Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Yıllık Geliri 1 Milyar Doları Aşan Saldırganların Hayattan Vazgeçmesini Beklemeyin
Mathew J. Schwartz (euroinfosec) •
23 Şubat 2024
LockBit kesintisi ortalığı yatıştığında fidye yazılımının durumu ne olacak?
Ayrıca bakınız: SASE’yi NDR ile entegre etme: SASE Olgunluğu, Bulut Stratejisi ve Ağ Görünürlüğü
Saldırganların, sistemleri zorla şifrelemek ve bir şifre çözücü için ücret talep etmek, verileri çalmak ve onu çöpe atmakla tehdit etmek, korkutucu kamusal kişilikler oluşturmak veya yukarıdakilerin bir kombinasyonunu da içeren aynı stratejilerden oluşan bir paket yoluyla karlarını en üst düzeye çıkarmak için taktiklerini geliştirmeye devam etmelerini bekleyin.
Bu hafta kolluk kuvvetleri tarafından kesintiye uğrayan LockBit, tarihin en başarılı fidye yazılımı gruplarından biri. Kanada istihbaratı, bunu 2022 yılında dünya çapındaki tüm fidye yazılımı saldırılarının %44’üne bağladı. Blockchain analiz firması Chainathesis, 2023’ün başından bu yana LockBit’in herhangi bir fidye yazılımı grubu arasında ikinci en yüksek miktarda izlenebilir fidye ödemesi aldığını söyledi.
En azından şimdilik her şey sona ermiş gibi görünüyor. Ulusal Suç Teşkilatı Genel Müdürü Graeme Biggar, bu hafta 10 ülkenin kolluk kuvvetlerinin yer aldığı ortak operasyonla ilgili olarak “Bilgisayar korsanlarını hackledik” dedi. Grubun altyapısını bozdu, Polonya ve Ukrayna’da şüphelileri tutukladı, çok sayıda Rus’a yaptırım uyguladı ve daha fazlasını yaptı (bkz: İhlal Özeti: LockBit’in Yayından Kaldırılmasından Daha Fazla Etki).
Biggar, “Bu, nerede olursa olsun ve ne kadar gelişmiş olursa olsun hiçbir suç operasyonunun teşkilatın ve ortaklarımızın ulaşamayacağı bir yerde olmadığını gösteriyor.” dedi.
Herkes, LockBit, iştirakleri ve yüklenicileri için hayatı daha da zorlaştıracak ve bazılarını hayat tercihlerini yeniden düşünmeye sevk edecek olan bu aksamayı selamlıyor.
Öyle olsa bile, olaya karışan kişilerin çoğu büyük olasılıkla ya yeniden başlatılan bir LockBit ya da herhangi bir sayıda başka fidye yazılımı grubuyla yola devam edecek.
Bunun nedeni kısmen, fidye yazılımının yalnızca fidye yazılımı yöneticilerinden ve onların kripto kilitleyen kötü amaçlı yazılım geliştiricilerinden değil, aynı zamanda kurbanlara bulaşmak için kötü amaçlı yazılımı kullanan bağlı kuruluşlardan, grupların kiraladığı tüm yüklenicilerden ve ayrıca hazır yazılım satan veya sağlayan ilk erişim aracılarından oluşan bir ekosistem olmasıdır. sitelere uzaktan “erişim” kullanmak, kurbanların fidye olarak ödediği kripto para birimini temizleyen kara para aklayıcılar ve daha pek çok şey.
Fidye yazılımı kârları 2023’te tüm zamanların en yüksek seviyesine ulaşmış gibi görünürken (Chainaliz’in hesaplamasına göre 1 milyar doları aşarken) suçlular, özellikle de bu kadar çok kişinin merkezi Rusya’da göründüğüne göre neden fidye yazılımı kullanmaya devam etmekten çekinsinler ki? Moskova, yurt dışında suç işlediği iddia edilen vatandaşları asla iade etmiyor ve fidye yazılımı söz konusu olduğunda hükümet, bu tür saldırıların neden olduğu aksaklıklar göz önüne alındığında, Batılı rakiplerine karşı gerçekleştirilen “siber suç” saldırılarına hoşgörüyle yaklaşabilir veya bu saldırılarda daha doğrudan bir rol üstlenebilir.
Suç Açısından Hayattan Daha Büyük
Fidye yazılımı geliri, suça meyilli birçok kişinin kaçıramayacağı kadar yüksek olduğundan acil soru şu oluyor: Savunmacılar LockBit’in kaldırılmasından ne öğrenebilir?
Yeni başlayanlar için, LockBit’i özel kılan kısmen REvil – diğer adıyla Sodinokibi gibi grupların izinden giden grubun çok büyük bir kamusal kişilik geliştirmeyi başarmasıydı.
Bu, “LockBit Desteği” veya “LockBitSupp” kişiliği biçiminde geldi; araştırmacılar Cuma günü maskesini kaldırabileceklerini ima ettiler, ancak daha sonra şifreli bir şekilde LockBitSupp ile “nişanlı” olduklarını belirttiler.
Ne olursa olsun, LockBitSupp medyayı ustalıkla manipüle etti ve bu da grubun kamuoyunun gözünde kalmasına yardımcı oldu. Bir zamanlar bu, grubun üye alımına yardımcı oldu. Yakın zamana kadar, grubu durdurulamaz bir bilgisayar korsanlığı gücü gibi göstermek, muhtemelen daha fazla kurbanın, en azından adlarının grubun “isim ve utanç” bloguna eklenmesini önlemek için hızlı bir şekilde ödeme yapmasına neden oldu.
Tekrarlanan TTP’ler
LockBit aynı zamanda bağlı kuruluşlara hızlı etkili ve kullanımı kolay kripto kilitlemeli kötü amaçlı yazılımların yanı sıra veri sızdırma araçları sunarak da farkını ortaya koyuyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, tüm bunların fidye yazılımı kârlarını “daha düşük düzeyde teknik beceriye sahip olanlar için erişilebilir hale getirdiğini” söyledi.
Öyle bile olsa, fidye yazılımını dağıtmadan önce saldırganların kurbanın ağına erişmelerine, keşif yapmalarına, virüs bulaştıracak sistemleri bulmalarına ve potansiyel olarak ilk önce verileri sızdırmalarına olanak tanıyan taktikleri, teknikleri ve prosedürleri uygulamaları gerekir.
Siber güvenlik firması Secureworks, suç grubunun 2019’un sonlarında faaliyete geçmesinin ardından LockBit kurbanlarının saldırılara yanıt vermesine birçok kez yardımcı oldu. “LockBit’in bağlı kuruluşları çoğunlukla fidye yazılımıyla uğraşan diğer gruplarla aynı TTP’leri kullanıyor” dedi. “Öncü aktiviteyi tespit etmek, tehdide karşı savunmak için çok önemlidir.”
Firma tarafından incelenen saldırıların çoğunda “toprakla geçinme” taktikleri kullanıldı; bu, saldırganların saldırılarını gerçekleştirmek için bazen yüksek derecede ısrarla meşru araçlar kullandığı anlamına geliyordu. LOTL taktikleriyle ilgili bir sorun, genellikle meşru görünmeleri ve bu nedenle tespit edilmelerinin zor olabilmesidir.
Secureworks tarafından araştırılan diğer LockBit olaylarında saldırganlar, NetScaler ADC ve NetScaler Gateway’deki Citrix Bleed arabellek taşması güvenlik açığından (CVE-2023-4966) yararlandı ve kurbanları, Cobalt Strike işaretlerini indiren kötü amaçlı yazılımlara yönlendirmek için arama motoru optimizasyonu zehirlemesini kullanarak kurbanlara bulaştı. test ortamları, saldırıya uğramış uzak masaüstü protokol bağlantıları tek bir faktör kullanılarak korundu ve daha birçok strateji kullanıldı. Bazı durumlarda saldırganlar sistemleri zorla şifreliyor, ancak bazen yalnızca verileri çalıp fidye için tutuyorlar.
Bilgi Hırsızı Girişi
Firmanın incelediği başka bir saldırıda sorun, yönetici tarafından indirilen, Redline bilgileri ile birlikte gelen ve çalışanın kimlik bilgilerini toplayan kötü amaçlı yazılımları çalan kırık bir yazılımla başladı.
Bir hafta sonra, LockBit kullanan saldırganlar bu kimlik bilgilerini ortama erişim sağlamak için kullandılar, mevcut dosyaları incelemek için bir gün harcadılar ve ardından muhtemelen grubun özel StealBit veri çalma aracını kullanarak verileri dışarı çıkarmak için 90 dakika harcadılar. Daha sonra saldırgan, uzak sistemlerde programlar çalıştırmak ve fidye yazılımını yüklemek için meşru PsExec aracını kullandı. Secureworks, “Hedeflenen ana bilgisayarların IP adresleri, tehdit aktörünün saldırının tespit aşamasında oluşturduğu bir metin dosyasında listelendi.” dedi.
Güvenlik uzmanları, iyi bir siber güvenlik hijyenine sahip olmanın ötesinde, fidye yazılımlarını tespit etmede zamanın çok önemli olduğu konusunda uyarmaya devam ediyor. İşaretleri erken tespit etmek, kuruluşların saldırganları veri çalma veya kripto kilitleyici kötü amaçlı yazılımları serbest bırakma şansına sahip olmadan uzaklaştırmasına yardımcı olur.
Siber güvenlik firması Sophos, geçen yılın ilk yarısında fidye yazılımı saldırganlarının kalma süresinin ortalama dokuz günden sadece beş güne düştüğünü bildirdi. Sophos’un uygulamalı araştırma saha CTO’su Chester Wisniewski, Information Security Media Group’a “Baştan sona 2 saat 12 dakika süren bir saldırı gerçekleşti” dedi.
LockBit’in artık kötü durumda olduğu ümit edilirken, kuruluşların diğer fidye yazılımı gruplarının onlara hızlı bir şekilde saldırmaya devam edeceğinin farkında olması gerekiyor.