Markalı fidye yazılımı operasyonlarının yüksek profilli yayından kaldırılması gerçek bir etki yaratmaya başlıyor, bilgisayar korsanları arasında anlaşmazlıklara yol açıyor ve siber yeraltında büyük değişimlere neden oluyor.
ABD ve Avrupa Birliği hükümetleri, son aylarda hizmet olarak fidye yazılımı (RaaS) operasyonlarını aksatma çabalarını artırdı; bunların en önemlisi, kötü şöhrete sahip kötü şöhretli yazılıma karşı manşetlere çıkan koordineli eylemlerdi. Kilit Biti Ve ALPHV/BlackCat gruplar. Polis elebaşlarını tespit etti, kötü niyetli altyapılara ve verilere (bağlı kuruluşlar hakkındaki bilgiler dahil) el koydu ve hatta düşmanları sızıntı sitelerine gönderilen mesajlarla trolledi.
Her ne kadar iyi niyetli olsalar da, bu misyonlar, bu kadar büyük, dağınık grupların kalıntıları kaçınılmaz olarak eleştiri alma eğilimindedir. bildirilen ölümden günler veya haftalar sonra ortaya çıkıyor. Sonuçta tehdit aktörleri ortadan kaldırılmayacaksa bunun ne anlamı var?
Yeni bir rapor GuidePoint Security'den fidye yazılımı ekosisteminin mevcut durumu hakkında bu soruya yanıt bulabilirsiniz.
Evdeki RaaS gruplarını çevreleyen drama sayesinde, bağlı kuruluşlar (gerçekte onlar adına saldırılar gerçekleştiren bilgisayar korsanları) giderek onlardan uzaklaşıp, yapamadıkları şeyi sunan daha az bilinen yeni RaaS şirketlerine doğru yöneldiler: güven.
“Yıllardır sorulan soru: Fidye yazılımını nasıl durduracağız?” GuidePoint Araştırma ve İstihbarat Ekibinin (GRIT) uygulama lideri Drew Schmitt diyor. “Cevabın parçalarından biri, gruplar ve bağlı kuruluşları arasında güvensizlik yaratmak olabilir.”
LockBit ve ALPHV Kredilerini Nasıl Kaybetti?
Schmitt, “İlk bakışta, eğer gerçekten ayrıntılara dalmazsanız, kolluk kuvvetlerinin operasyonlarında başarısız olduğunu söyleyebilirsiniz” diye itiraf ediyor.
“Ancak biraz daha derine indiğinizde, fidye yazılımı gruplarının altyapılarını kalıcı olarak çökertmeye yönelik olmayan pek çok sonucu olduğunu fark ediyorsunuz” diye ekliyor. “Ve bence en büyüğü, bu büyük grupları, sonuçta güvenilirliklerini zedeleyecek kararlar almaları veya eylemlerde bulunmaları için etkilemek.”
Bunun en tuhaf örneği şu anda yaşandı: ALPHV geçen Aralık ayında yayından kaldırıldı. Altyapısını ve itibarını yeniden inşa etme çabasının ardından (bağlı kuruluşlara kazançlarından daha fazla kesinti sunarak ve belirli hedefleme kısıtlamalarını kaldırarak) grup, bir çıkış dolandırıcılığı kullanarak kaybından gerçekten yararlanmanın bir yolunu buldu. Bağlı kuruluşlarından biri, birkaç hafta önce United Healthcare'e 22 milyon dolarlık bir soygun gerçekleştirdiğinde, grup kar paylaşımı anlaşmasını göz ardı etti, kazancının tamamını elinde bulundurarak, kolluk kuvvetleri tarafından bir kez daha mağlup olduklarını iddia etti. Ortak, aksini önermek için sohbet günlükleri ve blockchain verileri yayınladı.
Affiliate, ALPHV'nin çıkış dolandırıcılığını açığa çıkarıyor. Kaynak: GuidePoint Güvenliği
LockBit'in durumunda, kolluk kuvvetlerinin önemsiz trollemeleri bile maddi bir itibar etkisi yarattı. Bir parçası olarak Cronos Operasyonuemniyet teşkilatı LockBit'in sızıntı sitesine “LockbitSupp, Law Enforcement ☺ ile temasa geçti” şeklinde bir gönderi yayınladı; bu, RaaS liderinin sokaktaki itibarını zedeledi ve eğer doğruysa, tüm bağlı kuruluşlarını da riske attı.
Fidye yazılımlarında eskiden en çok güvenilen isimlere olan güven azalırken, diğer gruplar devreye girip onların yerini almaya çalışıyor.
RaaS Startup'ları SİZİ İstiyor
Schmitt, daha büyük grupların bıraktığı boşlukta şu gözlemi yaptı: “LockBit ve ALPHV'nin geçmiş yıllarda birbirleriyle rekabet ettiği gibi, bu küçük gruplardan bazıları arasında bir tür ileri geri hareket görüyoruz. Piyasada aynı tür ürün veya alanda ne kadar çok farklı yeni ortaya çıkan şirketin birbirleriyle rekabet ettiğini, her zaman değişmeye, gelişmeye çalıştığını ve kendilerini gerçekten öne çıkarmaya çalıştıklarını düşünüyorum.”
Örneğin başlangıç şirketi RaaS Cloak, yakın zamanda UFO Labs yer altı forumunda ortalamanın üzerinde 85/15 kâr paylaşımı teklifi sundu ve güçlü ve değiştirilebilir olduğu iddia edilen kötü amaçlı yazılıma erişim için herhangi bir ön ödeme gerekmedi.
Orta ölçekli RaaS grubu Medusa, idari, reklam ve müzakere ekiplerine 7/24 erişim ve 70/30'dan başlayıp 90/30'a yükselen değişken ölçekli bir ödeme paylaşım modeli sunarak eski ALPHV ve LockBit bağlı kuruluşlarını ortadan kaldırmaya çalışıyor. 1 milyon doları aşan fidyeler için 10.
Medusa ile aynı Rusça yeraltı forumundan çalışan “RansomHub” adlı başka bir yeni başlayan grup – RAMP – sabit bir 90/10 bölünmesinin ve bağlı kuruluşların diğer gruplarla da serbestçe sözleşme yapabileceği bir politikanın reklamını yapıyor. Ancak temel değer önerisi güven ile ilgilidir.
RansomHub'ın RAMP işe alım gönderisi. Kaynak: Kılavuz Noktası Güvenliği
Grup çevrimiçi olarak şöyle yazdı: “Bazı bağlı kuruluşların polis tarafından ele geçirildiğini veya paranızı kaybetmenize neden olacak dolandırıcılık faaliyetlerinden kaçtığını fark ettik.” RansomHub, onların da aynısını yapacağına dair endişeleri gidermek için geleneksel modeli tersine çevirdi: Tüm fonları kontrol etmek ve bağlı kuruluşlara kendi paylarını ödemek yerine, bağlı kuruluşlar kendi cüzdanlarını kontrol ediyor ve RansomHub'a ödeme yapıyor.
Açıkçası Schmitt şunu belirtiyor: “Şu anda bu grupların LockBit ve ALPHV gibi daha büyük gruplara olan güvensizlikten nerede yararlanabileceklerini bulmaya çalıştıkları bir tür sarkaç değişimi yaşanıyor.”
“Fidye yazılımı geleneksel olarak çok tepkisel bir siber suç türü olmuştur” diyor ve şöyle devam ediyor, “ve şu anda bulunduğumuz nokta bu. Her şey çok değişken ve bunun nasıl sonuçlanacağını görmemiz gerekecek.”