Yazan: Nissim Ben Saadon, İnovasyon Direktörü, CYREBRO
Geçen yıl Kosta Rika ve Peru’daki hükümet hedeflerine yönelik yüksek profilli fidye yazılımı saldırıları, siber savaş kavramına yeni bir soluk getirdi: Fidye Savaşı. Hizmet olarak fidye yazılımının (RaaS) yükselişi ve devlet kurumlarının saldırılara karşı koyma konusundaki göreli acizliğiyle birlikte, özel veya devlet onaylı bilgisayar korsanlığı grupları tarafından yerel ve ulusal hükümet hedeflerine karşı yürütülen kar amaçlı fidye yazılımı savaşlarının şiddeti artıyor ve yoğunluk. Bu makalede bunun neden olduğunu derinlemesine inceleyeceğiz ve olası hafifletme seçeneklerini tartışacağız.
Conti’nin Yükselişi ve Düşüşü
Artık Conti olarak bilinen fidye yazılımı grubu, Fidye Savaşı saldırılarının standardını belirliyor. Grup, Rusya’nın Ukrayna’yı işgaline kamuoyu desteğini açıklamadan önce, kardeş grubu REvil ile birlikte dijital dünyayı kasıp kavurdu.
Conti, 18 aylık bir süre boyunca 180 milyon doların üzerinde ödeme topladı; bu da ABD Dışişleri Bakanlığı’nın, üyelerinin kimliklerinin belirlenmesine veya mahkum edilmesine yol açacak bilgiler için 15 milyon dolarlık bir ödül teklif etmesine yol açtı.
Özellikle Conti, Kosta Rika’nın 2022’de ilan ettiği ulusal acil durumdan sorumluydu; bu durum, Kosta Rika’nın 10 milyon dolarlık fidye ödemeyi reddetmesi ve Kosta Rika’nın çeşitli hükümet kurumlarından 672 GB’lık hassas veri sızıntısına maruz kalmasından sonra gerçekleşti. Kosta Rika’nın yeni seçilen başkanı Rodrigo Chaves, ülkenin siber suçlularla “savaşta” olduğunu ilan etti.
Benzer şekilde Conti, Peru’nun ulusal, askeri ve polis istihbaratının yanı sıra karşı istihbarattan da sorumlu olan önde gelen istihbarat teşkilatını hackledi. 9,1 GB’lık hassas istihbarat verisini sızdırmayı başardılar.
Görünüşe göre grup, Rusya’nın Ukrayna’yı işgaline verdikleri halk desteğinin hızlandırdığı baskıların ardından dağıldı. Ancak hükümet hedeflerine yönelik saldırılarında katıksız cesaret ve etkinlik konusunda belirledikleri çıta hala yüksek.
En Yeni Fidye Savaşı Hedefleri
Son aylarda, diğer fidye yazılımı korsanlığı gruplarının dünya çapındaki devlet kurumlarını artan sıklıkta hedef aldığı görülüyor. En önemlisi:
- Temmuz 2023’te Kaliforniya’nın Hayward şehri, bir fidye yazılımı saldırısının şehrin bilgisayar sistemlerini ve ağlarını ihlal etmesinden sonra olağanüstü hal ilan etti.
- Yine temmuz ayında, Birleşik Krallık’ın ulusal sağlık sisteminde yer alan bir kuruluş olan Barts Health NHS Trust, bir fidye yazılımı saldırısına uğradı ve potansiyel olarak 2,5 milyon kişinin verileri risk altında kaldı.
- Şubat 2023’te Kaliforniya’nın Oakland şehri bir fidye yazılımı saldırısına uğradı ve tüm sistemleri çevrimdışına almak zorunda kaldı.
- Aynı ay, bir federal hükümet kurumu olan S. Marshals Servisi, kolluk kuvvetlerinin hassas bilgilerini açığa çıkaran bir fidye yazılımı saldırısına maruz kaldı.
- Ocak 2023’te yine Birleşik Krallık’ta bir fidye yazılımı saldırısı, ülkenin en büyük posta dağıtım hizmeti olan Royal Mail’i kapattı.
- Yine Ocak ayında, San Francicso Körfez Bölgesi Hızlı Transit Otoritesine (BART) yapılan bir fidye yazılımı saldırısı, yetkilinin fidyeyi ödemeyi reddetmesinin ardından hassas dosyaların açığa çıkmasına yol açtı.
Ayrıntılı İnceleme: Neden Hükümetleri Hedef Almalısınız?
Fidye yazılımı grupları çeşitli nedenlerle hükümetleri hedef alıyor. Birincisi, hükümetler vatandaşlarına ilişkin değerli verileri toplayıp saklıyor ve büyük bütçelere sahipler. Bu da onları finansal kazanç için potansiyel olarak kazançlı hedefler haline getiriyor. İkincisi, hassas kritik altyapıya sahipler ve bunları işletiyorlar. Hükümetlere saldırmak, fidye yazılımı gruplarının kritik hizmetleri kesintiye uğratmasına olanak tanır ve bunun sonucunda ortaya çıkan kaos, potansiyel olarak fidye ödeme konusunda siyasi baskı uygular. Ve elbette, bazı tehdit aktörlerinin siyasi veya ideolojik gündemleri var ve hükümetler yerel veya bölgesel kan davaları için kolay ve sembolik hedefleri temsil ediyor.
Fidye Savaşı tehdit aktörlerinin amaçlarını daha iyi anlamak için yukarıda bahsi geçen Kosta Rika saldırısını daha derinlemesine analiz ettik. Sonuçta Kosta Rika popüler bir turizm merkezidir ve genel olarak baskıcı veya geniş siyasi erişime sahip bir ülke olarak kabul edilmez. Peki Conti neden bu kadar mütevazı bir ülkeye saldırı başlatmayı seçsin ki?
- Teori 1 – Saldırı sadece bir fırsat suçuydu. Saldırganlar güvenlik açıkları veya zayıf noktalar arıyorlardı ve bunları Kosta Rika hükümetinin sistemlerinde bulduklarında saldırdılar.
- Teori 2 – Saldırının hassas zamanlaması nedeniyle (ulusal seçimin ardından iktidar değişiminin hemen ardından), ülkeyi istikrarsızlaştırmaya veya tamamen devirmeye yönelik bir girişimdi.
- Teori 3 – Conti’nin dahili iletişimlerine göre saldırı, halka grubun şöhretini ve kazançlı saldırı becerisini hatırlatmak için oluşturulmuş bir sis perdesi olabilir.
- Teori 4 – Kosta Rika, Rusya’nın Ukrayna’yı işgalini açıkça reddettiği ve Conti’nin Rusya ile aynı çizgide olduğu için motivasyon siyasiydi.
Hükümetleri hedef alan fidye yazılımı gruplarının amaçlarını anlamak, fidye yazılımı saldırılarının hükümetler üzerindeki etkisiyle mücadele etmek ve etkilerini azaltmak için etkili stratejiler geliştirmek açısından çok önemlidir.
Hükümetler ve BT Hizmet Sağlayıcıları Ne Yapabilir?
Saldırganların hükümetlere BT hizmetleri sağlayan şirketleri hedeflemesi yaygındır çünkü bu şirketler daha az güvenli olabilir.
Yedeklemelerin mevcut olması, şifre çözme anahtarı için ödeme yapma ihtiyacını azaltsa da, devlet kurumlarına veya kuruluşlarına karşı fidye yazılımı saldırılarının gerçekleşmesini engellemez. Güçlü bir hükümet siber güvenliği oluşturmak için önleyici tedbirlerin uygulanması ve tehditlere proaktif bir şekilde karşı koymak çok önemlidir. Hükümetlere hizmet sağlayan şirketlerin sunabileceği bazı eylemler:
- Hükümet projelerinin tanıtımını sınırlayın – bu özellikle yabancı dillerdeki yabancı medya kuruluşlarında önemlidir.
- Saldırganların bir IP/etki alanına aşina olması durumunda kamusal alandaki her şeyi bilememesi için genel ve harici dijital varlıkları merkezi olmayan hale getirin
- Savaş sırasında, eski web siteleri gibi gereksiz kamu varlıklarını geçici olarak kapatarak saldırı yüzeyini azaltın
- Herkese açık olarak erişilebilen güvenlik açıklarını gözden geçirip önceliklendirin ve bunların aciliyetini riske göre ele alın
- İzinsiz girişleri erkenden belirlemek ve engellemek için ağları sürekli izleyin ve proaktif olarak tehditleri avlayın
Alt çizgi
Fidye Savaşı yükselişte. Stratejik hükümet hedeflerine yönelik yüksek profilli saldırılar giderek daha şiddetli ve yoğun hale geliyor. Hükümetler değerli verileri, büyük bütçeleri ve kritik altyapıları nedeniyle cazip hedeflerdir. Bu tehditle mücadele etmek için hükümetlerin etkili önleyici tedbirler uygulaması gerekiyor. Hükümetlerin bir tavır alıp dijital kalelerini Fidye Savaşı eylemlerine karşı korumalarının zamanı geldi.
yazar hakkında
Nissim, CISO olmak ve özel şirketler, askeri kuruluşlar ve hükümet için DFIR, kötü amaçlı yazılım analizi ve SIEM profesyonel hizmetleri sağlamak da dahil olmak üzere çeşitli siber güvenlik işlevlerinde hizmet veren 10 yılı aşkın deneyime sahiptir. Ayrıca ara sıra profesyoneller için siber güvenlik kursları oluşturuyor ve öğretiyor. Halen CYREBRO’nun İnovasyon Direktörü olarak görev yapmaktadır. Nissim’e LinkedIn üzerinden https://www.linkedin.com/in/nissim-ben-saadon-0ba173bb/ adresinden ve CYREBRO’dan www.cyrebro.io adresinden ulaşılabilir.