Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Fırsatçı, Daha Az Gelişmiş Bilgisayar Korsanları Kodun Yeniden Kullanımı Kavramının Sınırlarını Test Ediyor
Mathew J. Schwartz (euroinfosec) •
9 Haziran 2023
Fidye yazılımı bilgisayar korsanları, zorba kötü amaçlı yazılımlar için azalan getiri hayaletiyle yüzleşirken, kodun yeniden kullanımı kavramının sınırlarını zorluyor.
Ayrıca bakınız: Olaya Hazırlık ve Müdahalenin Kritik Doğası
Kullanıcılar, belki de öncekilerden daha az bilgili olan fırsatçı girişler piyasaya girerken ve fidye yazılımı değiş tokuşuna (sistem restorasyonu için para) uymaya daha az istekli olsalar bile ödeme konusunda daha isteksizdir.
Yılın başında, kurbanlarla çalışan ve kripto para akışları da dahil olmak üzere siber suç ekosistemini takip eden uzmanlar, kurbanlar ödeme yaptığında daha az fidye ödendiğini ve ortalama olarak daha az ödendiğini bildirdi.
Siber sigorta şirketi Corvus, fidye ödeyen poliçe sahiplerinin yüzdesinin 2021’de %33’ten 2022’de %28’e düştüğünü bildirdi. Fidye yazılımı olay müdahale şirketi Coveware, yardım ettiği kurbanlar için 2022’de %41’e, 2019’da %79’a karşılık geldiğini bildirdi.
Esas olarak Rus şantaj gruplarına ve siber savunucu faaliyetlerine karşı sertleşen tutumların bir sonucu olan bu daraltıcı pazar, yeni aktörleri küçülen bolluktan para kazanmaya çalışmaktan caydırmıyor. Para kazanma telaşı içinde, bazı yeni oyuncular, ısmarlama kripto kilitleme yazılımını kodlama zahmetine katlanmak yerine önceki fidye yazılımı gruplarının atılan kalıntılarını topluyor ve fidye yazılımlarını bir araya getiriyor.
Recorded Future’ın baş istihbarat analisti Allan Liska, buna Frankenstein fidye yazılımı deyin, dedi. Kurbanlar, saldırganlar tarafından çalınan veya sızdırılan kod parçalarını kullanarak oluşturulan kötü amaçlı yazılımlardan etkileniyor. Liska, teknik olarak, Frankenstein’ın canavarı olması gerektiğini söyledi – o, mezar soyulmuş parçalardan bir araya getirilmiş – ama siz sürüklenmeyi anlıyorsunuz.
Şubat ayından itibaren VMware sistemlerini hedeflemek için kullanılan ESXiArgs kötü amaçlı yazılımı, “bir fidye yazılımından fidye notu, başka bir fidye yazılımından şifreleme şeması, yeni bir fidye yazılımı oluşturmak için bir tür bir araya getirilmiş” ödünç alan böyle bir canavardır. San Francisco’daki RSA Konferansı.
“Yeni fidye yazılımı varyantları açısından gördüğümüz şeylerin çoğu, gerçekten başka bir fidye yazılımı adamı tarafından yeniden amaçlanan çalıntı kodlar” dedi.
Bu yaklaşımı benimseyen diğer yeni gelenler arasında, 2021’de sızan Paradise kripto-soyunma kaynak kodunu uyarlamış gibi görünen Rapture yer alıyor. gazpromAdını Rus gaz devinden alan ve Rusya başkanının ASCII sanatını içeren bir fidye notuyla birlikte sızdırılmış Conti kaynak kodunu kullanıyor. Yeni gelenler RA Group, Rorschach ve RTM Locker da Eylül 2021’de sızan Babuk kaynak kodunu kullanıyor.
Ne yazık ki saldırganlar ve kurbanları için mesafe değişkenlik gösteriyor – özellikle de suçluların teknik becerilerine bağlı olarak.
Kötü amaçlı yazılım araştırma sitesi vx-underground suçluları çağırdı grubun patlamasını hızlandırmaya yardımcı olan – büyük dosya türlerinin şifresini çözememe de dahil olmak üzere – birçok kod düzeyinde sorunu düzeltmedikçe sızdırılan Babuk kaynak kodunu kullanmayı durdurmak için (bkz:: Gouda Hacker: Cheese’i Etkileyen Fidye Yazılımı Vuruşuna İlişkin Ücretler).
Babuk kullanıcılarına vx-underground, “Bir suç grubu olacaksanız, bunu doğru yapın. Kurbanlarınız dosyaları kurtaramayacak” dedi.
Büyük Riskler: Kötü Hatalar, Eski Kod
Fidye yazılımları devam ederken, saldırıları daha iyi köreltmek için savunucuların daha fazlasını yapması gereken bir şey var mı? Verizon’un en son yıllık veri ihlali raporu, ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatının yöneticisi Jen Easterly’nin çok faktörlü kimlik doğrulamayı çok daha yaygın bir şekilde kullanması yönünde yaptığı bir çağrıyı içeriyor. Bu genellikle kolayca çalınabilen kimlik bilgilerinin kullanımını doğrudan engeller.
Easterly, “Özellikle, sistem yöneticileri ve hizmet olarak yazılım personeli gibi ‘yüksek değerli hedeflerin’ kimlik avına dayanıklı MFA kullanması çok önemlidir.”