Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Veri Arayışının Sizi Suçluların İddia Edebileceklerini Açıklamaya Yönlendirmesine İzin Vermeyin
Mathew J. Schwartz (euroinfosec) •
15 Mart 2024
Fidye yazılımı çeteleri güvenilir bilgi kaynakları değildir. Veri sızıntısı blogları yürüten gruplar (hepsi olmasa da) bunları yeni ve gelecekteki mağdurlara şifre çözücü vaadiyle veya çalınan verileri silme taahhüdü karşılığında ödeme yapmaları için baskı yapmak için kullanıyor.
Ayrıca bakınız: İlk Yıllık Üretken Yapay Zeka Çalışması – İş Ödülleri ve Güvenlik Riskleri: Araştırma Raporu
Bir veri sızıntısı sitesine giren kurbanların sayısı doğası gereği eksiktir. Fidyeyi hemen ödeyen kurbanlar postalanmıyor; suçlular bu numaraları yayınlamazlar. Buna ek olarak, Emsisoft'ta tehdit analisti olan Brett Callow, “bazı gruplar ödeme yapmayan kurbanlarını diğerlerinden daha fazla paylaşıyor” ve bunun nedeninin çoğu zaman açık olmadığını söylüyor.
Sonuç olarak, saldırı hacminin bir resmini oluşturmak için veri sızıntısı bloglarına güvenmek, yalnızca kurban sayısıyla ilgili değil, herhangi bir saldırının etkisiyle ilgili olarak son derece hatalı sonuçlara yol açabilir. Ne yazık ki, medyada sıklıkla yardım ettiğimiz ve yataklık ettiğimiz bazı siber güvenlik kuruluşları, fidye yazılımı gruplarının iddia ettiği yeni kurbanları, Tor tabanlı veri sızıntısı blogları, diğer adıyla “isim ve utanç” siteleri aracılığıyla düzenli olarak takip ediyor.
RedSense baş araştırma görevlisi Yelisey Bohuslavskiy, “Utanç bloglarına güvenmek, bir grup tehdidini değerlendirirken yapmamız gereken son şeydir” dedi. “Bloglar şantajın ne sıklıkla başarısız olduğunu ve kurbanın suçlulara orta parmağını göstermeye karar verdiğini yansıtıyor. Çoğu zaman, bloglarda ne kadar az kurban varsa grup o kadar başarılı olur.”
BlackBasta ve LockBit gruplarını karşılaştırın. “BlackBasta'nın ödemeleri %50 ila %60 oranında başarılı, bu da hitlerinin yalnızca yarısının bloga gittiği anlamına geliyor çünkü olağanüstü derecede başarılılar.” Bunun nedeni kısmen grubun her kurbandan genellikle 1 veya 2 terabaytlık genellikle çok kritik verileri çalması. mağdurlar üzerinde ödeme yapmaları için baskı oluşturduğunu söyledi.
Karşılaştırıldığında, “çok düşük anahtarlı üçüncü taraf verilerini çok küçük miktarlarda çalan LockBit'imiz var, bu yüzden kimse onlara ödeme yapmıyor” dedi. “Fakat yıllardır LockBit 'yılın en iyi fidye yazılımı grubu', BlackBasta ise yedinci sırada yer alıyor.”
Veri İçin Çaresiz
Temel zorluk, birçok kurbanın saldırıya uğradıklarını asla açıklamaması ve analistlerin ellerindeki verilerle dolduracağı bir bilgi boşluğu bırakmasıdır. Recorded Future'dan tehdit istihbaratı analisti Allan Liska, “O kadar susamışlar ki, çölde bir seraba doğru sürünecekler ve su olmadığını keşfettiklerinde kumu içecekler” dedi. aktör Michael J. Fox'un 1995 yapımı “Amerikan Başkanı” filminde söylediği söz.
Sızıntı bölgeleri su sunmuyor. Bohuslavskiy, onlara farklı davranan herkesin aslında “birinin internette söylediği bir şeyi” tekrarlamaktan başka bir şey yapmadığını söyledi.
“Burası dışında, bu kişi bir suçlu ve %90'ı bilgi yayılımının sosyal yönüne bağlı olan bir suç türü olan fidye yazılımı suçlusu,” dedi ve en azından mağdurlara ödeme yapmaları için baskı yapmaya yönelik olduğunu söyledi. Sonuç olarak, bu tür verileri göründüğü gibi kabul etmek yalnızca “açık kaynak alıntıları değil, benzersiz verileri ve benzersiz analizleri varsayan siber güvenliğin özüne aykırı olmakla” kalmıyor, aynı zamanda suçlulara mesajlarını eleştirmeden güçlendirerek yardımcı oluyor.
Sadece Küçük Yalanlar Değil
Fidye yazılımı grupları, sanki acil tıp ve pediatri hastanesi bakımını aksatmak yeterli değilmiş gibi, gerçekte olduklarından daha büyük ve daha kötü görünmek için sıklıkla yalan söylüyorlar.
Liska, “Fidye yazılımı grupları sayılarını artırmaya teşvik ediliyor, bu nedenle sitede listelenen kurbanlar çoğunlukla uyduruluyor veya geri dönüştürülüyor” dedi. Kolluk kuvvetleri operasyonu kesintiye uğrattıktan sonra “Bunu şimdi LockBit'te görüyoruz. Hiçbir üye onlara güvenmiyor, bu yüzden alakalı görünmek için eski kurbanları yeni olarak yeniden listelemek zorunda kalıyorlar” (bkz: Fidye Yazılımı Operasyonu LockBit, Dark Web Sızıntı Sitesini Yeniden Başlatıyor).
Aynı durum, geçen Aralık ayında BlackCat, diğer adıyla Alphv'nin kesintiye uğraması ve ardından veri sızıntısı blogunda 27 yeni kurbanın olduğu “iddia edilmesi” sonrasında da yaşandı. Bohuslavskiy, “Eh, bu 'iddia' 27 logoydu ve hiçbir kanıt dosyası yoktu” dedi, bunun tamamen uydurma olduğu anlamına geliyordu. Kendisi, basında çıkan haberlerin sıklıkla grubun 27 yeni kurbanının olduğunu eleştirmeden bildirdiğini söyledi.
Cevap nedir? Fidye yazılımı saldırısının hacmi, etkisi ve kurbanların fidye ödeme eğilimleri hakkındaki diğer bilgi kaynakları, kamuya açık olmasalar ve genellikle yalnızca derlenmiş biçimde yayınlanmalarına rağmen hâlâ mevcuttur.
Callow, “Mükemmel olmasa da, olay müdahale şirketlerinden, blockchain analiz şirketlerinden ve sigorta şirketlerinden gelen veriler, fidye yazılımı faaliyeti konusunda sızıntı site paylaşımlarından çok daha iyi bir gösterge sağlıyor” dedi (bkz: Rekor Kıran Fidye Yazılımı Kârı 2023'te 1 Milyar Doları Aştı).
Bunun yerine bu bilgilere güvenin. Fidye yazılımı gruplarının veya onların potansiyel ulus devlet destekçilerinin, insanlığa karşı suçlar işleyerek toplumu bozmasını veya bu suçlardan daha az sorumlu tutulmasını kolaylaştırmayın.