Kurbanların Fidye Yazılım Gruplarına Bilinen Fidye Ödemeleri Düşüyor

Blockchain istihbarat firması Chainalysis, şu anda mevcut verilere dayanarak, “2022’nin toplam fidye yazılımı geliri, 2021’deki 765,6 milyon dolardan 2022’de en az 456,8 milyon dolara düştü – %40,3’lük büyük bir düşüş.”

“Kanıtlar, bunun fidye yazılımı saldırılarının sayısındaki düşüşten ziyade kurbanların fidye yazılımı saldırganlarına ödeme yapma konusundaki artan isteksizliğinden kaynaklandığını gösteriyor” diye ekliyor.

Gerçekten de, birçok kaynağa göre, fidye yazılımı saldırılarının sayısı son yıllarda azalmadı veya en azından çok fazla azalmadı.

Chainalysis bulgularıyla ilgili bir uyarı, suçluların işlettiği veya sahibi olduğu bilinen cüzdanlara kripto para akışlarının izini sürmeye dayanmasıdır. Polis, bir siber suç grubunu veya darknet pazarını çökerttiğinde ve kripto para cüzdan adreslerini ve diğer istihbaratları paylaştığında olduğu gibi, yeni bilgiler gün ışığına çıktıkça şirket, kripto para birimi akış hacimlerine ilişkin geçmiş tahminlerini düzenli olarak güncelliyor.

Örneğin, geçen yılın başlarında firma, 2021 için 602 milyon dolarlık fidye yazılımı ödemesi gördüğünü bildirdi ve bunu şimdiye kadar 766 milyon dolara revize etti.

Ancak Chainalysis’in bulguları, güvenlik firması Coveware’inkilerle örtüşüyor. Ekim ayında fidye yazılımı olay müdahale şirketi, daha az sayıda fidye yazılımı kurbanının fidye ödediğini bildirdi.

Bir Fidye Yazılımı Kurbanı Ne Sıklıkta Ödeme Yaptı?

Coveware, bunun kısmen saldırganlar tarafından sağlanan şifre çözme araçlarının “kalite ve güvenilirliğindeki düşüşten” kaynaklandığını ve bunun da daha fazla kurbanın ödeme yapmaktan kaçınmasına neden olduğunu söyledi (bkz:: Fidye Yazılımı: “Amatör” Taktikler Daha Az Mağdurun Ödeme Yapmasına Yol Açıyor).

Fidye Yazılımı Değişiklikleri

2022’deki fidye yazılım ortamını analiz eden Chainalysis ayrıca şunları buldu:

• Daha fazla suş: Aktif fidye yazılımı türlerinin sayısı geçen yıl “bildirildiğine göre patladı”. Fortinet, yalnızca geçen yılın ilk yarısında 10.000’den fazla tür gördü, ancak fidye gelirlerinin aslan payı hala nispeten az sayıda gruba akıyor.
• Daha kısa kullanım ömrü: Bir fidye yazılımı türünün 2021’de ortalama ömrü 153 günken, geçen yıl bu süre yalnızca 70 güne düştü, bunun nedeni potansiyel olarak saldırganların yeni kötü amaçlı yazılım türleri üreterek “etkinliklerini daha iyi gizlemeye” çalışmalarıydı.
• Kara para aklama değişiklikleri: Karıştırıcıların kullanımı biraz artmasına rağmen, fidye yazılımları kara para aklamak için yüksek riskli borsalar veya karanlık ağlar yerine fonları aklamak için giderek daha fazla “ana akım, merkezi borsaları” kullandı.
• Küçük yetenek havuzu: “Yıl boyunca pek çok tür aktif olsa da, fidye yazılımı ekosistemini oluşturan bireylerin gerçek sayısı muhtemelen oldukça azdır.”

Siber suç alanındaki sadakat, en azından fiilen operatörlerden saldırı kodu kiralayan fidye yazılımı gruplarının bağlı kuruluşları – veya iş ortakları – için ucuz olmaya devam ediyor gibi görünüyor. Güvenlik uzmanları, bağlı kuruluşların bazen aynı anda olmak üzere farklı gruplarla nasıl çalıştığını uzun süredir takip ediyor. Bazı bağlı kuruluşlar, hedef seçimine dayalı olarak farklı türler kullanıyor gibi görünmektedir. Bağlı kuruluşlar genellikle ödenen her fidyenin %70’ine kadarını alsa da, bazıları operatörlerle farklı kâr paylaşımı düzenlemeleri için pazarlık yapabilir.

Geçen yıl, daha fazla üye, sırtlarına çok fazla hedef koyduklarından korkarak büyük isimlerle çalışmaktan uzaklaştı. Ek olarak, kaynak kodu Conti, Hello Kitty ve LockBit’ten sızdırıldı, bu da potansiyel saldırganların kendi fidye yazılımlarını yaymak için birden fazla seçeneğe sahip olduğu ve geliri bir hizmet olarak fidye yazılımı operasyonuyla bölmek zorunda kalmadığı anlamına geliyor. Ödenen her fidyenin %30’u (bkz: Fidye Yazılımı Ekosistemi: Büyük İsimli Markalar Bir Sorumluluk Haline Geliyor).

Geçen Ekim ayında Microsoft, Vice Society grubunun iki farklı hizmet olarak fidye yazılımı teklifi kullandığının görüldüğünü bildirdi: Quantum Locker ve BlackCat, namı diğer Alphv ve ayrıca kullanıma hazır fidye yazılımı Zeppelin ve Hello Kitty. kod ücretsiz olarak halka açıktır.

Bu tür değişikliklere rağmen, Chainalysis, fidye yazılımı gelirlerinin çoğunun hala hizmet olarak fidye yazılımı operasyonlarına aktığını bildirdi.

Conti Emekli Oldu Ama Oyuncular Devam Ediyor

Geçen yılki büyük değişikliklerden biri, büyük isim Conti’nin, Rusya’nın Ukrayna’daki savaşına verdiği feci halk desteğinin ardından Mayıs ayında emekliye ayrılmasıydı ve ardından daha az kurban ödemeyi seçti.

Chainalysis, kesin suçlunun muhtemelen Conti’nin şefi “Stern” ile Rusya Federal Güvenlik Servisi veya FSB arasındaki bariz bağları vurgulayan geçen Şubat ayındaki iletişimlerinin sızdırılması olduğunu söylüyor. Conti, ABD Hazine Bakanlığı tarafından hiçbir zaman yaptırıma tabi tutulmamış olsa da, FSB’ye yaptırım uygulandı ve Conti ile görünürdeki bağları, olası fidye ödeyenleri korkutup kaçırmak için yeterli olmuş olabilir.

Chainalysis, birçok Conti üyesi kuruluşun, kurbanlar ödemeyi bıraktıktan sonra yeni gruplarla çalışmaya başladığını söylüyor.

Geçen Haziran ayında Microsoft, BlackCat – namı diğer Alphv – fidye yazılımı operasyonuyla çalışan iki farklı bağlı grubu ayrıntılı olarak açıkladı: daha önce Ryuk, Conti ve Hive kullanmış olan DEV-0237; ve Ryuk, REvil – diğer adıyla Sodinokibi – BlackCat’in öncülü BlackMatter ve Conti’yi kullanan DEV-0504.

Chainalysis, Conti lideri Stern’in de aktif kaldığını ve “Conti’nin ölümünün ardından 2022’de Quantum, Karakurt, Diavol ve Royal gibi türlerle bağlantılı adreslerle” işlem yaptığını söylüyor. Bunlardan en azından bazıları, Conti’nin emekli olmadan önce bıraktığı markalar gibi görünüyor.

Bu nedenle, geçen yıl fidye yazılımı grupları gelip geçerken, olaya karışan kişilerin çoğu tutunuyor ve para kazanıyor gibi görünüyor.