Twente Üniversitesi’ndeki doktora araştırmasına göre, Hollanda polis müdahaleleri hedefledikleri fidye yazılım gruplarının yaklaşık yarısını başarıyla bozuyor.
Hollandalı polis siber ekipleriyle birlikte dört yıl geçiren Tom Meurs tarafından yürütülen çalışma, suçluların müdahaleden sonra devam ettiklerinde bile, daha az ve daha az önde gelen kurbanları hedefleyen daha küçük bir ölçekte yaptıklarını ortaya koydu.
Araştırma, fidye yazılımlarına karşı kolluk kuvvetleri hakkında nadir bir fikir sunmaktadır. Kamuoyu algısı, polisin siber suç üzerinde sınırlı bir etkisi olduğunu öne sürse de, bulgular hedeflenen müdahalelerin sistematik veri toplama ile desteklendiğinde ölçülebilir sonuçlar verdiğini göstermektedir.
Merkezi veri toplama
Hollanda yaklaşımı, fidye yazılımı istihbaratının sistematik toplanması ve merkezileşmesi nedeniyle uluslararası alanda öne çıkıyor. Meurs, altı ayını Hollanda’daki polis davalarından kapsamlı veri derleyerek geçirerek, diğer birkaç ülkenin elde ettiği benzersiz bir istihbarat pozisyonu yarattı.
“Belçika, Lüksemburg ve Almanya’dan meslektaşlarıyla konuştum. Fidye yazılımı ile ilgili zorlu şey, bilgilerin genellikle farklı polis sistemlerine dağılmış olmasıdır ”dedi. “Bizi Hollanda’da nispeten benzersiz kılan şey, doktora araştırmalarını bu konuya adamak ve daha birleşik bir saldırı veritabanı oluşturmaktır.”
Bu merkezi veri toplama birden fazla fayda sunar. Çoğu saldırıdan sorumlu nispeten az sayıda suç grubu üzerinde daha güçlü bir zeka pozisyonu oluşturmaya yardımcı olur. Düzeltme şirketleri kullanılabilir hale geldiğinde veya tutuklamaların yanı sıra diğer müdahaleler mümkün olduğunda, yetkililer fayda sağlayabilecek mağdurları daha kolay tanımlayabilir.
Müdahale etkinliği
Araştırma beş müdahale stratejisini değerlendirdi: fidye yazılımı ağlarına bağlı bireylerin tutuklanması, yaptırımlar uygulamak, şifrelemeleri kullanılabilir hale getirmek, sızıntı alanlarını indirmek ve kripto para birimi varlıklarını dondurmak.
Dikkat çekici bir şekilde, bu müdahaleler sınırlı suç yerinden edilmesini göstermektedir, bu da suçluların genellikle bozulmadan sonra farklı yöntemlere geçmediklerini düşündürmektedir. Bu, suç faaliyetlerini daha az çekici hale getirmenin ortaya çıkmalarını azaltabileceğini gösteren rasyonel seçim teorisi ile uyumludur.
Meurs, “Veriler, suç faaliyetlerini daha az karlı veya daha riskli hale getirdiğinizde, bu faaliyetlerde bir azalma görme eğiliminde olduğunuzu gösteriyor” dedi. “Çalıştığım müdahalelerin fidye yazılımı operasyonlarını üç şekilde etkilediği görülüyor: karları azaltmak, saldırıları yürütmek için gereken çabayı artırmak veya tespit riskini artırmak.”
Sorunun ölçeğini ölçmek
Araştırma, Hollanda’daki fidye yazılımı olayları hakkında nicel veriler sunmaktadır. Büyük işletmeler için, fidye yazılımı saldırısının yıllık riskinin%1,3 olduğu tahmin edilirken, orta ölçekli şirketler için yaklaşık%0,6’dır. Veriler, bu kuruluşlara yönelik saldırıların sadece% 40’ının tespit edildiğini göstermektedir.
Veriler, suç faaliyetlerini daha az karlı veya daha riskli hale getirdiğinizde, bu faaliyetlerde bir azalma görme eğiliminde olduğunuzu göstermektedir.
Tom Meurs, Tweet Üniversitesi
Finansal etki, ortalama saldırı kurbanların yaklaşık 514.000 € maliyeti ile önemli ölçüde değişmektedir. Veri eksfiltrasyonunu içeren olaylar – çift gasp – önemli ölçüde daha yüksek maliyetler gösterir, ortalama 2,1 milyon €.
Özellikle küçük işletmeler için durumdur. Meurs’un araştırması, mutlak açıdan daha sık mağdur olduklarını gösteriyor, ancak olayları polise bildirme, olay müdahale firmalarıyla uğraşma veya sızıntı alanlarında görünme olasılıkları daha düşük.
Meurs, “Küçük işletmeler genellikle polise yaklaşmayı zor buluyor çünkü ‘Ben saldırıya uğrayan küçük bir şirketim, polis benim için ne yapacak?’ ‘Dedi. “Olay müdahale şirketleri genellikle çok pahalıdır, bu yüzden bunu karşılayamazlar. Ve nadiren sızıntı alanlarında ortaya çıkıyorlar çünkü saldırganlar öncelikle daha büyük şirketleri itibarlarını oluşturmak için hedefliyorlar. ”
Yedek karmaşıklıklar ve sigorta etkileri
Kuruluşlara standart tavsiyeler uzun zamandır “iyi yedeklemeler yapın ve ödemeyin” olsa da, Meurs’un araştırması çok daha karmaşık gerçekleri ortaya koyuyor. Suçlular artık rutin olarak önce yedekleme sistemlerini hedef alarak geleneksel yedekleme stratejilerini yetersiz hale getiriyor.
“Siber suçlular her zaman yedeklemeleri silmeye çalışır çünkü bir şirketin yedeklerle iyileşip iyileşemeyeceğini biliyorlar, ödeme olasılıkları daha düşüktür” dedi. “Bu yüzden siber bir olay için yedeklemelerin fidye yazılımlarına karşı korumak için tasarlanmış yedeklemelerden temel olarak farklı olduğunu vurguluyorum.”
Araştırması, çoğu şirketin fidye ödediğini buldu. “100 kuruluştan sadece yaklaşık beşi işlevsel yedekleme kurtarma yeteneklerine sahiptir. Diğer% 95’i ödendi, çünkü gerçekten uygulanabilir bir kurtarma seçeneği yoktu ”dedi. Bu bulgu, fidye ödemelerini yasaklama tekliflerinin etkinliğine meydan okuyor.
Meurs, “Ödemeler yasaklanmışsa, bu şirketler ya yine ödeme yapıyor ve potansiyel olarak cezalarla karşı karşıya kalacaklar ya da tüm BT altyapılarını kaybedecek ve muhtemelen iflasla karşı karşıya kalacaklardı” dedi. “Toplumsal maliyet perspektifinden bakıldığında, böyle bir yasak muhtemelen iyiden daha fazla zarara neden olur.”
Araştırma ayrıca, siber sigortanın risk yönetimi için gerekli olmasına rağmen, sapkın teşvikler yarattığını ortaya koymaktadır. Siber sigortası olan şirketlerin, veriler zorlandıysa 2,7 kat daha sık ve hatta 5,5 kat daha sık fidye ödediğini buldu. Meurs, suçluların taleplerini buna göre kalibre etmek için ağların içindeki sigorta poliçesi belgelerini aradığını söyledi.
Küçük işletmeler için girişimler
Hollandalı yetkililer, küçük işletme mağduriyeti etrafında önemli kör noktaya değinmek için çalışıyorlar. Bir girişim, çevrimiçi raporlama seçenekleri aracılığıyla raporlama engellerini azaltmaya odaklanır.
Meurs, “Polis giderek daha geniş karşı önlemlere odaklanıyor, sadece tutuklamalara değil,” dedi. “Örneğin, bir fidye yazılımı grubu, yaklaşık 200 anahtarın kurtarılmasına izin verecek şekilde tehlikeye atıldı, bu da mağdurların ödeme yapmadan dosyalarına erişebileceği anlamına geliyordu. Ancak sadece rapor veren kurbanlara anahtarlar sağlayabiliriz. ”
Bu, Hollandaca teknik uzmanlığı kurbanlara pratik yardımla birleştirme yaklaşımını örneklendirir – ancak öne çıkan kurbanlara bağlıdır.
Fidye yazılımı gelişmeye devam ediyor, Meurs birkaç trend gözlemliyor. Daha fazla şirket yedekleme stratejilerini geliştirdikçe, suçlular giderek daha fazla veri hırsızlığına odaklanmaktadır. Ayrıca, birlikte çalışan 100’den fazla suçludan oluşan büyük fidye yazılımı grupları iç çatışmalar nedeniyle kırılmaktadır.
Meurs, “Kısa vadede birçok fidye yazılımı grubunun radarın altında daha küçük olarak uçmaya çalışacağını umuyorum” dedi. “Hala önemli miktarda ödeyen büyük şirketleri hedefleyecekler, ancak daha gizli çalışacaklar.”
Kuruluşlar için BT altyapılarını anlamak çok önemlidir. Meurs, “Sorun yaşayan şirketler genellikle BT altyapılarını iyi bilmiyorlar” dedi. “BT sağlayıcılarını üç kez değiştirmiş olabilirler ve hala yurtdışında bir yerlerde modası geçmiş yazılım işleten bir sunucu olduğunu bilmiyor olabilirler, bu da genellikle suçlular için giriş noktaları sağlıyorlar.”
Gömülü araştırmalar, merkezi zeka ve çeşitli müdahale stratejilerini birleştiren Hollanda yaklaşımı, diğer ülkeler için değerli dersler sunmaktadır. Bu model olgunlaştıkça, Hollanda kolluk kuvvetleri fidye yazılımı ekosistemini bozma yöntemlerini geliştirmeye devam ediyor.
Tehdit sürekli olarak gelişirken, Hollanda siber suç birimlerinden gelen mesaj açıktır: görünüşte küçük davalar bile bu suç ağlarının etkili bir şekilde bozulmasını sağlayan zeka resmine katkıda bulunduğundan.