Bazı Sektörler Diğerlerinden Daha Değerli Olsa da, Kâr Tüm Hususların Önüne Geçer
Mathew J. Schwartz (euroinfosec) •
27 Ocak 2023
Fidye yazılımı çok sayıda sektörü alt üst etmeye devam ederken, herhangi bir kuruluş nasıl olur da hedef veya kurban haline gelir?
Ayrıca bakınız: 3. Çeyrek Tehdit Raporu | Expel Security Operations Center’dan siber güvenlik verileri, trendler ve öneriler
Bazı coğrafyalardaki kuruluşların mağdur olma olasılığı daha yüksektir. Siber güvenlik firması Group-IB, Temmuz 2021’den Haziran 2022’ye kadar bilinen fidye yazılımı saldırılarının %43’ünün ABD kuruluşlarını vurduğunu bildirdi. Sırada Almanya, İngiltere, Kanada, İtalya ve Fransa vardı.
Bazı sektörler de diğerlerinden daha fazla mağdur görünüyor. Geçen çeyrekte, fidye yazılımı olay müdahale şirketi Coveware, kurbanların çoğunun kamu sektöründen olduğunu bildirdi ve bunu yazılım hizmetleri, sağlık hizmetleri, profesyonel hizmetler ve malzeme sektörü izledi.
2022’nin son üç ayını üçüncü çeyrekle karşılaştıran Coveware, küçük hukuk firmaları ve finansal hizmet firmaları da dahil olmak üzere daha az sayıda profesyonel hizmet firmasının isabet aldığını gördü ve bunu fidye yazılımı gruplarının daha büyük, daha kazançlı hedeflere öncelik vermesine bağladı (bkz:: Daha Az Kurban Haraç Ödedikçe Fidye Yazılımlarının Karları Düşüyor).
Bazı endüstriler saldırılarda artış kaydetti. Siber güvenlik şirketi Dragos, özellikle geçen yılın ikinci yarısında imalat sektörüne yönelik bilinen saldırıların %30 arttığını bildirdi. Bu sektör, otomotiv firmaları ve endüstriyel ekipman tedarikçilerinden elektronik ve havacılık sektörüne kadar her şeyi kapsar.
Bu tavuk-yumurta sorusunu işaretleyin: Fidye yazılımı grupları, tercih edilen sektörlere odaklanarak kurbanları mı topluyor yoksa belirli sektörlerin kurban olma olasılığı daha mı yüksek?
Kâr Zorunluluğu
Fidye yazılımı gruplarının en önemli endişesi basit görünüyor: kâr.
LockBit grubu, veri sızıntısı sitesinde, bağlı kuruluşlara “sadece parayla ilgilendiğini” söylüyor – grubun, hastaneler ve kritik altyapı da dahil olmak üzere her sektörü kapsayan katolik kurban zevkiyle de pekiştiriliyor.
Ödenen her fidyenin %70’ini elinde bulunduran üye kuruluşlara verilen mesaj nettir: Geliri maksimize ettiği sürece kimi isterseniz hackleyin (bakınız: Ne pahasına olursa olsun kâr edin: LockBit gibi fidye yazılımı çeteleri neden yalan söylüyor?).
Bu nedenle, kurbanlar ilk önce yarı rastgele bir şekilde bir araya geliyor gibi görünüyor – bir grubun bir ilk erişim aracısından satın aldığı erişime, bir fidye yazılımı grubunun bağlı kuruluşunun doğrudan hacklemiş olabileceği kuruluşlara veya bir grup tarafından kullanılan kötü amaçlı yazılım tarafından tuzağa düşürülen sistemlere bağlı olarak. Bu noktada belki de gruplar önce kime odaklanacaklarına karar verirler.
Group-IB’nin yeraltı araştırma ve izleme grubu başkanı Vladimir Timofeev, “Siber suçlular her zaman kurbanlarının gelirlerini analiz eder – ilk erişim simsarları tekliflerinde kurbanlarının mali rakamlarını gösterir” diyor. “Bunun arkasındaki mantık basit: Potansiyel kurbanın çok az parası varsa, fidye ödemesi pek olası değil. IAB’ler, kurban şirketin konumunu ve sektörünü belirten kısa bir tanımını da eklemeye başladı.”
Group-IB, Temmuz 2021’den Haziran 2022’ye kadar yer altı forumlarında reklamını gördüğü 2.348 ilk erişim teklifinin en büyük miktarının – tüm IAB tekliflerinin %6’sını oluşturuyor – imalat sektörü şirketlerini kapsadığını söylüyor.
Timofeev, “İmalat sektörü şirketlerine ağ erişimi, fidye yazılımı grupları için en çok aranan varlıklardan biridir” diyor. Bu talep göz önüne alındığında, IAB’ler bu tür “erişimler” için daha fazla ücret talep edebilir; bu da, daha büyük grupların, yatırımlarından büyük bir geri dönüş potansiyeli için daha yüksek peşin maliyeti riske atma olasılığı daha yüksek olabilecekleri anlamına gelir.
“Endüstri ve üretim şirketlerinin her zaman daha fazla ödeme yapma olasılığı yüksektir, çünkü arıza süresi üretimi büyük ölçüde etkiler ve multimilyon dolarlık mali kayıplara neden olur” diyor. “Diğer şirketler verilerinin halka açıklanmasından korkabilirken, üretim şirketleri her zaman doğrudan fidye yazılımı saldırılarından zarar görecek.”
Kela ve Group-IB’nin araştırmasına göre, son 18 ayda fidye yazılım operatörleri tarafından en çok hedef alınan sektörün imalat sektörü olması muhtemelen tesadüf değil.
Bu nedenle, bir fidye yazılımı grubunun potansiyel kurbanları nasıl seçtiğine ilişkin kesin mekanizma değişken görünse de, bir grup uzaktan erişim elde ettikleri herhangi bir kuruluştan sızdırılacak makul kârlar olduğunu düşünürse, bu onlar için bir fırsat gibi görünüyor. ‘alacağım.