Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Clop’un Zero-Day Kitlesel Sömürüsü ve Gaspı, Yüksek Etkili İnovasyonun Doruk Noktasıdır
Mathew J. Schwartz (euroinfosec) •
24 Temmuz 2023
Clop grubunun MOVEit dosya aktarım yazılımından toplu olarak yararlanması, sürekli gelişen fidye yazılımı ekosistemindeki yeniliğin en son aşamasını temsil ediyor.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Bugünün Tehditlerine Karşı Savunma
Tüm siber suçlarda olduğu gibi, suçluların zorunluluğu basittir: en az çaba, zaman ve riskle yasadışı kazançları en üst düzeye çıkarmak. Rusça konuşan suç grubu Clop’un saldırıları en az 421 kuruluşu ve muhtemelen çok daha fazlasını etkiledi.
Fidye yazılımı müdahale şirketi Coveware, “Clop grubunun MOVEit kampanyasından 75 milyon ila 100 milyon dolar kazanması muhtemeldir, bu meblağ çok yüksek fidye ödemelerine yenik düşen bir avuç kurbandan gelir.” “Bu, nispeten küçük bir grubun sahip olması için tehlikeli ve şaşırtıcı bir para miktarı.”
Clop’un başarısı, fidye ödeyen kurbanların sayısındaki düşüşe rağmen geliyor. Coveware, bu yılın ikinci çeyreğinde araştırılmasına yardımcı olduğu binlerce vakaya dayanarak, “bir şifreleme saldırısından başarılı bir şekilde ödeme almanın zorlaştığını” ve ödeme yapan kuruluşların sayısının yılın ilk üç ayındaki %45’ten %34’e düşerek rekor bir düşük seviyeye düştüğünü bildirdi.
Ancak kurbanlar ödeme yaptıklarında daha fazla ödediler – Clop’un kampanyası sayesinde ilk çeyreğe göre %126 artışla ortalama 740.144 dolar. Ortalama fidye yazılımı ödemesi de %20 artarak 190.424 dolara ulaştı.
Fidye yazılımı karlarının azalmasıyla birlikte gruplar, onları tekrar yukarı çekmek için yeni stratejiler araştırıyor. Clop gibi gruplar taktiklerini fidye yazılımlarından veri hırsızlığı ve şantajlara kaydırırken, diğer gruplar daha büyük kurbanları hedef alarak daha büyük ödemeler peşinde koşuyor. Coveware’e göre, bazı üye kuruluşlar, birçok Dharma ve Phobos iş ortağının 8Base adlı yeni bir hizmeti benimsemesiyle, hizmet sağlayıcı olarak fidye yazılımı bağlılığını değiştiriyor.
Çok sayıda suç grubu, kripto kilitlemeli kötü amaçlı yazılımları kullanmaya devam ediyor. İkinci çeyrekte gördüğü en başarılı saldırı sayısı BlackCat veya Black Basta fidye yazılımıydı, ardından Royal, LockBit 3.0, Akira, Silent Ransom ve Cactus geldi.
Kripto-kilitleme kötü amaçlı yazılımlarının bir dezavantajı, en büyük olası fidye ödemesinin peşinde koşarak olası en büyük kurbanları devirmek için tasarlanan saldırıların, klavye başında geçirilen süre de dahil olmak üzere, tipik olarak önemli düzeyde manuel çaba gerektirmesidir. Grupların ayrıca bir ilk erişim aracısından hedef için çalınan kimlik bilgilerini satın alması, penetrasyon testi uzmanlarına ödeme yapması veya gelirleri diğer bağlı kuruluşlarla paylaşması gerekebilir. Saldırı sonunda başarısız olursa veya kurban fidye ödemeyi reddederse, bu yatırım boşa gitmiş olur. Bu nedenle, kripto-kilitleme kötü amaçlı yazılımı kullanmanın değil, veri gasp etmenin çekiciliği.
İnovasyon Öder
Clop, hedeflere dikkatlice ve manuel olarak girmek zorunda kalmadan ödeme alma şansını en üst düzeye çıkarmak için bir güvenlik açığından toplu olarak yararlanarak yalnızca gasp amaçlı saldırılar deniyor. Siber güvenlik danışmanlığı şirketi NCC Group yakın tarihli bir araştırma raporunda, “Son iki yılda Clop, cihazlardaki Clop fidye yazılımının konuşlandırılmasına veya kurban kuruluşların verilerinin çalınmasına yol açabilecek dört güvenlik açığını kötüye kullandı” dedi.
Clop’un bu güvenlik açıklarını nasıl öğrendiği belirsizliğini koruyor. Muhtemel bir açıklama, grubun üçüncü bir tarafa veya bireye özel kullanım için ödeme yapması ve hatta belki de onları en başta yaygın olarak kullanılan dosya aktarım yazılımındaki kusurları aramaları için görevlendirmesidir.
Clop’un tedarik zinciri saldırılarının etkisi artmaya devam etti. Grubun, GoAnywhere MFT güvenli yönetilen dosya aktarımı yazılımı kullanıcılarına karşı 25 Ocak’ta başlayan ve satıcı Fortra’nın 7 Şubat’ta kusuru yamasına kadar devam eden kampanyası, en az 130 farklı kurbana yol açtı.
Clop, Progress Software’in MOVEit dosya aktarım yazılımından toplu olarak yararlanmasını 29 Mayıs civarında başlayacak şekilde zamanladı, bu muhtemelen Amerika Birleşik Devletleri’ndeki Anma Günü tatil hafta sonundan yararlanmak ve mümkün olduğu kadar çok kurbanı bir araya getirmek içindi. Grup, uzmanların 1.000’den fazla kuruluş olabileceğini söylediği MOVEit sunucularından verileri çalmak için CVE-2023-34362 olarak adlandırılan sıfırıncı gün güvenlik açığından yararlandı. Bu, sunucuları çalıştıran kurbanları ve özellikle hizmet sağlayıcılar için bu kurbanların müşterilerini içerir.
Bilinen kurbanlar arasında UCLA, Siemens Energy, danışmanlık firmaları EY ve PwC, gaz ve petrol devi Shell, PBI Research Services, TIAA, ABD hükümetinin Enerji ve Tarım dairelerinin yanı sıra Personel Yönetimi Ofisi, Louisiana ve Oregon’un motorlu taşıt kayıtları, İngiliz iletişim düzenleyicisi Ofcom, Kanada eyaleti Nova Scotia hükümeti ve Amerika Öğretmenler Sigorta ve Yıllık Gelir Derneği yer alıyor.
Clop, yalnızca 48 saat sürmüş olabilecek MOVEit kampanyasını başlatmadan önce aşırı sabır göstermiş görünüyor. Olay müdahale firması Kroll’daki güvenlik araştırmacıları, saldırganların CVE-2023-34362’yi bildiklerini ve en az Temmuz 2021’den beri manuel saldırılar yoluyla bunu denediklerini bildirdiler. Kroll’un araştırmacıları, “Clop tehdit aktörleri, GoAnywhere MFT güvenli dosya aktarım aracından yararlanmadan önce MOVEit Transfer güvenlik açığından yararlanma potansiyeline sahipti… ancak saldırıları paralel yerine sıralı olarak gerçekleştirmeyi seçti” dedi.
Elbette bir risk, Clop’un veya başarısını taklit etmeye çalışan başka bir fidye yazılımı grubunun, yaygın olarak kullanılan yazılımlar için şu anda kullanılmayı bekleyen daha fazla sıfır gün güvenlik açığına sahip olmasıdır.