Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Araştırmacılar, Fidye Finansmanı Düşerken, Çeteler Yeniden Gaspçılığı Kucaklıyor, Uyarıyor
Mathew J. Schwartz (euroinfosec) •
23 Ocak 2023
Fidye yazılımı grupları için kötü haber: Uzmanlar, dünya suçlu kötü amaçlı yazılımların saldırısına karşı güçlenirken, fahiş bir kripto kilitleme maaş günü kazanmanın zorlaştığını görüyor.
Ayrıca bakınız: Yeni Nesil Güvenlik Duvarı Satın Alma Rehberi
Kötü adamlar, başarılı bir saldırı gerçekleştirmeyi zorlaştıran iyi prova edilmiş olay müdahale planları da dahil olmak üzere sağlam savunmalar oluşturmak için daha fazla olası kurbanı suçlayabilir. Ayrıca kolluk kuvvetleri mağdurlara yardım etmek için daha erken harekete geçiyor ve bunu yaparak saldırganların nasıl çalıştığını ve bir sonraki hamleyi nereye yapacaklarını daha iyi öğreniyorlar. Bu tür bir istihbarat, gelecekteki saldırıları caydırmanın anahtarıdır.
İşte bu tür değişikliklerin etkisinin bir işareti: 2019’da kurbanların %79’u fidye öderken, 2022’de kurbanların yalnızca %41’i fidye ödedi, rapor ediyor fidye yazılımı olay müdahale firması Coveware. Bu, sabit görünen başarılı fidye yazılımı saldırılarının sayısına rağmen.
Başka bir işaret: Ağırlıklı olarak Rusya içinde veya çevresinde yerleşik olan fidye yazılımı kullanan gruplara ve bağlı kuruluşlara daha az fon akıyor gibi görünüyor. Blockchain istihbarat firması Chainalysis, şu anda mevcut verilere dayanarak, “2022’nin toplam fidye yazılımı geliri, 2021’deki 765,6 milyon dolardan 2022’de en az 456,8 milyon dolara düştü – %40,3’lük büyük bir düşüş” dedi.
Ne yazık ki, fidye yazılımı gruplarının pazar koşulları zorlaştığında yenilik yapma konusunda kanıtlanmış bir geçmişi vardır. Coveware, geçen çeyrekte “mali baskı” ile karşı karşıya kalan saldırganların toplu olarak daha büyük fidye ödemeleri peşinde biraz daha büyük kuruluşları vurmaya odaklandıklarını söylüyor. Böylece, üçüncü çeyrekten dördüncü çeyreğe kadar daha az kurban ödeme yaparken, Coveware’in soruşturmaya yardımcı olduğu binlerce vakaya göre ortalama fidye ödemesi %58 artarak 408.644 ABD Dolarına ve medyan ödeme %342 artarak 185.972 ABD Dolarına yükseldi.
Arz ve talep
Fidye ödemeye istekli kurban arzı azaldıkça, fidye yazılımı gruplarının bu kurbanlara talebi artıyor gibi görünüyor, bu da daha yüksek işletim maliyetlerine ve daha düşük gelirlere yol açıyor ve görünüşe göre suçluları daha umutsuz taktikler kullanmaya itiyor.
Coveware, “Fidye yazılımı aktörleri her şeyden önce ekonomi tarafından yönlendiriliyor ve ekonomi yeterince kötü olduğunda, kayıplarını telafi etmek için aldatma ve ikiyüzlülük seviyelerine inecekler” diyor.
Hırsızlar arasında onur bulunmamakla birlikte, bazı grupların en azından söz verdikleri şeyi yapma ve bir kurban ödeme yaptığında şifre çözücü sağlama konusunda bir geçmişi vardır.
Coveware, artık birçok saldırganın sözlerini yerine getirmediğini ve kurbanları yeniden gasp etme girişimlerinin arttığını söylüyor. Bu, suçluların bir şifre çözücü için bir fidye ve veri sızdırmama ya da bir kurbanı veri sızıntısı sitesinden çıkarma sözü için başka bir fidye talep etmesi anlamına gelen çifte şantaj anlamına gelmez. Yeniden şantaj, bir fidye yazılımı grubunun üzerinde anlaşmaya varılan bir sonuç için fidye talep etmesi ve alması ve ardından kurbandan zaten ödediği şeyi tekrar tekrar ödemesini talep etmesi anlamına gelir.
Coveware, daha önce, bu taktiğin ağırlıklı olarak daha küçük kurbanları ve ayrıca LockBit ve Hello Kitty gibileri avlayan daha küçük, daha amatör gruplar tarafından kullanıldığını söylüyor.
Ancak geçen yıl, BlackByte, Hive, Quantum, Snatch ve Vice Society dahil olmak üzere, öncelikle orta ölçekli ve büyük kurbanların peşine düşen daha sıkı bir hizmet olarak fidye yazılımı grupları da kurbanları giderek daha fazla yeniden şantaj yapmaya başladı.
Güvenilmez davranarak, bu gruplar kendi ayaklarına kurşun sıkıyor gibi görünüyor. Geçmişinde vaatlerini yerine getirmemiş bir grup şantajcıya kim ödeme yapmak ister?
Kurbanlara Yardım
Kuruluşlar toplu olarak daha iyi savunmalar alıyor ve saldırganlar üstesinden geldiğinde destek alıyor.
Kolluk kuvvetleri aynı zamanda, ödemeleri yasaklayarak değil, mağdurlara yardım ederek ve ayrıca başkalarının mağdur olmasını engellemeye yardımcı olarak, mağdurların ödeme yapmasını engellemede olumlu bir etkiye sahip gibi görünüyor. Coveware, özellikle FBI’ın “stratejisini kurnazca ama etkili bir şekilde sadece tutuklamaları takip etmekten kurbanlara yardım etmeye odaklanmaya ve siber suçları bu kadar karlı kılan ekonomik kaldıraçlara maliyetler yüklemeye kaydırdı” diyor.
FBI yetkilileri, fidye yazılımı gibi karmaşık izinsiz girişler de dahil olmak üzere, büronun kurbanlara yardım etme yeteneğini artırmaya devam ettiklerini söylüyor. Bryan A, “Siber eğitimli bir FBI ajanını bu ülkedeki hemen hemen her kapının önüne bir saat içinde koyabiliriz ve aynı şeyi, adli ataşe ağımız ve siber asistan hukuk ataşelerimiz aracılığıyla bir günde 70’ten fazla ülkede başarabiliriz.” FBI’ın Siber Bölümü müdür yardımcısı Vorndran, geçen yıl Meclis Yargı Komitesi önünde ifade verdi.
Bu yaklaşımın hem “kurbanları desteklediğini hem de düşmanlarımızın nasıl çalıştığını ve bundan sonra kimi hedef alabileceklerini öğrenmemizi sağladığını” sözlerine ekledi ve bu istihbaratın Siber Güvenlik ve Altyapı Güvenliği Ajansı ve diğer ortaklarla paylaşıldığını söyledi.
Yönetilen hizmet sağlayıcılar tarafından kullanılan yönetim yazılımını geliştiren ve Temmuz 2021’de REvil – diğer adıyla Sodinokibi – fidye yazılımının kurbanı olan Kaseya’nın CEO’su, “olayımızın 30. saniyesinde” FBI ile iletişime geçmenin şirketinin iyileşmesinin anahtarı olduğunu söylüyor.
Kaseya CEO’su Fred Voccola, geçen yıl saldırıdan çıkarılan dersler hakkında bir blog gönderisinde, “Vurulduğumuzda, şans eseri, bir şey şüpheli göründüğü anda FBI’ı aramak için standart bir süreçimiz vardı. Ve biz de tam olarak bunu yaptık.” . “Bugüne kadar, CEO olarak benim ve bir şirket olarak verdiğimiz en iyi karar buydu.”
Elbette fidye yazılımı saldırıları devam ediyor ve daha az sayıda kurban ödeme yaptıkça suçlular uyguladıkları taktiklerde daha çaresiz hale gelebilir ve böylece gelecekteki bireysel kurbanların karşılaşacağı bozulma ve hasar artabilir.
FBI, kuruluşların kendilerine yardım etmesinin en iyi yolunun, fidye yazılımı istihbarat raporlarını takip etmek ve yerel FBI saha ofisini – veya diğer uygun kolluk kuvvetlerini – tanımak olduğunu söylüyor, böylece bir saldırı durumunda hızlı bir şekilde iletişime geçebiliyorlar.
Diğer bir gereklilik ise sağlam, iyi uygulanmış olay müdahale planlarının yürürlükte olmasıdır (bakınız: Olay Müdahalesi: Fidye Yazılımı Çağında En İyi Uygulamalar).
FBI’dan Vorndran, Kongre’ye “Olay müdahale planları olan kurbanlarla olmayanlarla çalıştıktan sonra aradaki fark çok büyük” dedi. “Olay müdahale planlarına sahip kurbanlar genellikle daha hızlı ve daha verimli yanıt verebiliyor ve bir fidye yazılımı olayının neden olduğu hasarı önemli ölçüde sınırlayabiliyor.”
Fidye yazılımlarında her zaman olduğu gibi, yol gösterici mantra değişmeden kalır: Şimdi hazırlanın veya daha sonra daha fazla ödeme yapmayı bekleyin.