Bir fidye yazılımı grubu Kara Melekler Geçtiğimiz hafta suç grubunun yakın zamanda Fortune 50 şirketinden rekor kıran 75 milyon dolarlık veri fidye ödemesi aldığı ortaya çıktığında manşetlere çıktı. Güvenlik uzmanları, Dark Angels’ın 2021’den beri var olduğunu söylüyor ancak grup tek başlarına çalıştıkları ve düşük profilli oldukları, bir seferde bir hedef seçtikleri ve kurbanın operasyonlarını bozmak yerine toplu veri hırsızlığını tercih ettikleri için fazla basında yer almıyor.
Resim: Shutterstock.
Güvenlik firması Z ölçekleyici TehditLabz bu ay Dark Angels’ı 2024’ün en büyük fidye yazılımı tehdidi olarak sıraladı ve 2024’ün başlarında bir kurbanın fidye yazılımı grubuna 75 milyon dolar ödediğini, bunun daha önce kaydedilen herhangi bir fidye ödemesinden daha fazla olduğunu belirtti. ThreatLabz, Dark Angels’ın bugüne kadarki en büyük fidye yazılımı saldırılarından bazılarını gerçekleştirdiğini buldu, ancak grup hakkında çok az şey biliniyor.
Brett Stone-BrütThreatLabz’da tehdit istihbaratı kıdemli direktörü olan , Dark Angels’ın diğer fidye yazılımı gruplarının çoğundan tamamen farklı bir oyun planı kullanarak çalıştığını söyledi. Başlangıç olarak, Dark Angels’ın enfekte olmuş sistemleri kilitleyen kötü amaçlı yazılımları yüklemek için ücretli hacker’lara güvenen tipik fidye yazılımı iştirak modelini kullanmadığını söyledi.
Stone-Gross, “Onlar gerçekten manşetlerde yer almak veya iş kesintilerine neden olmak istemiyorlar,” dedi. “Onlar para kazanmak ve mümkün olduğunca az dikkat çekmekle ilgileniyorlar.”
Çoğu fidye yazılımı grubu, fidye talebi ödenmediği takdirde hedefin çalınan verilerini yayınlamakla tehdit eden gösterişli kurban sızıntı sitelerini sürdürüyor. Ancak Dark Angels’ın Nisan 2023’e kadar bir kurban utandırma sitesi bile yoktu. Ve sızıntı sitesi özellikle iyi markalanmış değil; adı Dunghill Sızıntısı.
Karanlık Melekler kurbanlarını utandıran site, Dunghill Leak.
Stone-Gross, “Onlarda gösterişli hiçbir şey yok,” dedi. “Uzun bir süre, büyük bir manşet bile yapmak istemediler, ancak muhtemelen ciddi olduklarını ve kurban verilerini yayınlayıp erişilebilir hale getireceklerini göstermek istedikleri için bu sızıntı sitesini oluşturma zorunluluğu hissettiler.”
Dark Angels’ın, sağlık, finans, hükümet ve eğitim gibi birçok sektördeki büyük şirketlerden gerçekten şaşırtıcı miktarda veri çalmak olan Rusya merkezli bir siber suç sendikası olduğu düşünülüyor. ThreatLabz, grubun büyük işletmeler için 10-100 terabayt arasında veriyi sızdırdığını ve bunun aktarılmasının günler veya haftalar sürebileceğini buldu.
Çoğu fidye çetesi gibi Dark Angels da ödeme yapmayan kurbanlardan çalınan verileri yayınlayacaktır. Dunghill Leak’te listelenen daha dikkat çekici kurbanlardan bazıları arasında küresel gıda dağıtım firması da yer almaktadır. Sistem2023 yılının Mayıs ayında bir fidye yazılımı saldırısını ifşa eden; ve seyahat rezervasyon devi KılıçEylül 2023’te Dark Angels tarafından vurulan.
Stone-Gross, Dark Angels’ın genellikle fidye yazılımı kötü amaçlı yazılımlarını dağıtma konusunda isteksiz olduğunu, çünkü bu tür saldırıların hedefin BT altyapısını kilitleyerek çalıştığını ve bunun da genellikle kurbanın işinin günler, haftalar hatta aylar boyunca durmasına neden olduğunu söyledi. Ve bu tür ihlaller genellikle hızla manşetlere çıkar.
“Fidye yazılımı dağıtmak isteyip istemediklerini seçici bir şekilde seçiyorlar,” dedi. “Eğer bazı dosyaları şifreleyebileceklerini düşünürlerse, bu büyük kesintilere yol açmayacak – ama onlara bir ton veri sağlayacak – bunu yapacaklar. Ama gerçekte, onları diğerlerinden ayıran şey çaldıkları veri miktarı. Dark Angels ile bu çok daha büyük bir büyüklük sırası. Büyük miktarda veri kaybeden şirketler bu yüksek fidyeleri ödeyecek.”
Peki 75 milyon dolarlık rekor fidyeyi kim ödedi? Bleeping Bilgisayar 30 Temmuz’da kurbanın ilaç devi olduğu öne sürüldü Sansür (vakti zamanında AmeriSourceBergen Şirketi), bir veri güvenliği olayını bildiren ABD Güvenlik ve Değişim Komisyonu (SEC) 21 Şubat 2024.
SEC, halka açık şirketlerin olaydan sonraki dört gün içinde potansiyel olarak önemli bir siber güvenlik olayını açıklamasını gerektirir. Cencora şu anda Fortune 500 listesinde 10. sırada yer alıyor ve geçen yıl 262 milyar dolardan fazla gelir elde etti.
Cencora, Şubat siber güvenlik olayıyla bağlantılı olarak fidye ödemesi yapıp yapmadığıyla ilgili sorulara yanıt vermedi ve KrebsOnSecurity’yi son üç aylık mali raporlarının (PDF) yeniden yapılandırma bölümünde “Diğer” altında listelenen harcamalara yönlendirdi. Bu rapor, şirketin ihlalle ilişkili olarak 30 milyon dolardan fazla maliyete katlandığını gösteriyor.
Cencora’nın üç aylık açıklamasında, olayın bir ülkedeki bağımsız bir geleneksel bilgi teknolojisi platformunu ve yabancı iş biriminin o ülkede yaklaşık iki hafta boyunca faaliyet gösterme kabiliyetini etkilediği belirtildi.
Cencora’nın 2024 yılı 1. çeyrek raporunda, 2024 yılı Şubat ayı ortasında meydana gelen bir veri sızdırma olayıyla ilişkili 30 milyon dolarlık bir maliyet belgeleniyor.
Güvenlik firması, en son Fidye Yazılımı Durumu raporunda (PDF) Sofos ortalama fidye yazılımı ödemesinin geçen yıl beş kat arttığını, 2023’te 400.000 dolardan 2 milyon dolara çıktığını buldu. Sophos, vakaların beşte dördünden fazlasında (%82) fidye için finansman birden fazla kaynaktan geldiToplam fidye fonunun %40’ı kuruluşların kendilerinden, %23’ü ise sigorta sağlayıcılarından geldi.
Daha fazla bilgi için: ThreatLabz fidye yazılımı raporu (PDF).