Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Uzmanlar, Grupların Yine İştiraklerini Dolandırarak Kendilerini Ayaklarından Vurduklarını Görüyor
Mathew J. Schwartz (euroinfosec) •
18 Nisan 2024
İşte kutlanacak fidye yazılımı haberleri: Fidye ödemeyi tercih eden kurbanların sayısı rekor düşük bir seviyeye düştü. Ayrıca, kolluk kuvvetlerinin aksaklıklarından etkilenen iki büyük grubun operatörlerinin her biri, bağlı şirketlerini dolandırmayı, hoşnutsuzluk tohumları ekmeyi ve yanmış iş ortaklarını uzaklaştırmayı seçti.
Ayrıca bakınız: Her Kimlik Risk Altındayken Nereden Başlamalısınız?
Fidye yazılımı olaylarına müdahale şirketi Coveware, Ocak ayından Mart ayına kadar araştırılmasına yardımcı olduğu binlerce vakayı temel alarak Çarşamba günü yayınladığı bir raporda, kurbanların yalnızca %28’inin bu zaman diliminde fidye ödediğini söyledi; bu oran 2023’ün son üç ayındaki %29’du. Geçen yılın tamamında kurbanların ortalama %37’si ödeme yaptı.
Coveware, bu düşüş eğiliminin “büyük ve küçük işletmelerin” “bir şifreleme saldırısına giderek daha fazla dayanabilmesi ve bir tehdit aktörü şifre çözme anahtarına ihtiyaç duymadan operasyonlarını geri yükleyebilmesi” sayesinde gerçekleştiğini söyledi.
Daha az sayıda kurban, yalnızca saldırganların çalınan verilerini silme sözü karşılığında ödeme yaptığı ve önceki çeyrekteki %26’dan bu yılın ilk çeyreğinde %23’e düştüğü belirtildi.
Bu da iyi bir haber. Uzmanlar uzun süredir kurbanlara, şifre çözücü almakla karşılaştırıldığında bu tür soyut vaatler için asla ödeme yapmamalarını söylüyor çünkü suçluların sözlerini tuttuklarına dair hiçbir kanıt yok.
Aslında, Coveware’in sadece bir örnek olarak gösterdiği gibi gruplar arasında veri “rehine ticareti” de dahil olmak üzere tam tersini yapan grupların tam tersini yaptığına dair çok sayıda kanıt var. Verilerin silinmesi için para ödeyen Hive kurbanlarının isimleri daha sonra Hunters International’ın sızıntı sitesinde yer alıyor. Hive’ın yeniden başlatılması veya yeniden markalanması.
Bu tür kötü davranışların bir başka örneği de, altyapısına sızma da dahil olmak üzere LockBit’in Şubat ayında Cronos Operasyonu aracılığıyla kesintiye uğramasına öncülük eden Britanya Ulusal Suç Teşkilatı’ndan geliyor. Sonrasında NCA şunları söyledi: “LockBit sistemlerindeki bazı veriler, ödeme yapan kurbanlara aitti Tehdit aktörlerine bir fidye verilmesi, fidye ödense bile suçluların söz vermesine rağmen verilerin silineceğini garanti etmediğini kanıtlıyor.”
Blockchain analiz firması Chainaliz, bu tür hareketlere rağmen fidye yazılımı gruplarının geçen yıl toplu olarak en az 1 milyar dolar tutarında rekor kıran kar elde ettiğini söyledi.
Kanıtlar sadece daha az mağdurun ödeme yaptığını değil aynı zamanda birçoğunun daha az ödemeyi kabul ettiğini gösteriyor.
Kurbanlar bu yılın ilk çeyreğinde fidye ödemeyi seçtiklerinde Coveware, ortalama ödemenin önceki çeyreğe göre %32 düşüşle 381.980 dolar olduğunu söyledi; ancak ortalama fidye ödemesi %25 artışla 250.000 dolara ulaştı. Firma, bu eğilimlerin daha az sayıda kurbanın ödemeyi tercih etmesinin yanı sıra daha fazla sayıda saldırganın çok yüksek başlangıç fidye fiyatlarını değil, kurbanlarla bir anlaşmaya varmayı amaçlayan daha düşük talepleri tercih ettiğini yansıttığını söyledi.
‘Kafa karıştırıcı’ İş Hareketleri
Rekor kârlara rağmen fidye yazılımı uygulayıcıları için her şey yolunda gitmiyor. Yüzlerce bağlı kuruluş hakkında istihbarat elde etmeyi de içeren LockBit’in NCA liderliğindeki kesintisinden önce, FBI ve diğer kolluk kuvvetleri geçen Aralık ayında BlackCat, diğer adıyla Alphv’yi kesintiye uğrattı. Her iki grup da kalıcı olarak devre dışı bırakılmış gibi görünmese de güvenlik uzmanları, her grubun markasını baltalayan, güven eken, yorgunluğu artıran ve morali bozan aksaklıkları övdü.
Her iki grup da iş operasyonlarındaki beklenmedik darbeye – kolluk kuvvetlerinin liderliklerini trollemesi de dahil olmak üzere – bağlı kuruluşlarla olan güveni artırmaya çalışarak değil, onları “dolandırarak” ve Coveware’in tanımladığı gibi özel anlaşmazlıkların kamuya açık hale gelmesine izin vererek tepki gösterdi. olayların “kafa karıştırıcı” bir dönüşü.
Bu, operatörlerin kendilerine daha fazla kar sağlamak için bağlı şirketlerini kısa devre yapması ilk kez değil (bkz: REvil Ransomware Grubunun Son Kurbanı: Kendi İştirakleri).
Bağlı kuruluşların karşılaştığı zorluklardan biri yanmaya devam etmeleridir.
Tehdit istihbaratı firması Analyst1, bu yılın başlarında LockBit’in lideri “LockBitSupp”un, ilk erişim komisyoncusuna payını vermeden bir saldırı düzenlemekle suçlanmasının ardından Ocak ayında Rusça dilindeki en önde gelen iki siber suç forumu olan XSS ve Exploit’ten yasaklandığını bildirmişti. elde edilen kârlardan.
Analyst1 araştırmacıları Anastasia Sentsova ve Jon DiMaggio, LockBitSupp’u yasaklamanın ötesinde, forumların onu bir “yırtıcı” olarak da etiketlediğini ve bu durumun “güven eksikliği anlamına geldiğini ve herkesin onlarla işbirliği yapmasını şiddetle caydırdığını” söyledi.
BlackCat iş ortaklarını da yaktı. Grubun İngilizce konuşan üyeleri, Şubat ayında Optum’un sahibi olduğu UnitedHealth Group’un bir parçası olan Change Healthcare’e yaptıkları saldırının kurbanın 22 milyon dolar fidye ödemesine yol açtığını söyledi. Bağlı kişiler genellikle ödenen fidyenin %70 ila %80’ini alacaktır. Bunun yerine, BlackCat liderliğinin, çıkış dolandırıcılığının bir parçası olarak kolluk kuvvetleri tarafından kalıcı olarak rahatsız edilmiş gibi davranarak her şeyi sakladığını söylediler.
RedSense’in baş araştırma görevlisi Yelisey Bohuslavskiy, BlackCat’in liderliğinin, Change Healthcare hack’inin arkasındaki İngilizce konuşan bağlı kuruluşlarla bağlarını feda etmeye istekli göründüğünü ve Batılıları dolandırmanın Doğu Avrupalılar nezdinde itibarlarını hiçbir şekilde zedelemeyeceğine inandığını söyledi.
Coveware, kısa süre önce değişen iş ortakları ve hizmet olarak fidye yazılımındaki kesintilerin, “fidye yazılımı bağlı kuruluşlarından oluşan kitlesel bir diasporayı” tetiklediğini, bunların sayısının muhtemelen yüzlerce olduğunu ve bunların artık bir sonraki hamlelerini düşünmek zorunda olduğunu söyledi.
Siber güvenlik firması GuidePoint Security’nin araştırma ve istihbarat ekibine liderlik eden Drew Schmitt, “Bağlı kuruluşlar RaaS operasyonlarının can damarıdır ve bu kesintilerin ardından, daha küçük RaaS gruplarının hoşnutsuz veya yerinden edilmiş bağlı kuruluşları toplamaya çalıştığını gözlemledik” dedi. yeni bir rapor.
Conti, LockBit ve Babuk gibi firmalardan sızan ücretsiz fidye yazılımı oluşturucularını benimseyen ve değiştiren diğerlerinin izinden giderek daha fazla bağlı kuruluş bu işi tek başına yapmayı tercih ediyor gibi görünüyor (bkz.: Ücretsiz Fidye Yazılımları: LockBit Sahtekarlıkları ve Sahtekarlar Çoğalıyor).
Diğerleri, sözde bir hizmet olarak fidye yazılımı operasyonu olarak çalışan, ancak herkesin yazılımına siber suç forumları aracılığıyla 150 $ veya daha az bir ödemeyle erişmesine izin veren Phobos’u benimsiyor. Daha karmaşık operasyonların aksine, “Phobos merkezi bir veri sızıntısı sitesi veya sohbet altyapısı sağlamaz ve kurban iletişimleri çoğunlukla e-posta üzerinden gerçekleşir; faaliyet gösteren bağlı kuruluşlar, Proton Mail ve Onion Mail gibi güvenli e-posta hizmetleriyle ‘tek kullanımlık’ hesaplar kullanır. ” dedi Kılavuz noktası. “Bağlantılı kuruluşlar tarafından bırakılan bazı fidye notlarında grup adı veya alt markadan bahsediliyor, ancak çoğu bunu yapmıyor ve isimsiz kalıyor.”
Coveware, bazı bağlı kuruluşların hayattan çekilebileceğini veya henüz kendilerini yakmamış gruplarla güçlerini birleştirebileceğini ancak “giderek daha fazla sayıda fidye yazılımı bağlı kuruluşunun bu ücretsiz kaynaklardan yararlanmasını ve kendi şifreleme operasyonlarını geliştirmesini bekliyoruz” dedi. “Son saldırılarda Babuk çatallarında bir artış olduğunu ve birçok eski RaaS bağlı kuruluşunun her yerde bulunan ve neredeyse ücretsiz Dharma/Phobos hizmetlerini kullandığını gördük.”
Fidye yazılımı ekosistemi hiçbir zaman dramadan mahrum kalmıyor.