İlk fidye yazılımı dolabı hakkında bilmeye değer ilk şey, kullanımının açıkça suçtan ziyade intikam amaçlı olduğudur. Bilmeye değer ikinci şey ise görünürde Rusça konuşan birinin olmamasıydı.
Aslında yazarı Joseph Popp, Ohio’da büyüdü ve Harvard Üniversitesi’nde eğitim gördü. Afrika’da Dünya Sağlık Örgütü (WHO) ile yakın işbirliği içinde çalışan bir antropolog, biyolog ve HIV/AIDS uzmanıydı ve orada bir iş için görevden alındı; bu, bariz bir zihinsel çöküntüye yol açmış olabilir. fidye yazılımı kavramının oluşturulması.
Popp’un Aralık 1989’da dünyaya “serbest bıraktığı” AIDS Truva atı, her standartta basit bir yazılım parçasıydı. Teknik olarak, bilgisayar sistemi başlatıldığında komutları yürütmek için kullanılan AUTOEXEC.bat dosyasının yerini alan, gerçekten bir hizmet reddi (DOS) karıştırıcıydı.
Daha sonra sistemin 90’a ulaşana kadar geçirdiği önyükleme döngüsü sayısını saydı; bu noktada dizinleri gizledi ve sistemdeki C sürücüsü dosyalarının adlarını şifreledi. Kurbanlar veya hedefler daha sonra sistemlerine bir virüs bulaştığını bildiren bir mesaj gördü.
Mesajda tüyler ürpertici bir şekilde “Unutmayın, AIDS’in tedavisi YOK” yazıyordu.
Nasıl enfekte oldular? Popp, WHO AIDS konferansına katılan diğer katılımcılara 20.000 disket gönderdi ve bunları “AIDS Bilgileri – Tanıtım Disketleri” olarak etiketleyerek, artık kimlik avı tuzağı olarak bildiğimiz şeyi yarattı.
Kurbanlara Panama’daki PC Cyborg Corporation’a ait bir Posta Kutusu numarasına 189 $ (yaklaşık 480 $ veya 2024’e göre 378 £) göndermeleri söylendi. Yazılım ayrıca, “kullanıcıları” yazılımın “kiralama” maliyetinden kendilerinin sorumlu olacağını bildiren bir son kullanıcı lisans sözleşmesi (EULA) içeriyordu.
ABD’de tutuklanan ve Birleşik Krallık’a iade edilen Popp, İngiliz bir yargıcın onun akli dengesinin buna uygun olmadığına karar vermesinin ardından asla yargılanmadı; burnuna prezervatif takma, sakalına saç maşası ve karton kutu takma alışkanlığı geliştirmişti. O zamanın basında çıkan haberlere göre başındaydı. Bunun bir deliliğin ifadesinden ziyade kasıtlı bir oyun olup olmadığı belirsizliğini koruyor. Popp, Amerika’ya döndüğünde New York’un kuzeyinde kendi adını taşıyan bir kelebek koruma alanı ve tropik bahçe açtı ve 2007’de öldü.
Cisco’nun Talos istihbarat ve araştırma biriminde güvenlik araştırması teknik sorumlusu olan Martin Lee, AIDS Truva Atı’nın ardındaki tuhaf hikayeyi değerlendirerek, kötü amaçlı yazılımı “çılgın bir suç dehasının” yaratımı olarak tanımlıyor.
Lee, Computer Weekly’e şunları söylüyor: “Gerçekten tamamen yeni bir şeydi; daha önce sözü edilmeyen yeni bir boyut.” “1989 yılını düşünürsek internet hâlâ üniversitelerde ve orduda bir düzine bilgisayardan ibaretti. Bildiğimiz şekliyle internet, World Wide Web yükselişe geçmemişti. Çoğu bilgisayar hiçbir şekilde ağa bağlı değildi, hatta sabit disk sürücüleri bile isteğe bağlı lüks bir ekstraydı.
“Şu anda hafife aldığımız tüm bu şeylerin (bir ağ üzerinden dağıtım, kripto para birimiyle ödeme) hiçbiri mevcut değildi. Oldukça sınırlı bir saldırıydı… Herhangi birinin fidyeyi ödediği bilinmiyor ama inanılmıyor.”
Üstelik siber güvenlik mesleği 1989 yılında bugünkü haliyle mevcut değildi. “Bugünkü haline hiç yakın değildi. Farklı bir dünyaydı” diyor dönemin BT’sini “tarih öncesi” olarak nitelendiren Lee.
“Siber güvenlik kavramı yoktu ve endüstri yoktu. Bilgi güvenliği konusunda uzman olduğunu bildiğimiz kişiler vardı ancak bunlar genellikle ordu veya hükümetler gibi güvenlik izni gerektiren ortamlarda bulunuyorlardı. Herkesin birbirini tanıdığı sıkı bir topluluk olurdu.
“Kesinlikle o zamanlar ilk fidye yazılımı haberlerde büyük bir sıçrama yaratmamıştı” diye ekliyor.
Zamanının ilerisinde
Popp’un zamanının biraz ilerisinde olduğu açık; fidye yazılımı fikri, akademisyenlerin ve bilgisayar bilimcilerinin bilgisayar virüslerini (ya da kötü amaçlı yazılımları) bir araya getirme fikri üzerinde ilk kez denemeye başladıkları 90’ların ortalarına kadar yeniden gündeme gelmemişti. kriptografi ile işlevsellik.
Ancak o zaman bile, 2020’lerde tanıyacağımız türde bir fidye yazılımı saldırısına yönelik ilk girişimde bulunulmadan önce dünya, mutlu bir cehalet içinde bir on yıl daha geçirdi.
Gpcode, adlandırıldığı şekliyle, Rusya’da ilk olarak 20 yıl önce, Aralık 2004’te, bireysel kişilerin dosyalarının bazı garip yeni siber saldırı biçimleriyle şifrelendiğine dair raporlar ortaya çıkmaya başladığında ortaya çıktı.
Lee, “Sonunda, eğer yanlış hatırlamıyorsam, bir kişinin Rus iş sitelerinden bilgi topladığı ve iş arayanlara ‘Hey, bu işe başvurmanızı istiyoruz’ diye e-posta gönderdiği ortaya çıktı” diyor.
“Cazibe belgesinin bir iş başvuru formu olduğu iddia ediliyordu, ancak aslında dosyaları şifreleyen fidye yazılımıydı ve fidye para transferi yoluyla ödenecekti. Bu, amacının (para kazanmak) net olduğu ilk modern fidye yazılımıdır.”
Fidye yazılımı açısından Gpcode “inanılmaz derecede ilkeldi”; kurbanının dosyalarını şifrelemek için 600-Bit RSA genel anahtarı kullanıyordu ve Lee, fidyenin para transferi yoluyla ödenmesini talep etmenin (Bitcoin’e hâlâ birkaç yıl uzaktaydı) tehlikeli bir kumar olduğunu söylüyor Gpcode’un arkasındaki siber suçlular için, çünkü onları kolluk kuvvetleri tarafından takip edilmeye açık hale getirdi.
Gpcode, yaratıcılarına bugün fidye yazılımlarının yaptığı gibi milyonlar kazandırmadığı için kaçak bir başarı değildi, ancak fidye yazılımlarının hem hâlâ gelişmekte olan siber güvenlik topluluğunda hem de sıradan insanlar arasında çığır açmaya başladığı anlamına gelmesi açısından dikkate değerdi.
Gpcode ayrıca fidye yazılımı kimlik avı tuzaklarına ilişkin popüler mecazlardan bazılarının oluşturulmasına da yardımcı oldu; günümüzde hayali iş teklifleri, özellikle yüksek mevkideki bir yönetici aracılığıyla hedefli bir saldırının parçası olarak yürütüldüğünde, kurban kuruluşlara karşı sıklıkla kullanılmaktadır.
Sürekli yenilik
Takip eden on yıl boyunca, siber suçluların zorla para alma ve yakalanma ve kovuşturmadan kaçınma konusunda daha motive hale gelmesiyle, fidye yazılımının hikayesi neredeyse sürekli yeniliklerden biri haline geldi.
Lee, ödeme sürecinde anonimliğin yeraltı suç örgütünün üstesinden gelmesi gereken özellikle çetrefilli bir sorun olduğunu söylüyor.
“2004’te, Gpcode’un saldırıları yürüten tek bir yazılım mühendisi kesme operatörü vardı ve kurban için kolay ama suçlu için anonimlik sağlayacak şekilde fidyeyi nasıl alacakları konusunda bir sorunla karşılaştılar.” diyor.
“Başlangıçta dijital para birimleri, E-Altın ve Özgürlük yükselişe geçti. [Reserve] Bunlar, geleneksel olarak düzenlenen bankacılık sektörünün dışında, bireyler arasında değer aktarımına yönelik mekanizmalardı,” diyor Lee. “Onlar – bunu nasıl ifade edelim – istismara uğradılar.”
Bu dijital para birimlerinin en büyük dezavantajı, siber suçluların bakış açısına göre her ikisinin de tek bir başarısızlık noktasına sahip olmasıdır; kolluk kuvvetleri ve düzenleyiciler, aralarından geçen yasa dışı ödeme akışını kesintiye uğratmak için harekete geçebilirler ki bu da tam olarak olan şeydi. .
Lee, “Bu, kripto para birimlerinin yükselişiyle aynı zamana denk geliyor ve suçlulara fidyelerini kripto aracılığıyla toplamaları için alternatif bir yol sunuyor” diyor.
“Diğer büyük yenilik, ilk fidye yazılımının zayıf noktasını ele aldı; tek bir geliştirici ve operatör vardı; dolayısıyla 2000’li yılların ortalarında ilk fidye yazılımının bir hizmet olarak geliştirildiğini gördük.
“Kod yazmada çok iyi olan ancak fidye yazılımı dağıtmada veya sosyal mühendislik tuzakları bulmada o kadar da iyi olmayan kötü amaçlı yazılım mühendisleri, koda odaklanabilir ve daha sonra teknik açıdan daha az gelişmiş siber suçluların saldırılara katılabilmesi için bir ortak portalı geliştirebilirler. işe alınabilir veya bir ortaklığa girilebilir,” diyor Lee. “Görevleri bölüştürürlerse daha verimli olur.”
Hizmet olarak fidye yazılımı veya RaaS kavramının 10 yıldan daha eski olduğunu öğrenmek bazıları için şaşırtıcı olsa da, çok farklı bir zamanda ortaya çıktı ve fidye yazılımı ekosisteminin bugünkü durumuna gelebilmesi için birkaç evrimden daha geçmesi gerekti. , yıkıcı biçim.
Güncel
Lee şöyle açıklıyor: “Bir sonraki büyük değişiklik 2016’da ekibin SamSam’ı kullanmasıyla geldi. Bundan önce, fidye yazılımı, mümkün olduğu kadar çok sayıda son kullanıcıya mümkün olduğu kadar çok fidye yazılımı dağıtan, bunu bilgisayarlara aktaran ve kurbandan uç noktalarındakileri geri alması için birkaç yüz dolar talep eden, kitlesel bir pazar saldırısıydı.
“En büyük yenilik, SamSam’ı dağıtan çetenin kurbanlarını farklı bir şekilde seçmesiydi. Salt rakamlara yönelmek yerine işletmeleri tespit edecek, ağlarına girecek ve geleneksel hackleme tekniklerini birleştireceklerdi: ağa sızmak, işletmelerin güvendiği anahtar sunucuları bulmak ve bu anahtar sunuculardaki fidye yazılımını ele geçirmek.
Lee şöyle diyor: “Dosyaları şifreleyerek ve bu anahtar sunucuların işlevselliğini durdurarak, SamSam tüm işi yarıya indirdi ve bu noktada çete çok çok daha büyük bir fidye isteyebilir.”
Bu, kitlesel pazara yönelik, son kullanıcı odaklı fidye yazılımının ortadan kaybolduğu anlamına gelmiyor; bu hâlâ bir tehdit olmaya devam ediyor ve birçok açıdan ortalama bir kişinin fidye yazılımına maruz kalması, sıradan bir insana göre daha yıkıcıdır. iyi sigortalı, denetime tabi bir şirket.
“Dizüstü bilgisayarı fidye yazılımına maruz kalan ve dizüstü bilgisayarında ölen eşlerinin son fotoğrafları bulunan yaşlı bir ebeveynle ilgili olarak bana ulaşan insanlar oldu, onu geri almanın bir yolu var mı?” diyor Lee.
“Bu çok üzücü ve 10 kişiden dokuzunun cevabı hayır. Yani bu ortadan kaybolmadı ve gitmeyecek. İşletmelerin son kullanıcıdan kaybedeceği daha fazla şey olabilir ancak bu, son kullanıcıların ciddi bir acı çekmeyeceği anlamına gelmez.
“Fakat kötü adamlar için en büyük para iş dünyasındadır, işyerlerine girmekte, yüksek değerde bozulmaya neden olmakta ve büyük miktarda değeri yok etmektedir, çünkü kârlar çok daha yüksektir.”
Bu bizi, fidye yazılımı belasının gerçekten baş gösterdiği ve siber güvenliğin kendi nişinden çıkıp ulusal manşetlere çıkmaya başladığı 2020’den beri gördüğümüz gelişmelere getiriyor. Çifte şantaj saldırılarının yükselişi ve bağlı kuruluşlar ve komisyonculardan oluşan geniş bir yeraltı ekonomisinin ortaya çıkışı da dahil olmak üzere bunların hepsi iyi bir şekilde belgelendi. Hatta mali motivasyonlu siber suç çeteleri ile siyasi motivasyonlu siber casusluk operatörleri arasında işbirliğine benzeyen bir şey görüyoruz.
Bu yıl, fidye yazılımı çetelerinin fidye yazılımı dolabından tamamen vazgeçtiği yeni bir trendin başlangıcını gördük. Daha geçen ay, Avustralyalı ve Amerikalı yetkililer BianLian fidye yazılımı çetesinin çalışmaları hakkında yeni istihbarat yayınladılar ve bu çete yalnızca şifreleme olmadan şantaj yapmaya yöneldi.
Geleneksel haliyle fidye yazılımı yolun sonuna ulaşmaya başlamış olabilir mi?
İleriye bakmak
Muhtemelen hayır, diyor Lee, ileriye baktığında farklı görünse de: “Biliyorsunuz BT hayatımıza çok büyük faydalar getiriyor ve çok şey sağlıyor; ancak BT’nin değer yarattığı her yerde suçlular bu değeri sırtına alıp çalmanın yollarını arıyor. Fidye yazılımının bunu yapmanın onlar için çok karlı bir yolu olduğu kanıtlandı.
“Yakın ve orta vadede BT’yi kullanmamızın yeni yolları için, bundan para kazanmak isteyen suçluların olmasını bekleyebiliriz ve onların bunu yapma yollarından biri de bu olacaktır. , kesinlikle fidye yazılımı yoluyla olacak.
Fidye yazılımının doğum sancılarından hüsrana uğramış ve mağdur Joseph Popp’un ulumalarına kadar, 2020’lerin büyük paralar kazandıran fidye yazılımı saldırılarına kadar net bir çizgi çizebiliriz ve bu suçluluk ve yenilik sürekliliği Lee’yi basit bir sonuca götürüyor.
“BT’nin dokunduğu herhangi bir şey için siber güvenliği düşünmemiz gerektiğinin, kötü adamların bunu nasıl bozabileceğini düşünmemiz gerektiğinin çok daha fazla farkında olmamız gerekiyor, çünkü kesinlikle onlar da düşünecek ve birileri harekete geçecek. denemek için.
“Fidye yazılımının tarihi sürekli yeniliklerle dolu bir tarihtir ve bunun gelecekte de devam etmesini bekleyebiliriz” diyor.