Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Saldırıların İncelenmesinde Tutarsız Veri Sızıntıları, Mağdur Adlandırmaları ve Tutulmayan Sözler Bulundu
Mathew J. Schwartz (euroinfosec) •
18 Mart 2024
Fidye yazılımı gruplarının çifte şantaj talepleri pek de kurnazca değil: Bize ödeme yapın, yoksa çalınan dahili verileri tüm dünyanın görmesi için yayınlarız. Grubun karanlık web sızıntı sitelerinde listelenmek bir ara adımdır.
Ayrıca bakınız: Forrester Raporu |Palo Alto Networks Prisma Cloud'un Toplam Ekonomik Etkisi™
Tüm zorbalar gibi, fidye yazılımı grupları da tehditlerin kurbanları etkilemeye yeteceğini ve bu nedenle onları takip etmek zorunda kalmayacağını umuyor. Bunun nedeni, sızdırılan verileri yayınlamanın göründüğünden daha zor olduğu ve bazı kurbanların sızıntı sitesine asla ulaşamadıkları ortaya çıktı.
Fidye ödeyen kurbanlar için sonuçların gerçekte reklamda belirtilenden daha az olması garanti ediliyor; bu, sözleşmeye bağlı hizmet garantisinden çok bir anda domuz satın almaya benziyor.
Mart 2023'te ortaya çıkan Rusça konuşan Akira fidye yazılımı grubunu ele alalım. Siber suç örgütü, kurbanın fidyeyi hemen ödememesi durumunda düzenli olarak çalınan verileri satmakla tehdit ederken, tehdit istihbarat firması Kela yeni bir raporunda hiçbir kanıt bulamadığını söyledi meydana gelen herhangi bir veri satışı.
Bazı durumlarda Akira, ödeme yapmayan bir kurbanı listeledi ancak sonuçta sözde çalınan verileri asla sızdırmadı. Bunun nedeni, bu tür verilerin ilk etapta asla çalınmaması olabilir. Başka bir hizmet olarak fidye yazılımı grubu, görünüşe göre artık işlevsiz olan LockBit operasyonu, bir noktada tam tersi bir sorunla karşılaştı: Görünüşe göre o kadar çok kurbanı o kadar hızlı topladı ki, tüm sızıntılarını çevrimiçi hale getirecek kadar sağlam bir altyapıya sahip değildi. Analyst1'den fidye yazılımı araştırmacısı Jon DiMaggio'ya göre.
Ödeme yapan kurbanlar için, potansiyel olarak çalışan bir şifre çözücü almanın yanı sıra, diğer her şey sıcak havadır. Saldırganların sunduğu videolar veya diğer sözde kanıt türleri ne olursa olsun, fidye yazılımı tarihinde, suçluların çalınan verilerin tüm kopyalarını kalıcı olarak sildiğine dair hiçbir kanıt yoktur.
Güvenlik raporları basıldıkları kağıda ya da Akira istilası durumunda yapıştırıldıkları kurbanlarla yapılan müzakere sohbet penceresine değmez. Kela, Akira'nın kurbanlara çoğunlukla veya yalnızca genel bilgiler gönderdiğini tespit etti.
Akira ayrıca birçok kurbana verilen sözleri çoğu zaman yerine getiremedi. Araştırmacılar, “Akira, söz vermesine rağmen özellikle müzakere sohbetlerini silmiyor” dedi. Ayrıca bazı kurbanlara şifre çözücü zamanında ulaşmadı ve kendilerine söz verilen saatler yerine günlerce beklemek zorunda kaldılar. Ve donanımlı şifre çözücüler her zaman söz verildiği gibi çalışmadı.
Grup aykırı bir grup değil. Kela araştırmacıları, saldırının kanıtını başkalarının bulmasını zorlaştırmak için ödeme yapan mağdurlar için müzakere sohbetlerini silmeyi de vaat eden Black Basta'nın, bilinen olayların en az üçte birinde bunu yapmadığını ortaya çıkardı.
Mağdurlara Ödeme Yapmak
Kela, Akira'nın bu şantajı “şifre çözme, veri kaldırma kanıtı ve bir 'güvenlik raporu' sağlanması” için ödeme olarak gösterdiğini ancak gaspçıların cömertliği sayesinde kurbanın bu “hizmetlerin” yalnızca bir kısmı için ödeme yapmasına izin vereceğini söyledi. . Şifre çözücünün değeri genellikle toplam talebin %50 ila %70'i kadardır, veri kaldırma kanıtı %25 ila %50'dir ve güvenlik raporu %10'dan azdır.
Bir kurban fidye ödediğinde ne olur? Akira grubu genellikle kurbanın yıllık gelirinin %0,1 ile %12'si arasında, yani ortalama %3 oranında fidye talep ediyor. Ayrıca kurbanların fidye ödemelerini yüzde 6'dan yüzde 90'a düşürerek başarılı bir şekilde pazarlık yaptıklarını ve ortalama yüzde 40'lık bir indirimin olduğunu da ortaya çıkardı.
Bunu, Conti'nin ilk kez Nisan 2022'de görülen yan ürünü olan ve Rusça konuşan Black Basta ile karşılaştırın. Kela, kurbanın yıllık gelirinin %1,5 ila %2,5'i arasında bir fidye talep ettiğini ve kurbanların bu rakamı daha düşük bir fiyata pazarlık edebileceklerini söylediğini söyledi. %90 kadar.
Fidye yazılımı gruplarının kurbanlar tarafından tutulan profesyonel müzakerecilerle pazarlık yapıp yapmadığı belli değil.
Güvenlik uzmanları ve emniyet yetkilileri uzun süredir kuruluşlara asla fidye ödememeleri çağrısında bulunuyordu. Bunun yerine, kısmen uygun yedekleme ve kurtarma uygulamalarına, daha iyi savunmalara ve iyi ve iyi uygulanmış bir olay müdahale planına fon sağlayarak hazırlığa yatırım yapılmasını öneriyorlar.
Bazı durumlarda uzmanlar, suçluların bilmediği dosyaların şifresini çözmek için geçici çözümlere erişebilir. Güvenlik firmaları Emsisoft ve Avast'ın yanı sıra Fransa'nın ulusal bilgisayar acil müdahale ekibi geçen ay, Rhysida'nın Windows PE sürümünün bulaştığı yüzlerce kuruluşa, kripto kilitli dosyalarının şifresini çözmelerine olanak tanıyan gizli bir geçici çözüm kullanarak yardım ettiklerini açıkladı. Firmalar, geçici çözümün Güney Kore'deki araştırmacılara kadar işe yaradığını söyledi yayınlanan kusur için ücretsiz bir şifre çözücü, bu da hiç şüphesiz Rhysida'ya sorunu gösterdi ve onu dolabını tamir etmeye iterek geçici çözümü ortadan kaldırdı.
Mağdurlar için bu tür şanslı molalar bir yana, ileriyi planlamanın alternatifi (hala birçok kuruluş tarafından uygulanıyor) suçluların vaatlerinin karşılığını ödeyerek riske girmektir. Kela, suçluların bu sözleri yerine getirmediği sayısız yol göz önüne alındığında, “fidyeyi ödemenin etkili bir müdahale stratejisi olarak görülmemesi gerektiğini” söyledi.