Ocak ayında kolluk kuvvetleri, bir hizmet olarak fidye yazılımı (RaaS) iş modelinden kazanç sağlayan Hive siber suç grubunun operasyonlarını kesintiye uğrattı. Hive’ın Conti fidye yazılımı grubuna bağlı olduğuna inanılıyor ve Royal, Black Basta ve Quantum dahil olmak üzere eski Conti operatörleriyle ilişkili diğer grupların listesine katılıyor.
RaaS üyeleri dünyanın her yerinde ve kurbanları da öyle. Bu bağlı kuruluşlar, sayısız farklı taktik ve teknik kullanır. Bu makalede, Hive vakasının bize RaaS trendleri hakkında söylediklerini, bunun kripto para birimiyle nasıl bir ilişkisi olduğunu ve benzer gruplara karşı nasıl savunulacağını ele alacağım.
Hive’ın işleyiş şekli
Hive, diğer RaaS sağlayıcıları gibi, bir fidye yazılımı şifreleyici yazdı, bir karanlık web etki alanı oluşturdu, hizmetlerinin üye kuruluşlara ve forumlara reklamını yaptı ve ardından kullanıcıların bir fidye yazılımı yükü yapılandırmak ve haraç fonları almak için (hizmetleri için) bir lisans satın almalarına izin verdi.
RaaS sağlayıcıları genellikle haksız yere elde edilen gelirden bir pay alırlar – bu genellikle 75/25, 80/20 veya 85/15’lik bir paydır (Hive 80/20’ydi).
Hive ve diğer tüm fidye yazılımı grupları, sınırsız ve neredeyse anında olduğu için fidye yazılımı ödemeleri için kripto para birimini kullanmaya devam ediyor. Dönüşüm veya banka onayı yoktur; dünyanın her yerine para transferi ve anında gönderme için anonim bir sistemdir. Cryptocurrency, kurbanlardan zorla alınan parayı diğer kullanıcılarla paylaşmayı da kolaylaştırır.
Yüksek veya düşük fiyatlı kripto para birimi, fidye yazılımı operatörlerinin kurbanlardan para toplaması için en iyi ve en etkili yoldur. Kripto para biriminin fiyatı, Bitcoin’in (BTC) yolunu takip eder. BTC yükselirse, diğerlerinin çoğu da yükselir. Tersine, fiyatı düşerse, diğer her şey onu takip eder.
Genellikle değişken olan değerini hesaba katmak için, saldırganlar bir kurbanı ihlal edip fidye talep ettiklerinde, istedikleri kripto para birimi miktarını kullanılan jetonun mevcut fiyatına göre değiştirirler. Başka bir deyişle, operatörler fidyeyi token fiyatına değil, dönüştürme fiyatına göre belirler. Örneğin, bir fidye yazılımı grubu bir işletmeyi 50.000$’a fidye olarak ödemek isterse, bunu geçerli jeton fiyatına çevirir ve şu kadarını ister.
Çoğu kripto para birimi izlenebilir olsa da, birçok fidye yazılımı operatörü, suçlarını, özellikle saldırılar faaliyet gösterdikleri ülkeyi hedef almıyorsa, diğer tarafa bakma eğiliminde olan hükümetlere sahip ülkelerden gerçekleştirir. Örneğin, Doğu Avrupa ve Rusya’dan birçok fidye yazılımı operatörü, bir kurbanın makinesinin coğrafi konumunu belirlemek için kötü amaçlı yazılımlarının koduna mantık yerleştirir. Kötü amaçlı yazılım, Bağımsız Devletler Topluluğu’nun (CIS) bir parçası olan bir ülkedeyse sona erecek ve bu ülkelerdeki fidye yazılımı operatörlerinin tutuklanma endişesi duymadan fidye yazılımı dağıtmasına izin verecektir (Hive buna bir örnektir). Ancak saldırganlar kendilerini izlenmekten korumak için izlerini gizlemek için karıştırıcılar ve gizlilik paraları kullanmaya devam ediyor.
Hive davası, birkaç ülkeden federal yetkililerin küresel, ortak bir operasyonla bir fidye yazılımı grubunun altyapısını çökertmek için birlikte çalışması bakımından benzersizdir. Bu, öncelikle Hive grubunun altyapısının (sunucularının) en azından kısmen Amerika Birleşik Devletleri’nde olması nedeniyle mümkündü.
Operasyon – ve REvil ve DarkSide gibi fidye yazılımı gruplarının yakın zamanda ortadan kaldırılması, diğer fidye yazılımlarını kullanan çeşitli iştiraklerden bahsetmeye bile gerek yok – hükümetlerin bu tehdit aktörlerini durdurmada nasıl daha saldırgan hale geldiğini gösteriyor. Kolluk kuvvetleri ve siber güvenlik kurumları, tamamen savunma stratejisinin bu sorunu çözmek için en iyi yaklaşım olmadığını fark etti.
Hive grubunun bağlı kuruluşları dünyanın her yerindeki kuruluşlara saldırdı. Amerika Birleşik Devletleri Adalet Bakanlığı (USDOJ) tarafından sağlanan, etkilenen ülkelerin haritası, şaşırtıcı olmayan bir şekilde, çok az sayıda BDT ülkesinin etkilendiğini gösterdi. Buna karşılık, grubun dünyanın hemen hemen her yerinde kurbanları vardı.
Ek olarak, bu saldırılar organizasyonları ihlal etmek için çeşitli metodolojiler kullandı. Bunun nedeni, aynı fidye yazılımı grubu içinde bile farklı bağlı kuruluşların farklı taktiklere sahip olmasıdır. Her RaaS grubu, çeşitli şekillerde uygulayabilecekleri birden fazla taktik ve tekniğe sahip olacaktır. Bu, onlara karşı savunmanın zorluğunu zorlaştırıyor.
Derinlemesine savunma kurun
Güvenlik uzmanları için bu, iyi bir savunma duruşunun bütünsel olması ve derinlemesine savunma mekanizmalarını içermesi gerektiği anlamına gelir.
Örneğin, Hive bağlı kuruluşlarının, çok faktörlü kimlik doğrulaması (MFA), çalınan kimlik bilgileri, kimlik avı kampanyaları ve yazılım güvenlik açıkları olmadan Uzak Masaüstü Protokolü (RDP) kullanan kuruluşları ihlal ettiği bilinmektedir. Bu sorunları etkili bir şekilde çözmek için tek bir çözüm yoktur; saldırıları engellemek için sinerjik olarak birlikte çalışan birden fazla çözüme ihtiyacınız olacaktır.
MFA’nın ağınız için herhangi bir kimlik doğrulamasında (ideal olarak sıfır güven ağı), çok faktörlü lisans(lar)da (eğer bunlara sahip değilseniz), e-posta güvenliğinde ve kimlik avı eğitim çözümlerinde olmasını sağlamak için bir politika uygulamanız gerekir. arkasında kapsamlı varlık yönetimi olan bir yama yönetim sistemi. Bu, bir RaaS grubundan bilinen teknikleri çözmektir.
Başka bir grubu ele alalım, örneğin: Cl0p. Fidye yazılımı ve/veya veri hırsızlığı ile bir tedarik zinciri saldırısı olan yazılım şirketlerini ve ardından yazılımlarını kullanan diğer şirketleri ihlal etmeleri ile tanınırlar. Kendinizi bu tür bir saldırıdan korumak için, savunma duruşunuz kapsamlı olmalı ve bir dizi kontrol ve dengeye sahip olmalıdır. Bir çözüm başarısız olursa, ideal olarak, diğerinin eksikleri veya yanlış pozitifleri yakalamasını istersiniz. Elbette ideal bir çözümden bahsediyorum.
Çoğu şirket çözümlere bir ton para harcayamayacağından, başka bir yerde güvenliğinizle ilgili bariz bir sorun olmadığı sürece, kimlik avı ve e-posta güvenliği (eğitimle birlikte) ile mücadele etmenizi öneririm. Neredeyse tüm tehdit aktörleri, kimlik avı e-postaları ve hedefleme yoluyla kötü amaçlı yazılımları yayar – aslında 2023 Verizon Veri İhlali Araştırmaları Raporuna göre çoğu ihlalin başladığı yer burasıdır.