Check Point Tehdit İstihbaratı Grup Yöneticisi Sergey Shykevich tarafından
En son baskısında yıllık Güvenlik RaporuCheck Point Yazılım Teknolojileri, Rusya-Ukrayna ihtilafına yanıt olarak saldırı düzeylerinin tüm zamanların en yüksek seviyesine ulaştığı siber güvenlik alanında çalkantılı bir yılı geride bıraktı.
Ama gelecekte ne bekleyebiliriz?
Bu makalede, Check Point’te Tehdit İstihbaratı Grup Yöneticisi olan Sergey Shykevich, fidye yazılımlarının bir para kazanma alıştırmasından son derece organize operasyonlara doğru evrimini inceliyor.
Fidye yazılımı, bir kuruluşun güvenliğine yönelik en büyük tehditlerden biridir. İlk günlerde saldırılar, rastgele seçilen kurbanlara çok sayıda otomatik yük geliştiren ve dağıtan, her “başarılı” saldırıdan küçük meblağlar toplayan tek kuruluşlar tarafından yürütülüyordu.
Günümüze hızla ilerleyin ve bu saldırılar, birkaç hafta boyunca birden fazla varlık tarafından gerçekleştirilen, çoğunlukla insan tarafından yürütülen süreçler haline geldi.
2022’de her 13 kuruluştan 1’i Fidye yazılımı saldırısı girişimine maruz kalırken, Rus bilgisayar korsanları Conti Maliye Bakanlığı’nı ihlal edip 20 milyon dolarlık fidye talep edince Kosta Rika hükümeti ulusal bir acil durum ilan etmek zorunda kaldı.
Ancak 2023’e doğru ilerledikçe, bildiğimiz fidye yazılımları gelişiyor: kurban sayısı azalıyor ve bilgisayar korsanlarının talepleri değişiyor.
Bunun iyi bir şey olduğunu düşündüğünüz için affedilebilirsiniz, ancak aslında bunun nedeni, fidye yazılımı ekosisteminin giderek daha fazla parçalanmış, ancak buna paralel olarak, belirli hedeflere çok daha fazla odaklanmış ve daha karmaşık hale gelmesidir. Her gün yeni kötü amaçlı yazılım çeşitleri ortaya çıkıyor ve bu da karmaşık ve gezinmesi zor bir tehdit ortamı yarattı.
Odağı şifrelemeden haraç almaya kaydırmak
Kötü aktörlerin odak noktası fidye ödemelerinden uzaklaştı ve artık şifrelenmemiş verileri zorla almaya odaklandı.
Neden? Şifrelenmemiş veriler daha değerlidir. Neredeyse anında kamu malı olarak yayınlanabilir, bu da kurbanların bedeli ne olursa olsun onu geri almak için can atacakları anlamına gelir.
Kurumsal finansal ve tescilli verilerden fiziksel veya zihinsel sağlıkla ilgili kişisel verilere, finansal verilere veya diğer herhangi bir kişisel tanımlanabilir bilgiye (PII) kadar birçok farklı bilgi türü hassas kabul edilir ve bu da veri ifşası tehdidini daha da güçlü hale getirir.
Bazı gruplar artık şantaj parası almak için yalnızca veri ifşa etme tehditlerine güvenerek şifreleme aşamasını tamamen atlıyor. Veri hırsızlığı, tüm ağı şifrelemekten, şifrelemeyi profesyonelce uygulamaktan ve fidye ödendiğinde şifrenin çözülmesine yardımcı olmaktan çok daha kolaydır. Siber suçlular daha azını yapıp daha fazlasını elde etmenin yollarını buluyor.
Ekim 2022’de Avustralyalı bir sağlık sigortası şirketi olan Medibank’a düzenlenen saldırıda, kişisel verilerin ifşa edilmesi tehdidinin etkinliğinin uç bir örneği gösterildi.
Şirket, 10 milyon dolarlık fidye taleplerini ödemeyi reddettiğinde, saldırganlar (muhtemelen REvil grubuyla bağlantılı), hamileliğin sonlandırılması, uyuşturucu ve alkol kötüye kullanımı, akıl sağlığı sorunları ve milyonlarca kişiye ilişkin diğer gizli tıbbi verilerle ilgili büyük miktarda kişisel bilgiyi çöpe attı. Avustralya ve uluslararası müşteriler.
Hizmet Olarak Fidye Yazılımının (RaaS) evrimi
Fidye yazılımı ekosistemi parçalanırken, Hizmet Olarak Fidye Yazılımı (RaaS) dahil olmak üzere daha çekici iş modellerine doğru bir dönüş görüyoruz.
Genellikle insan tarafından çalıştırılan fidye yazılımı olarak anılır, RaaS’ı bu kadar tehlikeli yapan insan yönüdür. İnsan saldırganlar, bireysel hedeflere özel olarak uyarlanmış çok çeşitli saldırı modelleriyle sonuçlanan hesaplanmış kararlar alabilir.
Karanlık ağ üzerinden erişilebilen bu, esasen iki taraf arasındaki bir düzenlemedir. Biri saldırı gerçekleştirmek için araçlar geliştirir, diğeri ise yükü dağıtır.
Saldırı başarılı olursa, her iki taraf da kârdan pay alır ve RaaS’ın ilk maliyeti ve erişilebilirliği bunu çok kolaylaştırır. Herkes bir kit satın alabilir ve bir saldırıyı gerçekleştirmek için yalnızca iyi yazılmış oyun kitaplarına ve bazı temel teknik bilgilere ihtiyaç duyarlar.
RaaS son derece kârlıdır ve onu satan herkes yetkililer için en önemli hedeftir. Örneğin, 2021’de ABD Dışişleri Bakanlığı, RaaS uzmanı DarkSide’ın yerini belirleyen bilgiler için 10 milyon dolarlık bir ödül teklif etti.
Güvenlik liderleri, teknoloji sektöründeki fazlalıkların potansiyel bir sonucu olarak RaaS’ın önümüzdeki 12 ay içinde popülaritesinin artacağından endişe ediyor. Örneğin, 2023’ün ilk iki ayında 107.000’den fazla teknoloji sektörü çalışanı işini kaybetti.
İşten çıkarmaların çoğu, teknoloji odaklı işlerin az olduğu uzmanlık alanlarında gerçekleşti ve hoşnutsuz çalışanların becerilerini kötü aktörleri desteklemek için kullanma tehdidi siber suç alanına sızmaya başlayabilir.
Fidye yazılımı, ele alınması gereken önemli ve maliyetli bir tehdittir. Ancak dünyanın dört bir yanındaki hükümetler bu gruplara karşı saldırgan eylemlere doğru ilerlerken dalgaların değiştiğini görüyor muyuz?
Bilgisayar korsanlarını hacklemenin zamanı geldi mi?
Dünyanın dört bir yanındaki ülkeler zaten saldırgan bilgisayar korsanlığı yeteneklerine sahip. Ocak 2023’te ABD Başsavcısı, FBI ve uluslararası ortaklarının üretken fidye yazılımı çetesi Hive’ın ağını geçici olarak bozmayı başardığını duyurdu. Gerçekte, bilgisayar korsanlarını hacklemişlerdi.
2022’de başlayan operasyon, çok sayıda devlet kuruluşunu milyonlarca dolar fidye ödemekten kurtardı.
Örneğin, bir olayda FBI, Teksas’taki bir okul bölgesine yönelik bir saldırıyı durdurmayı başardı ve hacker’lara 5 milyon dolarlık ödeme yapmasını engelledi. Saldırıda hacklemenin işe yaradığının açık kanıtı ve önümüzdeki 12 ay içinde daha fazla kuruluşun bu yöntemi benimsediğini görebiliriz.
Benzer şekilde, Avustralyalı telekomünikasyon devi Optus ve sigorta devi Medibank’a karşı arka arkaya iki büyük siber saldırının ardından, Avustralya siber güvenlik bakanı “bilgisayar korsanlarını hackleme” sözü verdi.
Aralık 2022’de Japonya, yabancı bilgisayar korsanlarına karşı saldırgan siber operasyonlara izin verecek yasaları değiştirme sürecini de başlattı.
Şu soruyu akla getiriyor; Daha fazla grup bir saldırı başlatmadan önce saldırıya uğrayabileceklerini bilselerdi, bu konuda iki kez düşünürler miydi?
Fidye yazılımının evriminin çözümü nedir?
Fidye yazılımı saldırılarını önlemenin bir yolu, ödeme yapan kuruluşlara bir yasak getirmektir. Örneğin Florida ve Kuzey Karolina’da devlet kurumlarının fidye ödemesi yasa dışıdır ve Avustralya ödeme yasaklarını kanun haline getirmeyi düşünmektedir.
Ancak bu, kötü aktörlerin özellikle uzun süreli kapalı kalma süreleriyle başa çıkma olasılığı en düşük olan kuruluşları hedef almasına neden olabilir.
Hastaneler, enerji sağlayıcıları ve okullar ana hedefler haline gelebilir ve topluma veya bireylere gerçekten zarar verme tehdidi bu kuruluşları ödeme yapmaya zorlayabilir.
Erken dönem fidye yazılımının unsurları devam etse de, yöntemlerin ve yürütmenin geliştiği inkar edilemez. Eskiden kârla ilgiliydi, ama şimdi bundan çok daha fazlasıyla ilgili. Tehdit ortamı daha parçalı hale geldikçe ve RaaS gelişmeye devam ettikçe, 2023 ona karşı mücadelede çok önemli bir yıl olabilir.