İş Sürekliliği Yönetimi / Felaket Kurtarma , Kritik Altyapı Güvenliği , Siber Suçlar
Fidye Yazılımı, Suçluların En Son Haraç Girişiminde Öne Çıkanlar Olarak Bir Kraliyet Ağrısı Olarak Kalmaya Devam Ediyor
Mathew J. Schwartz (euroinfosec) •
7 Şubat 2023
LockBit grubu, İngiltere’nin Royal Mail’ine yapılan fidye yazılımı saldırısında herhangi bir ilgisi olduğunu reddetmekten fidye için pazarlık yapmaya gitti.
Ayrıca bakınız: paneli | Bir Yanıt Sağlayıcı Seçmenin Gerçekleri
LockBit’in sitesi artık Royal Mail’i kurban olarak listeliyor ve Perşembe gününe kadar fidye ödemesini talep ediyor, yoksa saldırganlar çaldıklarını iddia ettikleri belirsiz verileri çevrimiçi olarak yayınlayacaklar.
Birçok fidye yazılımı grubu gibi, LockBit de kendisine fidye ödemeyen kurbanların bir alt kümesini listeleyeceği kendi veri sızıntısı sitesini çalıştırıyor. Sitenin amacı, herhangi bir veri gerçekten çalınmış olsun ya da olmasın, tipik olarak çalınan verileri sızdırmakla tehdit ederek bir kurbanın adını vermek ve ödeme yapması için utandırmaktır. Bir kurban ödeme yapmazsa, bir grup tipik olarak, ödeme yapmamanın tehlikeleri konusunda gelecekteki kurbanları uyarmak için son teslim tarihi geçtikten sonra elindeki çalıntı verileri atar.
Royal Mail’in 11 Ocak’ta vurulduğunu bildirmesinin ardından, LockBit’in halka bakan LockBitSupp kişiliği başlangıçta saldırıyla hiçbir ilgisi olmadığını iddia etti.
Ancak kısa bir süre sonra LockBitSupp, aslında saldırının arkasında en karlı ilk 10 bağlı kuruluşundan birinin olduğunu söyledi.
Royal Mail, olayın ardından hizmetleri denemeye ve geri yüklemeye devam ediyor. Hemen ardından, hiçbir şey ihraç edemediğini söyleyerek İngiliz sakinlerini yurtdışına gitmesi gereken herhangi bir mektup veya koli göndermeye çalışmamaya çağırdı. O zamandan beri, bazı hizmetler geri yüklendi.
Posta hizmeti, kesintiye uğramasından 27 gün sonra Salı günü yapılan bir hizmet güncellemesinde, yurt dışına paket göndermek isteyen herkesin çevrimiçi veya başka bir hizmet aracılığıyla gönderi satın alması gerektiğini söylüyor. “Şu anda Postane şubelerinden satın alınan yeni Royal Mail paketlerini işleyemiyoruz” diyor.
Royal Mail, bazı durumlarda gecikmeli de olsa yurt dışına götürmek için “alternatif çözümler ve sistemler” aracılığıyla göndererek, büyük bir mektup ve paket birikimini temizlediğini söylüyor. İthalat hizmetlerinde de “küçük gecikmeler” yaşanıyor ve “Postane şubeleri aracılığıyla daha fazla hizmeti sürdürmek için çok çalıştıklarını ve mümkün olan en kısa sürede bu hizmetlerle ilgili daha fazla güncelleme sağlayacağını” söylüyor.
Kâr Hepsinin Önüne Geçer
LockBit’in yüzü – “biz değildik” den “bizdik” – fidye yazılımı gruplarının, bir kurban pahasına kar elde edebildikleri sürece yalan söylemeye, hile yapmaya ve çalmaya devam edeceklerini hatırlatır.
İngiltere’nin kritik ulusal altyapısının bir parçasını – ulusal posta hizmetinde olduğu gibi – vurmak riskli değil mi? Örneğin, DarkSide, Mayıs 2021’de Amerika Birleşik Devletleri’nde Colonial Pipeline’ı vurduktan sonra, grup operasyonlarını kapatmadan ve daha sonra farklı bir adla yeniden başlatmadan önce önce bir bağlı kuruluşu suçladı.
CNI’yi vurmak ateşle oynamak gibi görünse de, birçok güvenlik uzmanının fikir birliği, fidye yazılımı gruplarının hedef seçiminin fırsatçı olmaya devam ettiği yönünde. Kötü amaçlı yazılımlarını kullanan hem operatörler hem de bağlı kuruluşlar ve genellikle kurbanların ağlarına hazır erişim satın aldıkları ilk erişim aracıları, kimi yakalayabilirlerse tuzağa düşürüyor ve sonra belki de kurbanları boyuta ve sektöre göre önceliklendiriyor.
Dikkate değer olan, LockBit’in – veya bağlı kuruluşlarından birinin – Royal Mail’i vurması değil, saldırıya geçmeye karar vermesidir. Bazı gruplar sağlık kurumlarına ücretsiz bir şifre çözücü verecek olsa da, bir hastaneyi bozdularsa veya jeopolitik serpintiyi tetikledilerse bu bir PR hamlesi olarak yapılmış gibi görünüyor. Ancak tüm gruplar ücretsiz şifre çözücüler sağlamaz ve yalnızca bir şifre çözücüye sahip olmak, altyapıyı elden geçirmek ve sistemleri geri yüklemek için gereken zamanı ve masrafı düzeltmez.
Dolayısıyla, LockBit’in devam eden gasp oyunu, tam da grubun korkmuş gibi görünmediği için önemlidir.
Bu, çok sayıda kolluk kuvvetlerinin şüphesiz bu ve diğer gruplara sızmaya çalışmasına rağmen (bakınız: LockBit Fidye Yazılımı Grubunun Büyük Sorumluluğu: ‘Ego Odaklı CEO’).
Son zamanlarda FBI ve onun Alman ve Hollandalı muadillerinin dünyanın en üretken fidye yazılımı operasyonlarından biri olan Hive’ın altyapısına ve operasyonlarına sızması da dahil olmak üzere bazı olağanüstü başarılar elde edildi. Kolluk kuvvetleri kurbanlara şifre çözme anahtarlarını sessizce ileterek 130 milyon dolardan fazla potansiyel fidyenin asla ödenmemesini sağlamaya yardımcı oldu.
Uzmanlar, Hive’ın yakında yeniden başlatılmasını veya markasını değiştirmesini beklerken, fidye yazılımındaki herhangi bir kesinti, iyi bir kesinti olarak sayılmalıdır (bkz.: Hive, FBI Altyapısını Bozduktan Sonra Kaput Olarak Kalacak mı?).
Ne yazık ki, LockBit ve diğer birçok fidye yazılımı grubu aktif olmaya devam ediyor ve kurbanlara ne kadar acı vermeye devam ettikleri inkar edilemez.