Fidye Yazılımı Grubunun Sunucuları Karanlık Kalıyor, Ancak Yeniden Başlatmak Yetersiz Zorluklara Neden Olabilir
Mathew J. Schwartz (euroinfosec) •
31 Ocak 2023
Fidye yazılımı kullanan suç örgütü Hive’da kesintiye yol açan uluslararası bir yasa uygulama operasyonunun sevilmeyecek nesi var? Ancak hapiste hiçbir zanlı olmadığından, kötü adamların iğnelerini geri alana kadar bu alt etme eyleminin ne kadar devam edeceği belli değil.
Ayrıca bakınız: 3. Çeyrek Tehdit Raporu | Expel Security Operations Center’dan siber güvenlik verileri, trendler ve öneriler
Dünyanın en aktif fidye yazılımı gruplarından biri olan Hive’ın geçen hafta FBI ile Alman ve Hollandalı kolluk kuvvetlerinin sunucularına el koymasının ardından karanlığa gömülmesinden bu yana kutlanacak çok şey var. Hive’ın karanlık web sitelerini ziyaret etmeye çalışan hiç kimse fidye yazılımı içeriği görmedi, bunun yerine bir el koyma bildirimi gördü (bkz: FBI, Çok Uluslu Yayından Kaldırma İşleminde Hive Ransomware Sunucularını Ele Geçirdi).
ABD Başsavcı Yardımcısı Lisa O. Monaco Perşembe günü gazetecilere verdiği demeçte, “Bilgisayar korsanlarını hackledik,” dedi. Temmuz ayında, kolluk kuvvetleri Hive’ın altyapısının bazı bölümlerine sızdı ve şifre çözme anahtarlarını sessizce 330’dan fazla kurbana verdi. Monaco, bu çabaların suçlulara akan “130 milyon dolardan fazla fidye yazılımı ödemesini” engellediğini söyledi. Tehdit istihbaratı firması Group-IB’de kötü amaçlı yazılım analizi ve tehdit avcılığı başkanı Roman Rezvukhin, yayından kaldırma duyurusundan yaklaşık iki hafta önce “doğada yeni Hive örnekleri tespit etmeyi bıraktık” diyor.
Ne yazık ki, daha önce REvil – namı diğer Sodinokibi – ve DarkSide gibi Conti’nin yan ürünlerinden bahsetmiyorum bile, bilgisayar korsanlarının geri gelme alışkanlığı var. Aynı şekilde, Hive’ın kripto-kilitleme kötü amaçlı yazılımını, ödenen her fidyenin bir kısmı karşılığında kurbanları toplamak için kullanan bağlı kuruluşlar, birçok başka potansiyel iş ortağına sahiptir.
Analyst1’de baş güvenlik stratejisti olan fidye yazılımı izleme uzmanı Jon DiMaggio, “Hive geri dönecek ve karanlık ağdaki fidye yazılımı suçluları arasında Hive’ın ne zaman ve nasıl yeniden ortaya çıkacağı hakkında şimdiden konuşuluyor” diyor. “Çoğu kişi yeniden markalaşacaklarını düşünüyor, ki bence bu muhtemelen mümkün, ancak basitçe yeni bir altyapı kurabilirler ve aynı markayla sıfırlayabilirler ve eski itibarlarını geri kazanmaya çalışabilirler.”
Hive geçen yıl fidye yazılımı sahnesine hakim oldu. 2022’nin ilk 10 ayında, Sophos’un olay müdahale ekibi “üretken” Hive’ın kurbanları vurduğunu gördüğü en yaygın dördüncü fidye yazılımı türü olduğunu bildirdi. Sophos’ta uygulamalı araştırma CTO’su Chester Wisniewski, “Diğer fidye yazılımı gruplarının zaten tehlikeye attığı ağlara girdiklerini bile gördük” diyor.
FBI, Hive’ın Haziran 2021’de piyasaya sürülmesinden bu yana 1.500’den fazla kurban pahasına en az 100 milyon dolar kar elde ettiğini söylüyor.
Kim Korkuyor?
Hive’ın kesintiye uğramasının ardından fidye yazılımı grupları, en azından halka açık bir şekilde korkmuyor. LockBit’te ve grubun halka açık spinmeister’ı “LockBitSupp”ta pazarlama suyu yeniden akıyor alaylı: “FBI’ın rakiplerimi kandırmasına bayılıyorum.”
Fidye yazılımı grubunun HIVE’ın kaldırılmasına ilişkin yorumu:
ALPHV: Bu bizde işe yaramaz, çok güçlü bir güvenliğimiz var ve sunucularımızda hiçbir şey saklamıyoruz
BianLian: Çok kötü. Sanırım yeni bir isimle restore edilecekler.
Lockbit: Güzel haber. FBI’ın rakiplerimi kandırmasına bayılıyorum— vx-underground (@vxunderground) 27 Ocak 2023
Wisniewski, “Bu suçlular hamamböcekleri gibidir ve görünüşe göre ortadan kaldırmak imkansız” diyor. “Bu eylemler onları yavaşlatabilir ve dolapların altında koşuşturmalarına neden olabilir, ancak çok geçmeden yeniden toplanacak ve farklı bir kisveye geri dönecekler.”
DiMaggio, polisler tarafından halihazırda kullanılmıyorsa, psikolojik operasyonları savunur. “Sorun şu ki: Pek çok suçlu, Hive’ın insani açıdan ele geçirilip geçirilmediğini merak ediyor ve kolluk kuvvetlerinin veya hükümetin bazı üyelere kendilerinin sızmış olmasından korkuyorlar” diyor. “Bu korkularla oynamak ve suç camiasında daha fazla bölünme yaratmak için harika bir zaman.”
“Paranoya şu anda kesinlikle kol geziyor, bu bir kazanç” diye ekliyor.
DiMaggio, siber suç forumlarında dile getirilen bir endişenin, Hive’ın bozulmasının genel fidye yazılımı kârının darbe almasına neden olabileceği olduğunu söylüyor.
Hive üyeleri de dahil olmak üzere önemli fidye yazılımı oyuncularını belirlemeye yardımcı olan herkes için 10 milyon dolara kadar mevcut olan ABD hükümetinin Adalet İçin Ödül programı biçiminde daha fazla baskı geliyor.
Ne yazık ki, çok az uygulayıcı iflas etmekten korkmuş görünüyor, bu da birçok fidye yazılımı grubunun Rusya’da veya çevresinde faaliyet gösterdiğini ve yurttaşlarını yurtdışında iddia edilen suçlarla yüzleşmek üzere asla iade etmediğini hatırlatıyor.
Bu mesajın net olmaması durumunda, DOJ Hive’ın kesintiye uğramasıyla ilgili bir basın toplantısı düzenledikten sonra Moskova, Rusların CIA, FBI ve Rewards for Justice programının web sitelerine erişimini engelledi.
Fidye yazılımı uygulayıcıları, FBI’ın nihai varış noktaları hakkında söz sahibi olmadan dünyayı güvenli bir şekilde dolaşamayabilir. Ancak Rusya’da hala güvenli bir sığınakları var gibi görünüyor.