[ This article was originally published here ]
Fidye yazılımı, bir fidye ödenene kadar bilgisayar dosyalarına, sistemlere veya ağlara erişimi kısıtlayan bir tür kötü amaçlı yazılımdır (kötü amaçlı yazılım). Temelde, bir suçlu fidye yazılımı oluşturur veya satın alır, ardından onu hedef sisteme bulaştırmak için kullanır. Fidye yazılımı, kötü amaçlı web sitesi bağlantıları, virüslü USB sürücüler ve kimlik avı e-postaları dahil ancak bunlarla sınırlı olmamak üzere çeşitli şekillerde dağıtılır. Saldırgan, virüs bulaştığında cihazı şifreler ve şifre çözme anahtarı için ödeme talep eder. Şekil 1, fidye yazılımı zaman çizelgesine ilişkin basit bir genel bakış sunar.
Şekil 1. Fidye yazılımı zaman çizelgesi.
Kaydedilen en eski fidye yazılımı vakası, 1980’lerin sonunda piyasaya sürülen AIDS Truva Atı idi. Şimdi, 2023’te, saldırıların sıklığı ve ciddiyeti nedeniyle fidye yazılımları kabul ediliyor. 2021’de, alınan 3.000’den fazla fidye yazılımı, toplam 49,2 milyon dolarlık kayıp bildirdi. Bilgisayar korsanları sağlık sektörü, enerji sektörü ve devlet kurumları gibi kritik altyapıları agresif bir şekilde hedef aldığından, bu saldırılar özellikle ulusal güvenlik açısından sorunludur.
Fidye yazılımı 40 yılı aşkın bir süredir ortalıktaysa, neden şimdi popülaritesi artıyor? Fidye yazılımı saldırılarındaki artışın, darknet pazarlarında satılan fidye yazılımlarının mevcudiyetine bağlanabileceğini savunuyoruz.
karanlık ağ pazarları
Darknet pazarları, siber suçluların yasa dışı mal ve hizmetleri satın almaları, satmaları ve ticaretini yapmaları için bir platform sağlar. İç Güvenlik Bakanlığı tarafından finanse edilen bir çalışmada, darknet pazarlarının, cihazlara bulaşmak ve kişisel tanımlayıcı bilgileri çalmak için kullanılan kötü amaçlı yazılımlar da dahil olmak üzere çalıntı veri ürünlerini satarak milyonlarca dolar gelir elde ettiği bulundu. Güney Florida Üniversitesi (USF) bu araştırmayı genişletmeye çalıştı. Bunu yapmak için, fidye yazılımı dağıtımına yönelik bir tehdit değerlendirmesi sağlamak üzere karanlık ağ pazarlarından siber istihbarat çıkardık. Bu rapor, temel bulgulara ve ilgili çıkarımlara genel bir bakış sunar.
Tehdit değerlendirmesi
Uyuşturucular, darknet pazarlarındaki en popüler ürün olmaya devam ederken, tehdit istihbaratı ekibimiz fidye yazılımlarında (ve diğer bilgisayar korsanlığı hizmetlerinde) bir artış gözlemledi.
Çalışma, Kasım 2022-Şubat 2023 arasında gerçekleştirildi. Yasa dışı ürünlerin reklamını yapan darknet pazarları için Tor’u aramaya başladık. Toplamda 50 aktif pazar belirledik: bu, önceki tüm çalışmalardan daha fazla. Ardından, bu pazarlarda fidye yazılımı reklamı yapan satıcıları aradık ve aktif olarak fidye yazılımı ürünleri satan 41 satıcı belirledik. Pazarların ve satıcıların sayısı, fidye yazılımlarının mevcudiyetini ve erişim kolaylığını vurgulamaktadır. İlginç bir şekilde, satıcılardan daha fazla pazar buluyoruz. Fidye yazılımı satıcıları, ürünlerini birden çok yasa dışı pazarda tanıtarak satıcı gelirini ve pazarın dayanıklılığını artırır. Bir pazar çevrimdışı duruma getirilirse (kanun yaptırımı veya bilgisayar korsanları tarafından), müşteriler birden çok mağaza cephesinde aynı satıcıdan alışveriş yapabilir.
Belirlenen 41 satıcı, 98 benzersiz fidye yazılımı ürününün reklamını yaptı. Bu da, kolayca satın alınabilecek çeşitli fidye yazılımı biçimlerinin erişilebilirliğini gösterir. Ürün açıklamasını, fiyatını ve işlem bilgilerini analiz için yapılandırılmış bir veritabanı dosyasına çıkardık. Toplamda, 1$ ile 470$ arasında değişen fiyatlarla (4 aylık bir süre içinde) 504 başarılı işlem belirledik. Ortalama olarak, fidye yazılımı darknet’te 56 dolara satıldı ve en çok satan ürün 62 farklı durumda satış başına 14 dolardan satın alındı. En çok satan fidye yazılımı reklamının ekran görüntüsü Şekil 2’de gösterilmektedir. Bu ürün tamamen özelleştirilebilir olarak listelenmiştir ve müşterinin hedefini ve fidye miktarını seçmesine olanak tanır. Bu bulgular, karanlık ağda satılan fidye yazılımlarının hem uygun fiyatlı hem de kullanıcı dostu olduğunu gösteriyor.
Şekil 2. Darknet pazarında bulunan fidye yazılımı reklamı.
Karanlık ağdaki satın alma işlemleri, işlemi anonimleştiren ve hem alıcının hem de satıcının korunmasını sağlayan kripto para birimleri kullanılarak kolaylaştırılır. Bitcoin, tercih edilen ödeme yöntemidir, ancak bazı satıcılar DOGE, Bitcoin Cash, Litecoin ve Dash’i de kabul eder.
Nihai hedefimiz, hangi kelimelerin fidye yazılımı dağıtımıyla ilişkili olduğunu anlamaktı. Ürün açıklamasını kullanarak, fidye yazılımı satarken en sık kullanılan kelimeleri tasvir eden bir kelime bulutu (Şekil 3’te sunulmuştur) oluşturduk. En sık kullanılan kelimeler fidye yazılımı, şifreleme, sistemler, aciliyet, şifre çözme, kurbanlar ve yazılımdır. Fidye yazılımı dağıtımıyla ilişkili kelimeleri bilmek, yasa dışı işlemleri tespit edip önleyebilen makine öğrenimi algoritmalarının geliştirilmesine olanak tanır.
Şekil 3. Bir fidye yazılımı reklamında en çok kullanılan kelimeler.
çıkarımlar
Fidye yazılımı ve karanlık ağ pazarlarının oluşturduğu güvenlik endişeleri, araştırmacılar, devlet kurumları ve siber güvenlik şirketleri tarafından bağımsız olarak tanımlanmıştır. Darknet pazarları aracılığıyla dağıtılan fidye yazılımlarının oluşturduğu sinerjik tehdidi değerlendirerek tartışmayı genişletiyoruz. Bulgularımız, fidye yazılımındaki artışın ürünün kullanılabilirliği, satın alınabilirliği ve kullanım kolaylığından kaynaklanabileceğini gösteriyor. Siber suçlular, benzersiz fidye yazılımı biçimleri geliştirmek için gereken gelişmiş teknik becerilere artık ihtiyaç duymuyor. Bunun yerine, karanlık ağda özelleştirilebilir fidye yazılımı satın alabilir ve kurbanlarına karşı bir saldırı başlatabilirler.
teşekkürler
Bu araştırma, CIBR laboratuvarı ile ilişkili öğrenciler ve öğretim üyeleri olmadan mümkün olmazdı. Siber istihbarat ekibine devam eden katılımları için Taylor Fisher, Kiley Wong-Li, Mohamed Mostafa Abdelghany Mostafa Dawood ve Sterling Michel’e özellikle teşekkür ediyoruz. Daha ileri teknoloji siber güvenlik araştırmaları için Dr. C. Jordan Howell, Lauren Tremblay ve CIBR Lab’ı Twitter’da takip edin: , , ve .
reklam