Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Ve Yetkililer Onları Daha İyi Rahatsız Edene Kadar Bunu Yapmaya Devam Edecekler – Ama Nasıl?
Mathew J. Schwartz (euroinfosec) •
16 Ocak 2023
Fidye yazılımı grupları, tehlikeli ve ahlaki açıdan iflas etmiş davranışları için herhangi bir sorumluluk üstlenmemek için yalan söylemeye devam ediyor.
Ayrıca bakınız: Kimlik Avının Anatomisi: Gelişmiş Kimlik Avı Saldırılarını Önlemek İçin En İyi Kimlik Doğrulama Uygulamaları
En son örnek, İngiltere’nin ulusal posta servisinin LockBit tarafından mağdur edilmesini ve çetenin saldırının suçunu saptırmak için yarı gerçekler ve yalanlar üretmesini içeriyor (bkz: LockBit, Royal Mail Saldırısından Uzaklaşmaya Çalışıyor).
İşte gerçekler: Posta servisi Pazartesi günü yaptığı bir güncellemede, “Royal Mail, bir siber olayın ardından uluslararası ihracat hizmetlerimizde ciddi hizmet kesintisi yaşıyor” dedi. “Geçici olarak denizaşırı yerlere ürün gönderemiyoruz.”
İşte fidye yazılımı suçlu dönüşü: LockBit sözcüsü LockBitSupp, başlangıçta Royal Mail’e yapılan saldırının arkasında hizmet olarak fidye yazılımı operasyonunun olmadığını iddia etti.
Bunun yerine, birisinin geçen Eylül ayında sızan LockBit oluşturucunun bir sürümünü kullanarak saldırıyı gerçekleştirmesini önerdi. Bu, saldırganın LockBit tarafından yürütülen – bekleyin – müzakereye ve portal sayfalarına geri götüren çalışan bağlantıları kullanmasına rağmen oldu.
LockBitSupp’un zaten titrek olan reddi, sonrasında çöktü itiraf etti Cumartesi günü bir Rus siber suç forumu gönderisinde, grubunun en kârlı 10 bağlı kuruluşundan birinin gerçekten de saldırının arkasında olduğunu bildirdi.
Bağlı kuruluşlar, fidye yazılımı gruplarının incelenmiş iş ortaklarıdır. LockBit, bağlı kuruluşlarına, yeni kurbanları etkilemek için kullanılmak üzere düzenli olarak güncellenen kripto-kilitleme kötü amaçlı yazılımı sağlar. Karşılığında LockBit, her bir üye ile varılan bireysel anlaşmalara dayalı olarak ödenen her fidyenin en az %25’ini elinde tutar.
Ancak, bağlı kuruluşlarının ne yaptığını bilmediği için LockBit’i kim suçlayabilir? LockBitSupp, siber suç forum gönderilerinden bir başkasına göre, “İş stresli,” diyor, “sonsuz hedefler, yüzlerce operatör ve … oturup haberleri izleyebildiklerinde hepsini izlemeye zaman yok”. tarafından tespit edildi Azim HocabayevCisco Talos’ta bir güvenlik araştırmacısı.
Fidye yazılımı önleme grubu MalwareHunterTeam tweet atarken, yaklaşık yüz LockBitSupp’u yapar palyaço gibi görünmek. Ancak LockBitSupp, fidye yazılımının çalınan verileri silmeyi ve bir şantaj ödemesi karşılığında çalışan bir şifre çözücü sağlamayı teklif eden betiğini değiştirmiyor.
Özünde, bir suçlu başka bir ağır suç işlediğini kabul etti ve bu fırsatı, grubun kurbanı zorla gasp etme girişimini sürdürmek için kullandı.
Yarı Gerçekler ve Yalanlar
LockBitSupp’un çift konuşma bölümü, fidye yazılımı çetelerinin gelirlerini artırmak için nasıl düzenli olarak yalan söylediğini ve gerçekleri nasıl uydurduğunu hatırlatıyor. Bu, aşağıdakilerle ilgili tüm iddiaları içerir:
- Verilerin silinmesi: Uzmanlar, mağdurları verileri silme vaatleri için asla ödeme yapmamaya teşvik etmeye devam ediyor, özellikle de herhangi bir grubun bunu gerçekten yaptığına dair reddedilemez bir kanıt görmedikleri için. Bunun yerine, muhtemelen Pazar gününden üç farklı şekilde çalıntı ilginç bilgiler satıyorlar.
- Ücretsiz şifre çözücüler: Bazı gruplar sağlık hizmetlerine veya kritik altyapı kuruluşlarına saldırmadıklarını iddia ediyor. Bununla birlikte, kastettikleri şey, eğer böyle bir organizasyona saldırırlarsa ve bu politik olarak elverişsiz hale gelirse, ücretsiz bir şifre çözücü sağlayabilirler. Bu noktada, kapsamlı ve maliyetli hasar zaten yapılmıştır.
- Bağlı Kuruluşlar: Fidye yazılımı grupları, bağlı kuruluşların gerçekte onlar adına saldırılar düzenlemeye teşvik edilen yükleniciler olduğunu belirtmeyi ihmal ederken, uygunsuz isabetler için bağlı kuruluşları suçlamayı sever.
- Şifre Çözücüler: Gruplar bazen dosyaları veya en azından bazı dosyaları geri yükleyecek şifre çözücüler sağlar. Güvenlik uzmanları, bir şifre çözücü için ödeme yapmayı araştıran kurbanların, herhangi bir çetenin pazarlıklara girmeden veya ödemeyi seçmeden önce siber sigortacıları veya saygın bir fidye yazılımı olay müdahale firması ile birlikte çalışarak herhangi bir çetenin geçmişi hakkındaki istihbaratı gözden geçirmesini tavsiye ediyor.
Batılı kolluk kuvvetlerinin LockBit bağlı kuruluşlarını belirleme çabalarını iki katına çıkarıp çıkarmayacağını ve altyapıyı bozup bozmayacağını göreceğiz, ancak REvil, namı diğer Sodinokibi ve diğer gruplar üzerinde ortaya çıkan aksamalar göz önüne alındığında, bu güvenli bir bahis.
Yanıt olarak, geçen yıl fidye yazılımı gözlemcileri, daha fazla sayıda fidye yazılımı kullanan saldırganın LockBit veya BlackCat gibi büyük markalarla çalışma riskiyle karşı karşıya kalmaktansa tek başına çalışmayı tercih ettiğini bildirdi (bkz: Fidye Yazılımı Ekosistemi: Büyük İsimli Markalar Bir Sorumluluk Haline Geliyor).
Rusya’da faaliyet gösteren kişiler, Ruslara saldırmadıkları sürece büyük risklerle karşı karşıya görünmüyor. Aynı şey, ülke dışında bulunan bağlı kuruluşlar için geçerli değildir.
Geçen Kasım ayında Kanada polisi, Ontario’da sözde bir LockBit üyesini tutukladı. Çifte Rus-Kanada vatandaşı, bilgisayar izinsiz giriş yapmak için komplo kurmakla suçlandığı Amerika Birleşik Devletleri’ne iade edilmekle karşı karşıya.
Bozulmayı Aramak
Açıkçası, fidye yazılımı iş modelini bozmak için daha fazlasının yapılması gerekiyor. Emsisoft’un bildirdiğine göre, 2022’deki bilinen fidye yazılımı saldırılarının hacmi 2021’e göre çok az değişti. Geçen yıl ABD’de siber güvenlik firması “106 yerel yönetime, 44 üniversite ve koleje, 1.981 okul işleten 45 okul bölgesine ve 290 hastane işleten 25 sağlık hizmeti sağlayıcısına” yönelik saldırıları saydı.
Fidye yazılımına karşı bir girişim üzerinde dünya çapında çalışan 30 ülke de dahil olmak üzere çok sayıda çaba sürüyor. Ancak bu fidye yazılımı önleme programları, COVID-19 salgını, Rusya’nın Ukrayna’daki savaşı ve ekonomik gerilemenin etkileriyle uğraşan “çok meşgul, aşırı yüklenmiş hükümetlerin hızında ilerliyor”, diyor siber güvenlik gazisi Jen Ellis (bkz:: Fidye Yazılımı Saldırılarıyla Mücadele: Hangi Stratejiler Vaat Ediyor?).
İyi haber, diyor ki, “hala fidye yazılımı etrafındaki gündemi ilerletmek ve saldırganların hayatını zorlaştırmak için yapılabilecek şeylere bakıyorlar.”
Ellis, ayrıca, bu saldırıların damgasını kaldırmak ve kurbanların bunları kamuoyuna açıklamasını sağlamak için ortak bir çabaya ihtiyaç duyulduğunu, böylece suçluların gölgede hareket etmediğini söylüyor. Daha fazla ayrıntı gün ışığına çıktıkça, savunucuların onlara karşı koyma yeteneği ve kolluk kuvvetleri veya istihbarat teşkilatlarının saldırganların yaptığı ve iş modelini ve onun geveze uygulayıcılarını bozan hatalardan yararlanma yeteneği o kadar artar.