Help Net Security röportajında, WithSecure Tehdit İstihbaratı ve Tanıtım Direktörü Tim West, siber suç operasyonlarının artan rekabete, değişen yapılara ve parçalanmış bir ekosisteme nasıl uyum sağladığına odaklanarak, Hizmet Olarak Fidye Yazılımı (RaaS) konusunu ele alıyor.
West, bu değişikliklerin hedeflenen sektörler, özellikle mühendislik ve üretim için olan etkilerinden bahsediyor ve fidye yazılımı aktörlerinin ikili kullanım araçlarına giderek daha fazla güvenmelerini inceliyor.
Fidye yazılımı hizmeti (RaaS) manzarası nasıl evrimleşti? Bu operasyonların nasıl yapılandırıldığı veya çektikleri iştirakçi türlerinde bir değişim mi görüyoruz?
Yerleşik markalar iştirakçileri çekmeye çalıştıkça artan rekabet görüyoruz. LockBit ve ALPHV gibi önemli grupların ortadan kalkmasıyla birlikte, birçok iştirakçi “göçebe” hale geldi ve uyum sağlayacakları yeni RaaS kolektifleri aradı. Bu, farklı RaaS markalarının bu deneyimli operatörleri çekmek için daha çekici koşullar, daha iyi araçlar ve güvenilir ödemeler sunmaya çalışmasıyla ekosistem içindeki rekabeti yoğunlaştırdı.
Medusa ve Cloak gibi daha küçük gruplar, dağılmış kuruluşların iştirakçilerine katılmaları için cazip teşvikler sunar. Örneğin, Medusa, LockBit ve ALPHV iştirakçilerine %90’a kadar kar paylaşımı sunar ve Cloak, iştirakçilerin herhangi bir ilk ödeme yapmadan ücretsiz olarak katılmalarına olanak tanır.
Yani, yapısal olarak, birçok fidye yazılımı operasyonu daha modüler ve merkezi olmayan bir yaklaşıma doğru kaymıştır. Tüm saldırı zincirini yöneten tek bir dikey olarak entegre grup yerine, birçok başarılı RaaS modeli artık gevşek bir şekilde bağlı ağlar olarak düşünülebilir.
Farklı gruplar, ilk erişim, yanal hareket veya gasp gibi bir saldırının belirli aşamalarında uzmanlaşır. Rollerin bu şekilde ayrılması, atıfları daha karmaşık hale getirmiş ve ekosistemin kolluk kuvvetlerinin eylemleri gibi kesintilere karşı dayanıklılığını artırmıştır.
İlk Erişim Brokerlerinin (IAB’ler) rolü de RaaS ekosistemi içinde evrimleşmiştir. Bu IAB’ler iyi finanse edilebilir ve oldukça yetenekli olabilir, güvenilir, ölçeklenebilir erişim sağlayarak çeşitli kötü niyetli aktörleri destekleyebilir.
Aktörler, fidye yazılımı operatörleri için giriş engelini düşürerek İnternet genelindeki istismar sürecini endüstrileştirdi. IAB’ler, savunmasız sistemlere erişimi bulma, silahlandırma ve satma konusunda uzmandır. Güvenlik açıklarını istismar etme, filtreleri atlama ve büyük ölçekli tarama ve istismar operasyonlarını yönetme karmaşıklığını ele alırlar. Bu hizmet modeli artık fidye yazılımı iştirakçilerinin derin teknik uzmanlığa ihtiyaç duymadan hazır erişim satın almalarına olanak tanır.
Mühendislik ve üretim gibi belirli sektörleri hedef alan fidye yazılımları artışta görünüyor. Bu sektörler için etkileri nelerdir ve neden özellikle çekici hedefler olabilirler?
Son araştırmamız, 2024’ün ilk yarısında en çok etkilenen sektörün mühendislik ve üretim olduğunu ve gözlemlenen tüm mağdurların %20,59’unun bu sektörlerde olduğunu gösterdi. Bu sektörleri altüst ederken ortaya çıkan yüksek operasyonel etki, onları cazip hedefler haline getirebilir. Bu sektörlerdeki kesintiler önemli mali kayıplara, kaçırılan son tarihlere ve hatta sözleşmesel cezalara yol açabilir. Zamana duyarlı üretim programları, operasyonları eski haline getirmek için fidyeleri hızla ödeme baskısını artırır.
Çoğu RaaS aktörü belirli sektörlerden ziyade güvenlik açıklarını ve fırsatları hedefleme eğiliminde olsa da, karmaşık tedarik zincirleri siber güvenlik operasyonlarını zorlaştırabilir. Her iki sektör de çeşitli tedarikçiler, ortaklar ve müşterilerle derinlemesine bağlantılıdır. Tek bir varlığa yönelik başarılı bir fidye yazılımı saldırısı, tedarik zinciri boyunca kademeli etkilere sahip olabilir ve saldırının etkisini artırabilir. Bu bağlantı, fidye yazılımı gruplarının müzakereler sırasında sahip olduğu kaldıracı artırır çünkü uzun süreli kesintinin sonuçları, doğrudan kurbanın çok ötesine uzanır.
Tasarımlar, planlar ve ticari sırlar da dahil olmak üzere tescilli veriler ve fikri mülkiyet (FM), rekabette üstünlük sağlamak ve dolayısıyla hırsızlık veya satış için karlı varlıklar elde etmek açısından kritik öneme sahiptir.
Ayrıca fidye yazılımı gruplarının sağlık hizmetleri gibi kritik sektörlerden kaçınma gibi daha önceki uygulamalardan vazgeçtiğini gördük. Toplum üzerindeki etki açısından, bu saldırılar genellikle çok daha ciddidir. Daha önce fidye yazılımı grupları, hükümet veya kolluk kuvvetlerinin ciddi tepkilerini tetikleyebilecek sektörleri hedeflemekten büyük ölçüde kaçınmıştı. Her ne kadar genel sağlık hizmetleri saldırılarının sayısı, 2024’te genel kurbanların oranı olarak tutarlı kalsa da.
Fidye yazılımı grupları, ödeme yapabilecek kaynaklara sahip olduğu düşünülen her türlü kuruluşu ayrım gözetmeksizin hedef alacaktır. Ayrıca, bu sektörlerin siber güvenliğe finansal veya teknoloji sektörlerine kıyasla geçmişte yetersiz yatırım yapmış olması onları cazip hedefler haline getirir.
Fidye yazılımı aktörleri arasındaki güven azalıyor gibi görünüyor. Bu güvensizliğin fidye yazılımı ekosistemini nasıl etkilemesi muhtemel ve daha parçalı veya merkezi olmayan operasyonlara yol açabilir mi?
‘Hırsızlar arasında onur yoktur’ ifadesini her zaman duyarız ve bu, son fidye yazılımı olaylarının bazılarında gerçekten belirginleşiyor. Son zamanlarda, iştirakçilerin kazançlarının dolandırıldığı iddia edilen ALPHV çıkış dolandırıcılığını gördük. Bu nedenle, bu tür olaylar ve LockBit gibi daha büyük gruplara yönelik baskılar, siber suçlu topluluklarında bir güvensizlik duygusu ve artan gerginlik yaratıyor olabilir.
Güven bozuldukça, daha parçalanmış bir fidye yazılımı ekosistemi görmemiz muhtemeldir. Sadık iştirakler kendi markalarını oluşturmak veya daha güvenilir olarak algıladıkları diğer gruplara bağlılıklarını kaydırmak için ayrılabilirler. Bu parçalanma, daha küçük, daha az öngörülebilir fidye yazılımı kolektiflerinin ortaya çıkmasına yol açabilir.
DarkSide’ın 2021’deki Colonial Pipeline saldırısından sonra BlackMatter olarak yeniden markalaşmasına benzer şekilde, doğrudan 1’e 1 yeniden markalaşmalar görebiliriz. Ancak, tek bir varyantın iştiraklerinin birden fazla yeni marka doğurduğu 1’e çok yeniden markalaşmaların daha belirgin hale geldiğini de görüyoruz. Örneğin, 8base ve Faust gibi fidye yazılımı varyantları, tek bir kaynağın türevleri olabilir.
Türü ne olursa olsun, bu parçalanma ve merkeziyetsizlik kolluk kuvvetlerinin belirli grupları hedeflemesini zorlaştırır, çünkü geleneksel hiyerarşik modeller daha akışkan ve dağıtılmış aktör ağlarına yol açar. Aynı zamanda, bir savunmacının bakış açısından, siber suçlular arasındaki güvensizlik faydalıdır, çünkü onları muhtemelen daha az etkili, daha az verimli ve savunulması daha kolay hale getirir.
Fidye yazılımı aktörleri tarafından ikili kullanım araçlarının artan kullanımı, tespit ve müdahaleyi karmaşıklaştırıyor. Güvenlik ekipleri, bu araçlardan kaynaklanan tehditleri daha iyi tespit etmek ve azaltmak için stratejilerini nasıl uyarlamalı?
RaaS aktörleri tarafından yaygın olarak kullanılan araçlar arasında uzaktan erişim için PDQ Connect, Action1, AnyDesk ve TeamViewer ile veri sızdırma için rclone, rsync, Megaupload ve FileZilla yer alıyor. Bunlar BT operasyonlarında yaygın olarak kullanılan meşru yazılım araçlarıdır. Bu nedenle, bu çift amaçlı yapı, geleneksel kötü amaçlı yazılımlara karşı kontrollerden kaçınmalarına ve normal ağ etkinliğine sorunsuz bir şekilde karışmalarına olanak tanır ve bu da algılama ve yanıtlamayı daha zor hale getirir. Geleneksel imza tabanlı algılama yöntemleri, bu tür çift kullanımlı araçlara karşı daha az etkilidir.
Güvenlik ekipleri, yalnızca bilinen kötü amaçlı yazılım imzalarına güvenmek yerine, alışılmadık veya şüpheli davranış kalıplarını belirlemeye odaklanarak davranış analizine yönelmelidir. Örneğin, TeamViewer gibi normalde zararsız bir araç normal iş saatleri dışında veya alışılmadık bir IP adresinden kullanılıyorsa, bu kötü amaçlı bir faaliyete işaret edebilir.
Kuruluş içinde ikili kullanım araçları için normal aktivitenin bir taban çizgisini oluşturmak kritik öneme sahiptir. Tipik kullanım modellerini anlayarak, güvenlik ekipleri kötüye kullanımı gösterebilecek sapmaları daha etkili bir şekilde tespit edebilir. Örneğin, rclone gibi bir araç aniden büyük miktarda veriyi bilinmeyen bir harici sunucuya aktarmak için kullanılırsa, araç meşru olsa bile bu bir uyarıyı tetiklemelidir.
Maruziyet yönetimi çözümleri de önemli bir rol oynayabilir. Bu teknolojiler, güvenlik ekiplerine geniş ağları genelinde kapsamlı görünürlük sağlar ve meşru araçlar aracılığıyla istismar edilebilecek savunmasız sistemleri, yanlış yapılandırmaları veya yüksek riskli varlıkları belirler.
Fidye yazılımı aktörlerinin geleneksel şifreleme saldırıları yerine veri hırsızlığına öncelik verme eğilimi daha belirgin hale geliyor. Bu, kuruluşlar için risk manzarasını nasıl değiştiriyor ve savunma önlemlerinin odak noktası ne olmalı?
UP, finansal kayıtlar ve müşteri bilgileri gibi yüksek değerli verilerin çalınması, siber suçlulara fidye müzakerelerinde güçlü bir avantaj sağlar. Kuruluşlar ayrıca müşteri güveninin kaybı, düzenleyici cezalar ve itibar kaybı gibi uzun vadeli hasarlarla karşı karşıya kalır.
Siber suçlular, veri hırsızlığına odaklanmanın, tüm bir organizasyonda tam ölçekli şifreleme dağıtmaktan daha az zaman ve daha az kaynak gerektirdiğini fark eder. Bu ‘vur ve kap’ yaklaşımı, saldırganların saldırıları hızla gerçekleştirmelerine ve bir sonraki hedefe geçmelerine olanak tanır ve genel verimliliklerini artırır.
Bu taktiklere karşı savunma, veri korumasına acil bir odaklanma gerektirir. Kritik öncelikler arasında hassas verileri belirlemek ve güvence altına almak, sıkı erişim kontrolleri uygulamak ve şüpheli veri erişimi ve sızdırma faaliyetlerini sürekli olarak izlemek yer alır.
Ek olarak, hareketsiz ve aktarım halindeki veriler için şifreleme uygulamak, çalınan verilerin değerini azaltabilir. Fidye yazılımı aktörleri verileri sızdırmayı başarırsa, şifrelenmiş veriler karşılık gelen şifre çözme anahtarları olmadan okunamaz ve kullanılamaz kalır.
Aynı zamanda, yedekleme stratejileri ve ağ segmentasyonu gibi fidye yazılımı şifrelemesine karşı geleneksel savunma yöntemleri önemini koruyor.
İşletmeler ayrıca olay yanıt planlarının veri hırsızlığının getirdiği benzersiz zorlukları ele aldığından emin olmalıdır. Bu, olası çift gasp senaryolarına hazırlanmayı ve müşteriler ve diğer paydaşlarla sonuçları yönetmeye hazır olmayı içerir.
Genel olarak, kuruluşlar veri güvenliğine odaklanmalarını artırmalı ve daha karmaşık gasp senaryolarına hazırlıklı olmalıdır. Güçlü ifşa yönetimi ve ihlal engellemeye odaklanan olgun güvenlik araçlarına sahip olanlar, bu gelişen tehditleri azaltmak için daha iyi konumdadır.