Geçtiğimiz yıl fidye yazılımının kurbanı olan şirketlerin neredeyse üçte biri, saldırıdan önceki aylarda en az bir bilgi hırsızı enfeksiyonuna maruz kalmıştı.
Siber saldırılar, özellikle de fidye yazılımı saldırıları, yalnızca sürpriz olduklarında işe yarar. Tarih boyunca fidye notlarının neredeyse her zaman yalnızca gerçekleri belirterek açılmasının nedeni budur: “Ağınız ihlal edildi” veya “Oops, dosyalarınız şifrelendi.” Bir saldırının yaklaşmakta olduğuna dair herhangi bir fikri olan şirketler, dosyalarını yedekleyip şifreleyerek bunu kolayca önleyebilir. Bu yüzden SpyCloud’un 2024 “Kötü Amaçlı Yazılım ve Fidye Yazılımı Savunma Raporu”nda belirttiği gibi, geçen yılki tüm fidye yazılımı olaylarının neredeyse üçte birinin bir bilgi hırsızı enfeksiyonunun habercisi 16 hafta öncesinde.
Fidye yazılımlarından önce bilgi hırsızları saldırganlar için yararlı bir kombinasyondur. Daha az açık olan şey ise, saldırganların sürpriz avantajını azaltmaya yardımcı olmak için savunucular için yararlı olup olamayacağıdır.
Fidye Yazılımının Kanaryası mı?
Sophos tarafından gözlemlenen son saldırıda, Qilin fidye yazılımı çetesi VPN portalı üzerinden hedefine ulaştı. 18 gün bekledi, sonra özel bir bilgi hırsızı konuşlandırıldı Google Chrome’dan kimlik bilgilerini ele geçirmek için. Ancak daha sonra gerçek bir fidye yazılımı bıraktı.
Qilin gibi üst düzey grupların anahtar teslim işler yapma kapasitesi olabilir, ancak daha yaygın olanı, ilk erişim aracılarının (IAB’ler) işleri bölmek için fidye yazılımı aktörleriyle ortaklık kurmasıdır.
WithSecure’da kıdemli tehdit istihbarat analisti olan Stephen Robinson, geçen yıl böyle bir vakayı araştırıyordu. Fail, şu tür yükler sunan bir Vietnam kötü amaçlı yazılım hizmeti (MaaS) operasyonuydu: DarkGate uzaktan erişim Truva Atı (RAT) dijital pazarlamada şirketlere karşı. “Şu şeyle ilgili [tools like] DarkGate, bilgi çalma veya kimlik bilgisi çalma gibi kötü amaçlı yazılımlardan biridir, ancak aynı zamanda kripto para hırsızlığı ve fidye yazılımı dağıtımı gibi bir dizi başka işlevi de vardır,” diye açıklıyor Robinson. Vietnam tehdit aktörlerinin fidye yazılımı saldırılarını kendileri gerçekleştirmeleri gerekmiyordu. Bunun yerine, onlar gibi IAB’ler DarkGate’i yerleştirebilir — veya Kırmızı çizgi, Qakbotveya Rakun — her yere yayılıp, daha sonra erişimlerini bir sonraki kötü adamlara satarak, borsanın her iki tarafının da en iyi yaptıkları işte uzmanlaşmasını sağlarlar.
Blockchain analiz şirketi Chainalysis, 2024 “Kripto Suç Raporu”nda “IAB cüzdanlarına gelen girişler ile kripto para borsalarına gelen girişler arasında bir korelasyon” keşfetti. fidye yazılımı ödemelerinde artışÖrneğin, aşağıdaki grafikte gösterilen fidye yazılımı grubu, milyonlarca dolarlık kampanyaları sırasında birden fazla IAB ile binlerce dolar harcadı.
Kaynak: Chainalysis
“En azından bana göre, bunun yukarı doğru bir eğilim gösterdiği kesin gibi görünüyor,” diyor SpyCloud Labs başkan yardımcısı Trevor Hilligoss. “Bunu düşündüğünüzde mantıklı geliyor. Kötü amaçlı yazılım hizmeti kolaydır, ucuzdur. Ayda birkaç yüz dolar harcayarak saldırılar için önceden oluşturulmuş bir pakete erişebilirsiniz ve bu hırsızların çoğu daha fazla işlevsellik ekliyor.”
Bilgi Hırsızları Fidye Yazılımlarını Tahmin Etmek İçin Kullanılabilir mi?
Kelimenin tam anlamıyla milyon dolarlık soru şu: Fidye yazılımı saldırılarının %30’undan önce bilgi hırsızları geliyorsa, birinin ağındaki bir bilgi hırsızının varlığı, yaklaşan fidye yazılımlarını tahmin etmek için kullanılabilir mi ve bu da savunmacılara hazırlanmak için bir zaman penceresi sağlar mı?
“Gerçekten kim olduğunuza bağlı,” diyor Hilligoss. Ağınızda bir bilgi hırsızı belirdiğinde, “Eğer büyük, çok uluslu bir sigorta grubunun yöneticisiyseniz, çok endişelenirdim ve fidye yazılımının muhtemelen çok uzakta olmadığını düşünürdüm. Eğer [an individual] Kişi veya küçük bir işletmeyseniz, alarmınız orantılı olarak azalır.” Chainalysis de aynı şeyi önererek, “IAB’leri izlemek erken uyarı işaretleri sağlayabilir ve olası müdahaleye ve saldırıların azaltılmasına olanak tanıyabilir.” diye yazdı.
Robinson daha az iyimser bir bakış açısına sahip ve tehdit aktörü ne olursa olsun, bir saldırı zincirindeki ilk adımların oldukça benzer görünme eğiliminde olduğunu savunuyor.
“Sorun şu ki, biri erişim sağlıyor, bazı kimlik bilgilerini çalıyor veya uzaktan izleme yönetim aracı (RMM) yüklüyor. O ilk adımdan itibaren, bundan sonra ne olacağını tahmin edemezsiniz,” diyor. “Beş veya altı farklı grup tarafından bir ağın tehlikeye atıldığı bir vakamız oldu. Kuzey Kore, bazı kripto para madencileri, bir fidye yazılımı grubu, bir IAB vardı. Ve her biri için bir sonraki adımın ne olacağını, onu atana kadar söyleyemezdiniz, çünkü o ilk adımlar hep aynıydı. Ve bilgi hırsızlarının olayı da budur.”
Her iki durumda da Hilligoss, “Bunun olduğunu görürseniz, hemen düzeltin. Açığa çıkan durumu bulun, ağınızdan çalınan tüm verileri bulun, inceleyin ve bu kimlik bilgilerini sıfırlayın – bu kimlik doğrulama belirteçlerini sıfırlayın, bu API anahtarlarını yeniden verin – mümkün olduğunca çabuk. Bu, bu bilgilere erişimi olan bir fidye yazılımı aktörünün bunu gerçekten kullanmasını gerçekten zorlaştıracaktır.” tavsiyesinde bulunuyor.