Hizmet Olarak Fidye Yazılımı ve Karanlık Webin Tuhaf Ekonomisi


Siber ekonomi

Fidye yazılımı hızla değişiyor. Geçtiğimiz üç ayda, fidye yazılımı ekosisteminde LockBit'in fidye yazılımı blogunun kapatılması, BlackCat'in ekosistemden çıkması ve birkaç küçük fidye yazılımı grubunun ortaya çıkması gibi çarpıcı gelişmeler yaşandı.

Bu makale güncel haberler için bağlam sağlamayı amaçlamaktadır. Öncelikle fidye yazılımı gruplarının ve bağlı kuruluşların birlikte nasıl çalıştığını ele alacağız. Ardından ekosistemin temel itici gücü olan ortaklık rekabetine, fidye yazılımlarının 2024'te nasıl değişeceğine ve bundan sonra nelerin gelebileceğine değineceğiz.

Fidye Yazılımı Grupları ve Bağlı Kuruluşları: Karmaşık Bir Tedarik Zinciri

Siber suç ekosistemi büyüdükçe, karmaşık bir tedarik zincirinin bireysel bacaklarını yürüten birçok farklı aktörle birlikte daha da karmaşık hale geldi.

Fidye yazılımı ekosisteminin nasıl çalıştığını açıklamak için biraz durmaya değer. Hizmet Olarak Fidye Yazılımı (RaaS), büyük fidye yazılımı grupları arasında baskın iş modeli olarak ortaya çıktı.

Bu modelde RaaS grupları yeni fidye yazılımı kodu geliştirmeye ve bağlı kuruluşları çekmeye odaklanıyor. Fidye yazılımı bağlı kuruluşları, BT altyapısından ödün vermek ve fidye yazılımını dağıtmak için daha geniş bir grupla birlikte çalışır; daha sonra fidyenin kendisi genellikle RaaS sağlayıcısı tarafından müzakere edilir.

Bu model hem operatörler hem de bağlı kuruluşlar için iyi çalışıyor ve 2023'teki çok sayıda fidye yazılımı saldırısından tek başına sorumlu olan en büyük iki grup olan LockBit ve BlackCat tarafından kullanılıyor.

LockBit'in Ortaklık Kuralları sayfası
LockBit'in Ortaklık Kuralları sayfası

Bağlı kuruluşlara başarılı saldırılar gerçekleştirme konusunda sıkı bir çalışma vermek, grupların çok daha hızlı ölçeklenmesine ve normalde mümkün olandan çok daha fazla kurbanı tehlikeye atmasına olanak tanırken, aynı zamanda grupların fidye yazılımı kodlarında yenilik yapmaya devam etmelerine de olanak tanır.

Bağlı kuruluşlar, saldırıları etkili bir şekilde gerçekleştirmek için diğer tedarik zincirlerine güveniyorlar. Çoğu durumda, bağlı kuruluşların erişimi başka bir tür karanlık web tehdit aktöründen (ilk erişim komisyoncusu (IAB)) aldığını görüyoruz.

Gruplar Arası Bağlılık Rekabeti

En iyi ortaklıklar için rekabet etmek zor ve karmaşık bir iştir. Hizmet Olarak Fidye Yazılımı grupları meşru bir işletmeyle aynı ikilemle karşı karşıyadır; modelin çalışması için bağlı kuruluşlara ihtiyaç duyarlar ve en iyi bağlı kuruluşları çekmek için fiyat ve kalite konusunda rekabet etmek zorundadırlar.

Bu, en büyük fidye yazılımı gruplarının, en gelişmiş bağlı kuruluşları kazanmak için potansiyel bağlı kuruluşlara diğer gruplara göre daha fazla başarılı fidye payı ve daha az kısıtlama sunmaya çalıştığı, oldukça rekabetçi bir ekosisteme yol açtı. Aslında LockBit, bağlı kuruluşlara dağıtmak üzere diğer tehdit aktörlerinden kurumsal BT ortamlarına ayrıcalıklı erişim bile satın alıyor; ancak bu, LockBit'in potansiyel getirisini önemli ölçüde azaltıyor.

Tehdit aktörünün yakın tarihli bir XSS ileti dizisinden bağlı kuruluşlar için erişim satın aldığı LockBit görüşmesi
Tehdit aktörünün yakın tarihli bir XSS ileti dizisinden bağlı kuruluşlar için erişim satın aldığı LockBit görüşmesi

Fidye Yazılımı Ekosistemi Neden Değişiyor?

Geçtiğimiz dört ayda manzarada çarpıcı bir değişim yaşandı. İlk BlackCat'in fidye blogu Aralık 2023'te kapatıldı. Bu, BlackCat'in yeni bir blog kurmasına ve bağlı kuruluşlara ödenen fidye payını %90'a çıkaracaklarını duyurmasına yol açtı; bu önemli bir artış, muhtemelen onların üsttekileri tutma yeteneklerine ilişkin güvensizliği yansıtıyordu. bağlı kuruluşlar.

Bunu Şubat 2024'te LockBit'in blogunun kapatılması izledi. Altyapı tehlikeye girerken grupların kendilerinin serbest kaldığını belirtmekte fayda var. Kolluk kuvvetlerinin bu grupların operasyonlarını tamamen durdurma yeteneği sınırlıdır, ancak yayından kaldırmaların bağlı kuruluş ekosistemi üzerinde önemli etkileri vardır.

Büyük bir grup olmanın avantajları ve dezavantajları vardır. İştirakçiler, iyi fidye yazılımı koduna sahip ve istikrarlı görünen yerleşik gruplarla çalışmak ister. RaaS grubu genellikle başarı fidyeleri ödediğinden, istikrarsız bir grupla çalışmak oldukça risklidir.

Ancak büyük gruplar da kolluk kuvvetlerinin büyük hedefleri haline geliyor. LockBit ve BlackCat'i çökerten kolluk kuvvetleri, her iki grubun bağlı kuruluşlarına olan güveni de azalttı.

Bağlı kuruluş güveninin azalması, BlackCat'in büyük bir ABD sağlık kuruluşuna karşı 22 milyon dolarlık başarılı bir fidye için bir bağlı kuruluşa ödeme yapmayı reddettiği iddiasının ardından fidye yazılımı ekosisteminden çıkmasının nedenlerinden biri olabilir.

Siber Suçlarda İtibar Her Şeydir

Fidye yazılımı grupları itibarla çalışır; Siber suç dünyasında güven yoktur ve dolandırıcılık inanılmaz derecede yaygındır. Derin teknik becerilere sahip yetenekli bağlı kuruluşlara sahip olmak isteyen fidye yazılımı gruplarının zaman içinde güven inşa etmesi ve kazanması ve bu güveni kendi “markalarıyla” ilişkilendirmesi gerekir.

Fidye yazılımı gruplarının başarılı bir şekilde iş yapabilmeleri için bir güvenlik açığı havasına ihtiyacı var. Bağlı kuruluşlar için yayından kaldırma, kolluk kuvvetlerinin onları kişisel olarak tanımlamaya yetecek kadar bilgi edinebileceği varoluşsal tehdidi temsil eder.

Benzer şekilde, grubun mağdurları kolluk kuvvetlerinin altyapıyı tehlikeye atabileceğine ve şifre çözme anahtarları sağlayabileceğine inanırsa, ödeme yapma konusunda büyük ölçüde caydırılırlar ve bu da bağlı kuruluşların bu grupla çalışma konusunda daha da caydırıcı olmasına neden olur.

İşler Nereye Gidiyor?

Fidye yazılımı büyük olasılıkla yakın zamanda ortadan kaybolmayacak, ancak ekosistemde önemli değişiklikler bekliyoruz. Fidye yazılımı altyapısının devre dışı bırakılması, etkilenen gruplarda kesinlikle geçici bir kesintiye neden olur, ancak yüzlerce, binlerce bağlı kuruluş tarafından yönetilen bir ekosistemi kalıcı olarak etkilemez.

Tarih bir rehber olacaksa, fidye yazılımı ekosisteminin parçalandığını görebiliriz. 2022'de Baskın Forumları kolluk kuvvetleri tarafından kaldırıldı ve bu, kaçan kullanıcıların kendi topluluklarını oluşturmasıyla birçok yeni küçük karanlık web forumunun ortaya çıkmasına neden oldu.

BlackCat'in çıkışı ve LockBit'in devre dışı bırakılmasının neden olduğu ani şok, fidye yazılımı ekosisteminde benzer bir olguya yol açabilir; çünkü bağlı kuruluşlar büyük gruplara olan güvenlerini kaybeder ve bunun yerine kendi küçük kuruluşlarını yönetmeyi tercih ederler.

Bunun Kurumsal Güvenlik açısından ne gibi sonuçları var?

Kısa vadede, ekosistem yeni bir paradigmaya geçtikçe fidye yazılımı tehdidi bir miktar azalabilir. Ekosistem nasıl değişirse değişsin, aynı mavi ekip önerileri kuruluşların yüksek etkili olay riskini azaltmasına yardımcı olabilir. Kuruluşlara şunları yapmanızı öneriyoruz:

Hırsız Günlükleri ve Sızan Kimlik Bilgileri için Kapsamlı İzleme Gerçekleştirin: Kimlik tabanlı saldırılar, tehdit gruplarının kurumsal BT ortamlarını tehlikeye atmak için kullandığı en önemli vektörlerden biridir. Kuruluşunuzun, hırsız günlüklerinin ve sızdırılan kimlik bilgilerinin satıldığı ve paylaşıldığı yüzlerce siber suç topluluğunda kapsamlı bir karanlık ağ izleme olanağına sahip olduğundan emin olun.

Bilinen İstismar Edilen Güvenlik Açıklarını Düzeltme Eki: Birçok fidye yazılımı bağlı kuruluşu, kuruluşların yamaları geciktirdiği bilinen güvenlik açıkları üzerinden ilk erişim elde eder. Yama yönetimi programınızda harici olarak karşılaşılan varlıklarda halihazırda yararlanılan güvenlik açıklarına öncelik verin.

Tüm kurumsal uygulamalarda MFA/2FA'yı kullanın: Şirketlerin tüm dahili SaaS ve kurumsal uygulamalarda 2FA kontrollerini uygulamasını öneriyoruz. Kimlik doğrulama uygulamaları, her zaman mevcut olan SIM değiştirme riskinin bir sonucu olarak SMS'den daha iyi çalışır.

Flare ile Hırsız Günlüklerini Tespit Edin ve Düzeltin

Parlama Tehdidi Maruz Kalma Yönetimi (TEM) çözümü, kuruluşlara, tehdit aktörleri tarafından yaygın olarak kullanılan maruz kalma türlerini proaktif olarak tespit etme, önceliklendirme ve azaltma olanağı sağlar.

Platformumuz, bilinmeyen olayları keşfetmek, riskleri önceliklendirmek ve güvenliği artırmak için anında kullanabileceğiniz eyleme dönüştürülebilir istihbarat sağlamak için açık ve karanlık web ile yasa dışı Telegram kanallarını 7/24 otomatik olarak tarar.

Flare, güvenlik programınıza 30 dakika içinde entegre olur ve çoğu zaman birçok SaaS ve açık kaynak aracının yerini alır.

Ücretsiz denememize kaydolarak daha fazla bilgi edinin.

Flare tarafından desteklenmiş ve yazılmıştır.



Source link