Kuruluşlar fidye yazılımına maruz kaldığında ve dolandırıcılara şifrelenmiş verilerin şifresini çözmeleri ve çalınan verileri silmeleri için para ödediğinde, suçluların söz verdiklerini yapacaklarından asla tam olarak emin olamazlar. Ve bir kuruluşun verilerinin şifresi çözülse bile, çalınan verilerin gerçekten silindiğinden ve daha sonra kullanılmayacağından veya satılmayacağından emin olamazlar.
Birisi, bir güvenlik araştırmacısı gibi davranarak ve mağdur kuruluşlara, sızdırılan verileri silmek için ilgili fidye yazılımı gruplarının sunucu altyapısını hacklemelerini isteyip istemediklerini sorarak bu durumdan yararlanmaya çalışıyor.
Bu hizmet elbette “küçük” bir ücretle birlikte geliyor.
Çalınan verileri silme teklifleri
Arctic Wolf güvenlik araştırmacıları bu teklifle sırasıyla Ekim ve Kasım 2023’te iki ayrı durumda iki kez karşılaştı.
Birinde kendilerine Etik Yan Grup adını veren bir kuruluş, diğerinde ise “xanonymoux” diyen biri tarafından teklif edilmişti. Ancak araştırmacılar bunların aynı olabileceğine inanıyor.
Bir güvenlik araştırmacısı gibi davranmanın ve aynı dosya paylaşım hizmeti (file.io) aracılığıyla sızdırılan verilere erişim kanıtı sunmanın yanı sıra, her iki durumda da tehdit aktörü:
- Tox Chat aracılığıyla iletişime geçtim
- Çalınan verilerin silinmemesi halinde şirketin gelecekte saldırı riskiyle karşı karşıya kalacağı ima edildi
- Dışarıya aktarılan veri miktarını belirtti
- 5’ten az Bitcoin istendi (şu anda 220.000 dolar civarında) ve
- İlk e-postada birbiriyle örtüşen 10 ifade kullanıldı
“Dayalı [those] ortak unsurlar (…) ortak bir tehdit aktörünün, daha önce Royal ve Akira fidye yazılımı saldırılarının kurbanı olan kuruluşlara, devam eden çabalarla şantaj yapmaya çalıştığı sonucuna varıyoruz,” diye belirtti araştırmacılar Stefan Hostetler ve Steven Campbell.
“Ancak, devam eden gasp vakalarının ilk fidye yazılımı grupları tarafından mı onaylandığı, yoksa tehdit aktörünün mağdur örgütlerden ek fon toplamak için tek başına mı hareket ettiği hala belirsiz.”
Bir şirket sözcüsü Help Net Security’ye her iki durumda da Arctic Wolf’un yalnızca IR etkileşimlerinde orijinal fidye yazılımı saldırılarının kurbanlarıyla çalıştığını söyledi.
“Her iki durumda da dosya listeleri tehdit aktörü tarafından sağlandı ancak dosya içeriği verilmedi. Sızdırılan toplam veri miktarı da tehdit aktörü tarafından doğru bir şekilde rapor edildi.”
Bir vakada, ilk fidyenin kurban tarafından ödendiğini ve tehdit aktörünün iletişimlerinde ödenen tutarı belirttiğini eklediler.
Her iki durumda da, takip eden gasp girişimi başarısız oldu.