Fidye Yazılımı Gruplarının Son Taktiği: Silahlı Pazarlama

Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı

Uzmanlar, ‘Tanıtım Oksijeninin’ Mağdurların Korkutulmasına ve İştirak Edilmesine Yardımcı Olduğu Uyarısında Bulundu

Mathew J. Schwartz (euroinfosec) •
13 Aralık 2023

Maliyeti ne olursa olsun kârı en üst düzeye çıkarmak isteyen fidye yazılımı grupları, teknik becerilerini ve psikolojik sarsıntılarını yeni bir stratejiyle güçlendiriyor: silahlı pazarlama.

Ayrıca bakınız: Savaş Sisi | Ukrayna Çatışması Siber Tehdit Ortamını Nasıl Dönüştürdü?

Uzmanlar, güvenlik camiasını ve basın mensuplarını, kendilerini mitolojikleştirmeye hevesli, rakiplerini küçümseyen, yeteneklerini abartan ve kontrolü ele geçirmek için birkaç suç dışı egoya masaj yapmaktan çekinmeyen suçlular tarafından oynanmamaları konusunda uyarıyorlar. hikaye.

Sophos’un bir raporunda, “Bu çabaları boşa çıkarmak ve fidye yazılımı çetelerinin aradıkları tanıtım oksijenini engellemek için” araştırmacıların ve gazetecilerin “tamamen gerçeklere dayanmadığı ve kamu yararına olmadığı sürece” fidye yazılımı gruplarının adını asla vermemeleri tavsiye ediliyor. Fidye yazılımı gözlemcileri, suçluların çabalarını yüceltmekten her zaman kaçınmalı ve “kamu çıkarına olmadığı veya savunuculara eyleme geçirilebilir bilgi ve istihbarat sağlamadığı sürece” bu tür gruplarla asla ilişki kurmamalıdır.

Suçluları yüceltmekten kaçınmaya yönelik tavsiyeler bir boşluktan gelmiyor.

Kanıtlar, fidye yazılımı gruplarının mahkeme araştırmacıları ve gazeteciler için fazla mesai yaptığını gösteriyor. Analyst1’in baş güvenlik stratejisti Jon DiMaggio, Heavyweight LockBit’in “diğer suçlular, gazeteciler ve araştırmacılarla iletişim kurmak için” şifreli mesajlaşma sistemi Tox’ta özel kanalları kullandığını ve hatta kendi hata ödül programını yürüttüğünü bildiriyor (bkz: Kendi Fidye Yazılımı Başarısının Kurbanı: LockBit’in Sorunları Var).

RansomHouse ve 8Base grupları, veri sızıntısı sitelerinde, kurbanlarla ilgili bilgileri “resmi olarak yayınlanmadan” saatler veya günler önce “PR Telegram kanalı” aracılığıyla gazetecilerle paylaşma sözü veriyor. Sophos, aralarında Rhysida, Snatch ve Vice Society’nin de bulunduğu diğer grupların sızıntı sitelerinde veya medyadaki SSS sayfalarında gazetecilere seslendiğini ve Karakurt’un çarpık mesajlar içeren bir “basın bülteni” sayfası bulunduran bir dizi operasyondan biri olduğunu söyledi.

Eski günlerde suç işlemekle övünmek hapse giden hızlı bir yol gibi görünüyordu. Fidye yazılımı grupları bu kural kitabını parçaladı. Herkese ne yaptıklarını anlatmak ya da en azından bunun şeker kaplı versiyonunu sunmak için sabırsızlanıyorlar.

Sophos, “Bazı fidye yazılımı çeteleri gazetecilere, faaliyetleri hakkında büyük ölçüde olumlu bir bakış açısı sundukları röportajlar verdi – potansiyel olarak bir işe alım aracı olarak” dedi. “Diğerleri ise yanlış olarak gördükleri haberlere karşı daha düşmanca davrandılar ve hem yayınlara hem de bireysel gazetecilere hakaret ettiler.”

Grupların kaybedeceği ne var? Birçoğu Rusya’dan faaliyet göstermeye devam ediyor ve Kremlin, Rusları asla hedef almadığı sürece bu tür faaliyetleri görmezden gelmeye istekli görünüyor.

Pek çok fidye yazılımı grubunun reklamı benimsemiş gibi görünmesinin bir başka nedeni de, zaten suç konusundaki hünerlerinin kanıtı olan ve boyun eğmeyi başaramayan düşmanların sanal postlarını sergileyen, oldukça halka açık veri sızıntısı siteleri çalıştırmalarıdır. Bu siteler gelecekteki mağdurlara bir uyarı görevi görüyor: Fidyemizi talep ettiğimizde hemen ödeyin ve ödeyin, aksi takdirde adınızı verip utandırırız ve çalınan verilerinizi sızdırırız. Bazıları daha da ileri giderek ihlali mağdurun müşterilerine veya düzenleyici makamlara bildiriyor. Elbette bundan sonraki adımları belli: Bunu yapmakla övünmek.

Sıkma Döngüsü

Fidye yazılımı gruplarının anlattığına göre kurbanlara asla şantaj yapmazlar. Bunun yerine bir hizmet sağlıyorlar: Kurbanların ağlarına sızma testi yapmak ve güvenlik denetimleri yürütmek. Gruplar ayrıca sağlık gibi belirli sektörlerdeki kuruluşları asla vurmadıklarını iddia edecek. Hatta “önce bulaştır, sonra kim olduğunu bul” yaklaşımı sayesinde bunu sıklıkla yapıyorlar. Saldırılar, belki de hastaneleri aksattığı için kötü basına yol açarsa, grup yüksek sesle kurbana “ücretsiz” bir şifre çözücü hediye ettiğini ve “etik veri yönetimi” amacıyla çalınan verileri sızdırmayacağına söz verdiğini ilan edebilir. Gerçekte, bu tür hamleler, bir saldırının ardından başa çıkma ve sistemleri ve verileri geri yükleme gibi zaman alıcı, pahalı, yıkıcı ve endişe verici (özellikle hastalar için) süreci ortadan kaldıramaz.

Grupların kendi mitolojilerini yaratması ve kötü şöhret yaratması yalnızca potansiyel kurbanları korkutmakla kalmıyor, aynı zamanda hizmet olarak fidye yazılımı gruplarının kendilerini rakiplerinden ayırmasına ve daha iyi üyeler bulmasına da yardımcı oluyor.

Sophos raporunun uyardığı gibi, fidye yazılımı gruplarının iddialarını veya dilini eleştirmeden tekrarlayan araştırmacılar ve gazeteciler, suçluların cesaretini artırma riskiyle karşı karşıya kalıyor. Her yıl fidye yazılımı gruplarına akan yüz milyonlarca dolar değerindeki kripto para biriminin gösterdiği gibi, kimsenin yardımına ihtiyaçları yok.