Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Fidye Yazılımı Müdahale Ekipleri, Muhtemelen Grupların Yerinden Edilen Bağlı Üyelerini de İçeren Bir Artış Görüyor
Mathew J. Schwartz (euroinfosec) •
1 Ağustos 2024
Daha önce büyük ilgi gören Alphv ve LockBit fidye yazılımı operasyonlarının çöküşü, yeraltı suç dünyasını sarstı, bazı eski iştirakleri tek başına faaliyet gösteren operatörlere dönüştürdü ve bazı radar altında kalan grupların rekor seviyede gasp ödemeleri yapmasına neden oldu.
Ayrıca bakınız: Web Semineri | OT Sistemleri için Siber Dayanıklılığı ve Mevzuata Uygunluğu Geliştirme APAC
Fidye yazılımı olaylarına müdahale firması Coveware, yayınladığı raporda, Nisan ayından Haziran ayına kadar izlediği tüm fidye yazılımı saldırılarının %10’unun tek operatörlerden geldiğini, bunun da büyük bir artış olduğunu belirtti.
Coveware, bu bilgisayar korsanlarının büyük ihtimalle Alphv -diğer adıyla BlackCat- veya LockBit’in eski ortakları olduğunu, “ya da ‘zehirli’ fidye yazılımı markalarıyla ilişkili artan ifşa, kesinti ve kar kaybı tehdidi nedeniyle bağımsız olarak faaliyet gösterme kararı alan aktörler” olduğunu söyledi.
Bozulmuş bir fidye yazılımı çetesinin her eski üyesi tek başına gitmeyi seçmiyor. Zscaler ThreatLabz, bu yılın başlarında bir kurbanın Dark Angels fidye yazılımı grubuna tarihin bilinen en yüksek fidyesini, 75 milyon dolar değerinde, ödediğini söyledi. Dark Angels, Mayıs 2022’den beri faaliyet gösteriyor ve Dunghill veri sızıntısı sitesini yönetiyor, ancak “çok az ilgi çekmeyi başardı.”
Blockchain analitik firması Chainalysis, rekor kıran ödemeyi gördüğünü söyledi. Büyük av hayvanı avcılığı veya “daha derin ceplere sahip daha büyük hedeflere yönelik daha az saldırı” son zamanlarda “daha belirgin” hale gelmeye devam ediyor, sosyal platform X’e yaptığı bir paylaşımda söyledi.
Son 75 milyon dolarlık fidyeyi kim ödedi? Zscaler isim vermeyi reddetti ve yalnızca firmanın Fortune 50’nin en kârlı halka açık ABD şirketleri listesinde yer aldığını söyledi. Bleeping Computer’ın bildirdiğine göre, bu, Şubat ayında Fortune 10 ilaç devi Cencora’ya yönelik bir fidye yazılımı saldırısıyla örtüşebilir; saldırıyı ifşa eden ancak ayrıntı vermeyen Cencora.
Hiçbir fidye yazılımı grubu saldırının sorumluluğunu üstlenmedi. Bu gerçekleştiğinde, genellikle kurbanın fidye ödediği anlamına gelir ve bu da saldırganların onları isimlendirip utandırmaya veya çalınan verileri sızdırmaya çalışmasının önüne geçer.
Yaygın Yenilik
Hastanelere, kan bankalarına, okullara ve kritik altyapılara yönelik tekrarlanan saldırılar, üst düzey fidye yazılımı saldırganlarının her şeyden önce kar elde etme zorunluluğunu vurguladığı gibi, bitmek bilmeyen yenilikleri de ortaya koyuyor.
Son yıllarda fidye yazılımı hizmeti gruplarının yükselişiyle birlikte birçok yenilik geldi. Kripto kilitleme kötü amaçlı yazılımları oluşturan, veri sızıntısı altyapısını çalıştıran ve bazen kötü amaçlı yazılımı kullanarak hedefleri düşüren iştiraklerle pazarlıkları yürüten bu eşleştirilmiş operatörler, genellikle karşılığında elde edilen her fidyenin %70’ini veya %80’ini tutuyordu.
Bu RaaS gruplarıyla bile, uzmanlar saldırıların çoğunun kredisinin de dahil olan bağlı kuruluşlara gittiğini söyledi. BlackCat Mart ayında ortadan kaybolduktan sonra, Batılı bağlı kuruluşlarından biri Rus operatörlerini, Change Healthcare birimine saldırdıktan sonra UnitedHealth Group tarafından ödenen 22 milyon dolarlık fidye payını paylaşmak yerine, bilerek kapatmakla suçladı.
Böyle dramatik bir arkadan bıçaklama olmasa bile, bağlı kuruluşlar düzenli olarak sadakat değiştirir, bazen daha büyük bir komisyon karşılığında veya teknik yeniliklere erişmek için. Bazıları ayrıca birden fazla grupla aynı anda çalışır, kurban başına hangi fidye yazılımının en uygun olabileceğine karar verir, belki de kripto-kilitleme kötü amaçlı yazılımının yeteneklerine, bir tedarik zinciri saldırısı olup olmadığına veya bir grubun veri sızıntısı altyapısına, müzakere yeteneklerine veya hatta itibarının korkutuculuğuna dayanarak (bkz: Fidye Yazılımı Gruplarının Veri Sızıntısı Blogları Yalan Söylüyor: Onlara Güvenmeyi Bırakın).
Bağlı kuruluşlar gelip geçtiği gibi, grupların kendileri de birbirleriyle belirsiz ilişkilere sahip olabilir. Dark Angels ilk çıktığında, Cyble’ın bildirdiğine göre Babuk fidye yazılımının bir çeşidini kullanıyordu. ThreatLabz, grubun daha sonra Ragnar Locker’a geçtiğini, en azından polis geçen Ekim ayında grubun altyapısını ele geçirene kadar, söyledi.
Zorunluluk: Mağdurların ödeme yapmasını sağlayın
Fidye yazılımı tehdit aktörlerinin durmaksızın yenilik yapmalarının sebebi, kuruluşların kolektif savunmalarındaki sürekli gelişmeyi engellemek ve daha fazla kurbanı ödeme yapmaya zorlamaktır.
Son zamanlarda kötü adamlar bir avantaj elde etmiş gibi görünüyor. Coveware, kurbanların %36’sının bu yılın ikinci çeyreğinde fidye ödemeyi seçtiğini, bunun ilk üç ayda %28 olduğunu söyledi. Ortalama 391.015 dolar ödediler – önceki çeyreğe göre %2,4 artış. Aynı zaman diliminde, ortalama fidye ödemesi üçte bir oranında düşerek 170.000 dolara geriledi. Bu, öncekinden nispeten daha fazla sayıda düşük fiyatlı fidye ödemesini ve/veya birkaç çok yüksek ödemeyi yansıtabilir.
Ödeme yapan şirketlerin %43’ü, suçluların çalınan verilerini silme sözü karşılığında yalnızca veri sızdırılmasına yanıt olarak ödeme yaptı. Bu, Ocak’tan Mart’a kadar yalnızca veri silme için ödeme yapan %23’lük orana göre keskin bir artıştı (bkz: Fidye Gerçek Politikası: Veri Silme İşlemi İçin Ödeme Yapmak Aptallar İçindir).
Coveware, gördüğü en fazla saldırının Akira fidye yazılımını içerdiğini, ardından bağımsız operatörlerin geldiğini söyledi. Pazar payı açısından sırada Black Basta, BlackSuit, LockBit 3.0, Medusa, BianLian, Inc Ransom ve Phobos vardı.
Hem Akira hem de Black Basta’nın pazar payları bu yılın ilk yarısında sabit kaldı ve fidye yazılımlarını dağıtmak için kullanılan taktikler, teknikler ve prosedürler değişmedi, “bu da tüm fidye yazılımı markalarının yerinden edilmiş iştirakleri kabul etmek için kapılarını açmadığını gösteriyor” dedi Coveware. Aynı zamanda, daha önce sadece BlackCat veya LockBit saldırılarına bağlı olan TTP’ler aniden diğer grupların veya bağımsız operatörlerin saldırılarına bağlı hale geldi.
Bunun da gösterdiği gibi, sadece hangi fidye yazılımı gruplarının popüler olduğunu veya olmadığını takip etmek tüm hikayeyi anlatmıyor; özellikle de artık oyunda daha fazla yalnız kurt varken.