toplaması bekleniyor.
Coveware, “CloP grubunun sadece MOVEit kampanyasından 75-100 milyon dolar kazanması muhtemeldir, bu meblağ çok yüksek ödemelere yenik düşen bir avuç kurbandan gelir,” diye açıklıyor Coveware.
“Bu, nispeten küçük bir grubun sahip olması için tehlikeli ve şaşırtıcı bir para miktarı.”
Coveware CEO’su Bill Siegel, BleepingComputer’a Clop’un bu saldırılardaki başarısının, tehdit aktörlerinin yalnızca 130 kurbanı ihlal ettiği ve yalnızca birkaç fidye ödemesi aldığı son GoAnywhere veri hırsızlığı saldırılarından önemli ölçüde daha büyük olduğunu söyledi.
Siegel, Clop’un 2021 Accellion FTA veri hırsızlığı saldırılarının başarılı olduğuna inanıyor çünkü kurbanlar, veri sızıntısını önlemek için ödeme yapmanın artıları ve eksileri konusunda yeterince eğitimli değillerdi. Ayrıca, 2021’de medyanın artık bu tür saldırılara karşı duyarsız hale gelmesiyle birlikte, bireysel ihlallere medyanın ilgisi çok daha fazlaydı.
Siegel, BleepingComputer’a “Bugün kurbanlar, bu durumların artıları ve eksileri konusunda çok daha iyi eğitim alıyorlar (çoğu durumda eksiler, artılardan çok daha ağır basıyor),” dedi.
“Öyleyse, oldukça küçük bir kurban havuzundan kurbanların daha yüksek bir yüzdesine ödeme yapıldığı için Accellion oldukça büyük bir finansal başarıyken, GoAnywhere başka bir küçük kurban havuzundan neredeyse tamamen fiyasko gibi görünüyordu.”
“MOVEit, bu saldırıların her ikisinden de en az 10 kat daha fazla doğrudan kurbana sahipti, bu nedenle CloP, ödemeyi bırakın, bir müzakereye bile girme zahmetine bile girmeyen kurbanların %90’dan fazlasına rağmen, en büyük ve ödemeyi düşünme olasılığı en yüksek olana odaklanabildi.”
Fidye yazılımı bağlı kuruluşları yeni operasyonlara geçiyor
Coveware, veri hırsızlığı saldırılarının değişen taktiklerine ek olarak, fidye yazılımı şifreleme saldırıları söz konusu olduğunda da bir değişiklik gördü.
Coveware, fidye ödemeleri almak çok daha zor hale geldiğinden, küçük işletmeleri hedef alan Hizmet Olarak Fidye Yazılımı operasyonlarında çarpıcı bir azalma olduğunu söylüyor.
Sonuç olarak, Dharma ve Phobos gibi daha küçük fidye yazılımı operasyonları, 2023’te saldırılarda yaklaşık %37’lik bir düşüş gördü.
Bunun yerine Coveware, daha büyük ölçekli saldırılarda işletmeleri hedeflemek için Phobos şifreleyiciyi kullanan yeni 8 tabanlı fidye yazılımı operasyonuna geçerken, bu gruplar içindeki daha fazla bağlı kuruluş arasında bir değişim gözlemledi.
Yakın tarihli bir VMware raporu, 8base’i daha büyük kuruluşları hedef alması ve bağlı kuruluşların daha büyük fidyeler talep etmesine izin vermesiyle bilinen bir fidye yazılımı operasyonu olan RansomHouse’a bağladı.