Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Araştırmacı tarafından onaylanan sadece 777 $ karşılığında herkese kolay erişim sunan ‘Lite Panel’
Mathew J. Schwartz (Euroinfosec) •
16 Mayıs 2025
Fidye yazılımı grupları, gasp getirileri arayışında büyük ve küçük organizasyonları sarsmanın yenilikçi yollarını bulmaya devam ediyor.
Ayrıca bakınız: En son Geter ATT & CK değerlendirmeleri için tam kılavuz
Son altı yıldır, hizmet olarak fidye yazılımı modeli sayesinde birçok operasyon gelişti. Bu, fidye yazılımlarının özelleştirilmiş bir sürümünü bir portaldan indiren ve kurbanları enfekte etmek için kullanan iş ortaklarına veya iştiraklere kripto kilitli kötü amaçlı yazılım kiralayan bir operatör içerir. Alınan her fidye ödemesi için tipik anlaşma, bağlı kuruluşun%80 alacağıdır. Bu yaklaşım, saldırganların operasyonlarını büyük ölçüde ölçeklendirmesine izin verirken, uzman uzmanlığı taşımaya getirdi.
Lockbit fidye yazılımı grubu için, RAAS yaklaşımına bir tweak, daha az deneyimli iş ortakları almayı amaçlayan fidye yazılım portalının “lite” versiyonunu piyasaya sürmek oldu.
Grubun iletişiminin geçen hafta sızıntısı yeni yaklaşımı doğruladı, Anastasia Sentsova, bir araştırma raporunda Analist1’de fidye yazılımı siber suç araştırmacısı söyledi. Sızıntı, çok sayıda iç iletişimin yanı sıra bağlı kuruluşlar ve kurbanlar arasındaki mesajlaşmayı içerir, hepsi Aralık 2024’ten 29 Nisan’a kadar zaman damgasıdır (bakınız: bkz: Hacker sızıntıları çalınan kilitbit fidye yazılımı işlem veritabanı).
Lockbit de daha gelişmiş bir panel sunduğunu iddia ederken, Sentsova bunun teyit edilemeyeceğini, ancak grubun geleneksel olarak nasıl çalıştığı konusunda kare olacağını söyledi.
“Daha önce, bağlı kuruluşların bir lockbit cüzdanına 1 bitcoin yatırmaları gerekiyordu, daha sonra operatörün fidye ödemelerinden% 20 payını karşılamak için kredi olarak kullanıldı.” Dedi. Diyerek şöyle devam etti: “Bu yaklaşım, bağlı kuruluş ve operatör arasında güven oluşturmaya hizmet ederken, aynı zamanda potansiyel kolluk kuvvetlerini ve araştırmacıların programa sızmasını engellemek için giriş önündeki engelleri artırdı.”
Lite portalının tanıtımı, Lockbit’in 2024 yılının başlarında İngiltere’nin Ulusal Suç Ajansı ve FBI tarafından öncülük ettiği Cronos Operasyonu yoluyla kesintiye uğradı. Operasyon, grup altyapısını bozdu, çok sayıda kurban ve bağlı kuruluşun tutkusu için şifre çözme anahtarları elde etti. Kolluk kuvvetleri, açık sözlü “Lockbitsupp” sapının arkasındaki kilitbit lideri olmakla suçlanan 32 yaşındaki Rus ulusal Dmitry Yuryevich Khoroshev’e karşı bir iddianame olarak adlandırıldı (bkz: bakınız: bkz: Europol Detayları Lockbit Fidye Yazılım İştirakleri).
Lockbit, geçen Aralık ayında grubun bir üyesinin – muhtemelen Lockbitsupp – Tehdit İstihbarat Araştırma Sitesi DeepDarkcti’ye, potansiyel bağlı kuruluşlar için daha kolay erişilebilir bir portal başlatarak da dahil olmak üzere operasyonu rafine etmeye devam ettiğini söyledi.
Lockbit temsilcisi, “Şimdi, herkes bir fidye yazılımı paneline erişebilir ve 777 dolar sembolik bir ücret ödedikten sonra beş dakika içinde çalışmaya başlayabilir.” Dedi. “Kendilerini deneyimli pentester olarak kanıtlayanlar, daha gelişmiş ve işlevsel bir fidye yazılımı paneline erişecekler.”
Analyst1’in Sentsova, sızıntıların Lite panelinin, iki “yönetici” ve “Matrix777”-muhtemelen çekirdek işlemin kendisiyle bir parçası olduğunu, özellikle de her ikisinin de aynı Tox eş-peer anlık mesajlaşma kimliğine bağlı olduğunu gösterdiğini söyledi.
Lite panelinin bir tuhaflığı, diğer 73 kullanıcının büyük ölçüde nispeten deneyimsiz uygulayıcılardan oluştuğu görülüyor. Sentsova, “Birkaç gösterge, bu sonucu, en önemlisi, müzakereler sırasında bağlı kuruluşların sorgulanabilir davranışını destekliyor, fidye talepleri tipik olarak tarihi kilitbit saldırıları ve tutarlı bir dikkatsiz zincir üzerinde davranış paterni ile ilişkili olanlardan önemli ölçüde daha düşük görünüyor.” Dedi. Bağlı kuruluşlar gibi arabasız davranışlar, fidye ödemelerini hemen kripto para borsalarındaki – Kucoin ve Whitit de dahil olmak üzere – hesaplara yönlendirme, önce “çok düşük bir operasyonel güvenlik seviyesi öneren” dediği para izini gizlemeye çalışmadan.
Sızan sohbetlerde, lite panel kullanıcılarından ikisi Nisan ayında kendilerini Ransomhub’ın eski iştirakleri olarak tanıttı – o zamanlar artık operasyonel değil – başka bir bağlı kuruluş, özellikle aktifti, tüm sızdırılmış saldırgan -savaş müzakerelerinin% 47’sinden sorumlu olmak ve Çin’in de dahil olmak üzere tüm sızdırmaz ülkeler de dahil olmak üzere, “net bir tercihten sorumludur”.
Buna rağmen, Christopher, Sentsova’nın detaylandırdığı sızdırılmış bir sohbetin kanıtladığı gibi, bir kurbanın Çin kripto para birimi borsasını kullanarak bir fidye ödemesini talimat verdiği her zaman ne yaptığını bilmiyordu.
“Kardeşim, Tayvan’dayız, Çin değil. Çin’den nefret ediyoruz,” diye yanıtladı kurban.
Başka bir kurban müzakeresinde kurban döndü ve Christopher’a fidye yazılımlarına nasıl girileceğini sordu. Christopher, “Şimdi Lockbit panelinde açık kaydı var, ancak 777 dolar.” Herhangi bir başvuru sahiplerinin hangi teknik becerileri gerektirebileceği sorulduğunda, Christopher “Buna ihtiyacınız yok” dedi.
Sızan kurban müzakerelerinde, kaydedilen fidye ödenen bir kısmı yaklaşık 50.000 dolar, ancak diğerleri sadece 12.000 dolar veya 15.000 dolardı. Bu kurbanların nispeten küçük kuruluşlar olduğunu yansıtıyor olup olmadığı açık değildir.
Savunucular için, bu stratejinin talihsiz bir sonucu, “giderek daha düşük giriş engelinin” yönlendirdiği “fidye yazılımlarının demokratikleştirilmesi” olmuştur.
“Önleme en kritik savunma hattı olmaya devam ederken, talihsiz gerçek şu ki, belirlenmiş tehdit aktörleri mağdurların ağlarına yol bulmaya devam ediyor.” Dedi.
Bulguları, veri sızdırmazlık alanlarındaki iddia edilen kurbanlara dayanarak, artan fidye yazılımı saldırılarının toplam hacminin birkaç ayının topuklarında geliyor. Uzmanlar, artışın nedeninin fidye ödeyen daha az kurban ve telafi etmeye çalışan saldırganlardan kaynaklanabileceğini söyledi.
İngiliz güvenlik araştırmacısı Kevin Beaumont, sosyal ağ Mastodon’a yaptığı açıklamada, şu anda günde yaklaşık 26 taze kurban şu anda grupların veri sızdırmazlık siteleri arasında yayınlanıyor, ancak müzakere eden veya müzakere eden kurbanları içermiyor.
Veri sızıntısı siteleri, fidye yazılımı saldırılarının hacmini ölçmek için bir yol sunar, gruplar asla tüm kurbanları listelemeyen ve düzenli olarak yalan söylememe uyarısı (bkz: bkz: Fidye Yazılım Gruplarının Veri Sızıntı Blogları Yalan: Onlara Güvenmeyi Durdurun).
Ayrıca, birçok fidye yazılımı sendikası ve solo operatörü veri sızıntısı siteleri kullanmaz. Beaumont, “Çoğu fidye yazılımı kolektifinin portalları yoktur ve kurban isimlerini bildirmeden veya exfil yapmadan SOMB’leri sessizce hedefler.” Dedi. “Sonuç olarak KOBİ’ler kitlesel olarak bildirilmiştir.