Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Araştırmacı, Conti’nin Artıklarını Küçük Ekiplerle Karıştırmanın Hive’ın Milyonlar Kazanmasına Yardımcı Olduğunu Söyledi
Mathew J. Schwartz (euroinfosec) •
8 Mart 2023
Stratejik uyarlanabilirliği vaaz eden iş guruları, -suçlu gaspçılar olmasalardı- bir iş vakası incelemesine layık olacak düzeyde yenilik sergileyen fidye yazılımı bilgisayar korsanlarından daha büyük ustalara sahip olmayabilir.
Ayrıca bakınız: 2022 Unit 42 Fidye Yazılımı Tehdit Raporu
İleriye yönelik büyük atılımlar arasında, 2013’te kripto-kilitleme kötü amaçlı yazılımını geniş ölçekte dağıtan CryptoLocker, 2019’da veri çalma ve aynı zamanda çifte gasp yoluyla fidye için tutma pratiğine öncülük eden Maze ve son yıllarda LockBit gibi otomatik saldırı araçları yaratarak teknik engelleri azaltma yer alıyor. özenti fidye yazılımı saldırganları için giriş.
Son derece etkili yeni iş stratejileri bulan fidye yazılımı grupları listesine Hive’ı ekleyin.
Ocak ayında Hollandalı, Alman ve ABD kolluk kuvvetlerinin öncülük ettiği Hive’ın kaldırılmasından sonra FBI, grubun 1.500 kuruluşta kripto-kilitleme kötü amaçlı yazılımı dağıttığını – bu saldırılardan kaç tanesinin başarılı olduğu net değil – ve 100 milyon dolardan fazla para aldığını bildirdi. bilinen fidye ödemeleri.
Yayından kaldırma, daha önce görülmemiş bir fidye yazılımı iş stratejisinin Hive’ın başarısının anahtarı olduğunu ortaya çıkardı: ortak çalışma. WeWork gibi örneklerle özetlendiği üzere terim, farklı işverenlerden bireylerin bir araya gelerek fikir ve bilgi paylaştığı çalışma ortamlarını ifade eder.
New York merkezli tehdit istihbaratı şirketi Red Sense’in baş araştırma görevlisi Yelisey Bohuslavskiy, fidye yazılımı grubunun adının artık geç de olsa işaret ettiği gibi, sonunda Hive’da olmaya başlayan şeyin tam olarak bu olduğunu söylüyor.
İlk Günler: Hizmet Olarak Fidye Yazılımı Grubu
Hive her zaman bu şekilde çalışmadı. Hive, Haziran 2021’de piyasaya sürüldüğünde, bağımsız yüklenicilerle çalışan bir hizmet olarak fidye yazılımı grubuydu. Operatörler, bu bağlı kuruluşlara, Hive’ın kripto-kilitleme kötü amaçlı yazılımının türlerini oluşturabilecekleri yönetici panellerine erişim izni verdi. Fidye ödeyen her kurban için operatörler bir pay aldı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın bildirdiğine göre, Hive kullanan saldırganlar, hükümet tesisleri, iletişim, kritik üretim, BT ve özellikle sağlık ve halk sağlığı gibi kritik altyapı sektörleri dahil olmak üzere çok sayıda sektörde kurban topladı.
Birçok fidye yazılımı grubu için 2021’in ortası, büyük bir karışıklığın yaşandığı bir dönemdi. Conti, DarkSide ve REvil – nam-ı diğer Sodinokibi dahil olmak üzere bazı büyük grupların yanlış adımlarından sonra, birçok üye büyük, merkezi gruplarla çalışmayı bir sorumluluk olarak görmeye başladı. Sonuç olarak, birçok saldırgan birlikte çalıştıkları kişileri çeşitlendirmeye başladı ve daha az merkezi gruplar daha yaygın hale geldi.
Bir istisna, çoğunlukla yüklenicilerle çalışmak yerine yaklaşık 200 çalışandan oluşan bir çekirdek kadroya sahip olmasıyla diğer birçok fidye yazılımı operasyonundan ayrılan Conti idi. FBI geçen yıl Conti’nin başarısının bir kanıtı olarak “şimdiye kadar belgelenen en maliyetli fidye yazılımı türü” olduğunu söyledi.
Conti’nin Taşmasında Para Kazanma
Bohuslavskiy, Hive’ın Kasım 2021’e kadar Conti’nin Emotet botnet aracılığıyla topladığı ve Hive’ın birlikte çalışan üç veya dört güvenilir “sızma testçisinden” oluşan küçük ekiplere aktardığı üç küçük kurban aldığında Conti’nin yörüngesine giren birçok grubun ilki gibi göründüğünü söylüyor. bu daha az yüksek profilli hedeflerden para kazanmak için.
Bu fikre, 2021 sonbaharında Emotet, Hello Kitty ve Alphv/BlackCat ve daha sonra LockBit, Ragnar Locker ve Avos gibi çok sayıda başka grupla ortaklıklar geliştiren Conti’s Division 2 başkanının öncülük ettiğini söylüyor. Önceden, kurbanları birbirleriyle paylaşan fidye yazılımı gruplarının nadir olduğunu söylüyor.
Aralık 2021’e kadar, Conti operasyonunun takip etmeye vakti olmadığı Hive’a düşük seviyeli vakalar verme stratejisi başarılı görünüyor. Bohuslavskiy, “Bu noktada, yalnızca düşük seviyeli Conti davalarını alan Hive değil, aynı zamanda Conti’nin küçük ekiplerini de onlara iş teklif etmek için alıyordu,” diyor. “Conti ile iş paylaşımından hemen sonra, 14 Aralık 2021’de Hive’ın dolap ve panellerini yeniden tasarlayarak büyük bir dolap güncellemesi yapması tesadüf değil.” İş patlama yaşıyordu.
Bohuslavskiy, bu süre zarfında “pek çok pentester kendini daha özgür hissetmeye başladı ve Hive’ı ortak çalışma alanı olarak kullanmaya başladılar – sadece birlikte çalışarak” diyor Bohuslavskiy. “Çoğunlukla Conti olmak üzere farklı gruplardan küçük ekipler Hive yükleyicileri veya fidye yazılımı notları kullanıyorlardı ve Hive yöneticisi paneli ve müzakereleri yönetiyordu.” Katılımcılar arasında eskiden Ryuk olarak bilinen Conti Division 1; Artık Royal fidye yazılımı olan Division 2; ve artık BlackBasta olan Division 3; yanı sıra BlackCat, LockBit ve FiveHands/HelloKitty.
Mayıs 2022’de Conti kapatılacağını duyurdu. Muhtemel sebeplerden biri, Conti liderliğinin Moskova’nın Ukrayna’yı işgalini alenen desteklemesinden ve Ukraynalı bir güvenlik araştırmacısının çok sayıda dahili sohbet günlüklerini sızdırarak yanıt vermesinden sonra, bu iletişimlerin Conti’nin Rus hükümeti ile yakın bağları olduğunu açıkça ortaya koymasıdır. Yanıt olarak, birçok kurban Conti’ye fidye ödemeyi bıraktı.
Conti perde arkasında zaten yan gruplar kurmuş ve kurbanları diğer ortaklara aktarmaya başlamıştı. Bohuslavskiy, “Conti, Mayıs ayında resmi olarak dağıldığında, Hive kurbanlarının büyük bir kısmının aslında Conti olduğunu görebildik, çünkü dağılmanın arifesinde, daha önce saldırıya uğramış çok sayıda kurbanı bloglarına dökmeye başladılar,” diyor Bohuslavskiy.
Conti’nin vefatından sonra, en azından bir marka olarak, Hive’ın ortak çalışma modelinin meyvelerini vermeye başladığını söylüyor. “Conti’nin dolabını yürütürken, Conti’nin fidye notunu göndermekten hoşlanmayan herkes bunu Hive aracılığıyla yapabildi” diyor. “Bu, ortak çalışma alanının aniden daha da kullanışlı hale geldiği zamandır.”
Kovan Gelişir – Bitene Kadar
Temmuz 2022’de kolluk kuvvetlerinin altyapısına sızma yeteneğinin gösterdiği gibi, Hive yönetimi bazı operasyonel güvenlik hataları yaptı.
Başsavcı Yardımcısı Lisa O. Monaco, kolluk kuvvetlerinin 25 Ocak’ta Hive’ın altyapısına el koyup karanlıkta bırakmasının ardından düzenlediği basın toplantısında gazetecilere “Hackerları hackledik” dedi.
Hive’ın operasyonunun durup durmadığı açık bir soru olmaya devam ediyor. Altyapıyı eski haline getirmek için gereken zaman ve masrafın yanı sıra, muhtemelen Hive markası, altı aydan fazla bir süre yetkililer tarafından sızdırıldıktan sonra büyük zarar gördü. Bu süre zarfında kolluk kuvvetleri, tanımlayabildiği tüm kurbanlara ücretsiz şifre çözücüler verdi ve kurbanlara yönelik ilk fidye talepleri olan 130 milyon dolar da dahil olmak üzere Hive’ın kazancından büyük bir pay aldı.
Fidye yazılımı, mevcut saldırıların devam eden hacmi ve neden olabilecekleri kesinti nedeniyle ciddi bir sorun olmaya devam ediyor.
Hive’dan alınacak son bir ders varsa, o da kolluk kuvvetlerinin fidye yazılım gruplarını ve onların yasa dışı gelir akışlarını bozmak için yenilikçi yeni yollar bulduğudur.