Bu yılın başlarında kolluk kuvvetleri, hizmet olarak fidye yazılımı (RaaS) iş modelinden kâr elde eden Hive siber suç grubunun operasyonlarını aksattı. Hive’ın genellikle Royal, Black Basta ve Quantum gibi diğer grupların listesiyle ilişkili Conti fidye yazılımı grubuyla bağlantılı olduğu düşünülüyor. RaaS bağlı kuruluşları ve kurbanları dünyanın her yerinde bulunuyor ve sayısız taktik ve teknik kullanıyorlar. Hive vakası bize RaaS trendleri, bunun kripto para birimiyle ilişkisi ve benzer gruplara karşı nasıl savunma yapılabileceği hakkında çok şey anlatıyor.
Hive, diğer RaaS sağlayıcıları gibi bir fidye yazılımı şifreleyicisi yazdı, bir Dark Web alanı oluşturdu, hizmetlerinin bağlı kuruluşlara ve forumlara reklamını yaptı ve ardından kullanıcıların, fidye yazılımı yükünü yapılandırmak ve şantaj fonları almak üzere hizmetleri için bir lisans satın almasına izin verdi. Genellikle RaaS sağlayıcıları kesinti yapar; genellikle 75/25, 80/20 veya 85/15’lik bir bölünmedir (Hive 80/20 idi).
Kripto Para RaaS’ı Nasıl Destekliyor?
Kripto para biriminin sınırsız ve neredeyse anlık doğası nedeniyle, Hive ve diğer tüm fidye yazılımı grupları hâlâ kripto para birimini kullanıyor. Bu, dünyanın her yerine para transferi ve anında gönderimi sağlayan anonim bir sistemdir; hiçbir dönüşüme veya banka onayına gerek yoktur.
Fiyatı ister yüksek ister düşük olsun, kripto para birimi, fidye yazılımı operatörlerinin kurbanlardan para çekmesi için en iyi ve en etkili yoldur. Kripto para biriminin fiyatı Bitcoin’in (BTC) yolunu takip ediyor. BTC yükselirse diğerlerinin çoğu da yükselir ve tam tersine, fiyat düşerse diğer her şey onu takip eder. Saldırganlar bir kurbana saldırıp fidye talep ettiğinde, istedikleri kripto para miktarını kullanılan tokenın mevcut fiyatına göre değiştiriyorlar. Örneğin, bir fidye yazılımı grubu bir işletmeye 50.000$ fidye ödemek isterse, bunu mevcut token fiyatına dönüştürecek ve o kadarını isteyecektir.
Çoğu kripto para birimi izlenebilir olsa da, birçok fidye yazılımı grubu, başka yerlerdeki kurbanları avladıkları sürece hükümetlerinin onların yanlışlarını görmezden geldiği ülkelerde faaliyet gösteriyor. Örneğin, Doğu Avrupa ve Rusya’daki birçok fidye yazılımı operatörü, kurbanın makinesinin coğrafi konumunu belirlemek için kötü amaçlı yazılımlarının koduna mantık katıyor. Kötü amaçlı yazılım, Bağımsız Devletler Topluluğu’nun (BDT) bir parçası olan bir ülkede bulunuyorsa sona erecektir. Bu, bu ülkelerdeki fidye yazılımı operatörlerinin tutuklanma endişesi olmadan fidye yazılımı dağıtmasına olanak tanır.
Hükümetler Hızlanıyor
Hive vakası, çeşitli ülkelerden federal yetkililerin küresel, ortak bir operasyonuyla bir fidye yazılımı grubunun altyapısını çökertmek için birlikte çalışması açısından benzersizdir. Bu öncelikle Hive grubunun sunucu altyapısının kısmen Amerika Birleşik Devletleri’nde olması nedeniyle mümkün oldu.
Operasyon ve REvil ve DarkSide gibi fidye yazılımı gruplarının yakın zamanda ortadan kaldırılması, hükümetlerin tehdit aktörlerini durdurma konusunda nasıl daha saldırgan hale geldiğini gösteriyor. Kolluk kuvvetleri ve siber güvenlik kurumları, tamamen savunmaya yönelik bir stratejinin bu sorunla mücadelede en iyi yaklaşım olmadığını fark etti.
Değişen Taktikler Güvenlik Sorunlarını Karmaşıklaştırıyor
Bu saldırılarda kullanılan metodolojiler, aynı fidye yazılımı grubu içinde bile farklı bağlı kuruluşların farklı taktiklere sahip olması nedeniyle farklılık gösterir. Her RaaS grubunun çeşitli şekillerde uygulayabileceği birden fazla taktik ve teknik olduğundan, bu durum güvenlik ekiplerinin onlara karşı savunma yaparken karşılaştığı zorlukları karmaşık hale getirir.
Güvenlik profesyonelleri için iyi bir savunma duruşunun bütünsel olması ve derinlemesine savunma mekanizmalarını içermesi gerekir. Örneğin, Hive üyelerinin çok faktörlü kimlik doğrulama (MFA) olmadan Uzak Masaüstü Protokolü (RDP) kullanan, çalınan kimlik bilgilerine, kimlik avı kampanyalarına ve yazılım açıklarına maruz kalan kuruluşlara sızma yaptığı biliniyor. Bu sorunları etkili bir şekilde çözecek tek bir çözüm yok; saldırıları savuşturmak için sinerjik olarak çalışan birden fazla çözüme ihtiyacınız olacaktır. İhtiyaçlar arasında MFA’nın ağınızda herhangi bir kimlik doğrulamasında olmasını sağlayacak bir politika (ideal olarak sıfır güven ağı), eğer bunlara sahip değilseniz çok faktörlü lisanslar, e-posta güvenliği ve kimlik avı eğitimi ve kapsamlı varlık içeren bir yama yönetim sistemi yer alır. arkasında yönetim var.
Kontrol ve Dengeler
Başka bir grup olan CL0P’nin, yazılım tedarik zinciri şirketlerini ihlal ettiği ve ardından fidye yazılımı dağıtarak veya veri sızdırarak bunları kullanan diğer şirketleri ihlal ettiği biliniyor. Savunma duruşunuz kapsamlı olmalı ve kendinizi bu tür saldırılardan korumak için bir dizi kontrol ve dengeye sahip olmalıdır. İdeal olarak bir çözüm başarısız olursa, kaçırılanları veya yanlış pozitifleri yakalamak için başka bir çözüm istersiniz. Şirketlerin takip etmesi gereken temel bir anahtar seçmem gerekse bu, e-posta güvenliği ve kimlik avının eğitimle ele alınması olurdu. Neredeyse tüm tehdit aktörleri, kimlik avı e-postaları ve hedefleme yoluyla kötü amaçlı yazılım yayıyor; aslında Verizon’un “2023 Veri İhlali Araştırma Raporu”na göre çoğu ihlalin başladığı yer burası.
Bütünsel bir güvenlik tutumu uygulamak ve derinlemesine savunma önlemleri kullanmak, çeşitli saldırı yöntemleri göz önüne alındığında, RaaS gruplarıyla mücadelede en iyi yaklaşımdır. Çoğu şirket çözümlere para harcayacak kaynaklara sahip olmadığından kimlik avı ve e-posta güvenliği çözümleriyle uğraşmak iyi bir başlangıç noktasıdır.