Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Siber Suç Tarihi, Veri Silinmesi İçin Fidye Ödemenin Aptalca Olduğunu Öğretiyor
Mathew J. Schwartz (euroinfosec) •
10 Ocak 2025
Yaygın olarak kullanılan bir K-12 öğrenci bilgi sistemi platformunun yapımcısı olan veri ihlali kurbanı PowerSchool, saldırganın çalınan verileri silmeye söz verdiğini söyleyerek okulları, öğrencileri, ebeveynlerini ve velilerini güvence altına almaya çalışıyor.
Ayrıca bakınız: Dijital Dönüşüm Çağında Siber Güvenlik: Gerçeklik Kontrolü
Tarihten ders almayı başaramayanlar hakkında eski deyiş nedir?
Kaliforniya merkezli PowerSchool, bu haftanın başlarında, K-12 öğrenci bilgi sistemi platformunun bulut ve şirket içi okul bölgesi kullanıcılarını, bir saldırganın büyük miktarda öğrenci verisini çaldığı ve fidye için tuttuğu konusunda uyarmaya başladı. Platform kayıt, katılım ve iletişimden personel yönetimi, analitik ve finansa kadar her şeyi yönetir.
Kaç okul bölgesinin ve öğrencinin etkilenmiş olabileceği belirsizliğini koruyor. Şubat 2024’te, o zamanlar halka açık olan PowerSchool, yatırımcılara yazılımının “dünya çapında 50 milyondan fazla öğrenciyi ve Amerika Birleşik Devletleri’nde öğrenci kaydı açısından ilk 100 bölgenin 90’ından fazlası dahil olmak üzere 17.000’den fazla müşteriyi desteklediğini ve 95’ten fazla ülkede çözümler sattığını” söyledi. ” Bain Capital, şirketi özel alarak 5,6 milyar dolara satın almak için geçen Ekim ayında bir anlaşma yapmıştı.
New Jersey Siber Güvenlik ve İletişim Entegrasyon Hücresi Perşembe günü yaptığı açıklamada, şu ana kadar çalınan bilgilerin en azından bazı ABD ve Kanadalı öğrenciler ve öğretmenler için doğum tarihleri ve ebeveyn iletişim bilgileri de dahil olmak üzere kişisel olarak tanımlanabilir bilgileri içerdiğini söyledi. Bazı okul bölgeleri için çalınan bilgiler aynı zamanda “Sosyal Güvenlik numaraları, kişisel olarak tanımlanabilir bilgiler, tıbbi bilgiler ve notları” da içerebilir.
Endişelenmeyin: PowerSchool, çaldığı verileri silme sözü karşılığında saldırgana ödeme yaptığını söyledi. Saldırgan, verilerin derinlemesine altıya alındığı bir video bile paylaştı.
Bilgi Güvenliği Medya Grubu tarafından görülen ebeveynlere ve velilere gönderilen mesajlara dayanarak PowerSchool onlara şunları söyledi: “İlgili verilere daha fazla yetkisiz erişim veya kötüye kullanımı önlemek için gerekli tüm adımları attık. Verilerin paylaşılmasını veya kamuya açıklanmasını beklemiyoruz. ve daha fazla çoğaltılmadan veya dağıtılmadan silindiğine inanıyoruz.”
Hem şirket içi hem de barındırılan PowerSchool müşterileri, günlüklerini inceledikten sonra, 22 Aralık 2024 gibi erken bir tarihte iki tablo da dahil olmak üzere şüpheli etkinlik gördüklerini bildirdi: Students_export.csv Ve Teachers_export.csv – Ukrayna’daki bir IP adresine sızdırılmak. Adres, 91.218.50.11saldırganın doğrudan hizmet kiralamış olabileceği veya belki de mevcut bir müşterinin hesabını devretmiş olabileceği meşru bir barındırma sağlayıcısı olan Virtual Systems’e giden izler.
Siber güvenlik blog yazarı Brian Krebs tarafından elde edilen PowerSchool SSS kopyasına göre PowerSchool, okullara ihlali ilk kez 28 Aralık 2024’te öğrendiğini ve ardından saldırganla görüşmek üzere olay müdahale firması CyberSteward’ı işe aldığını söyledi.
O zamandan bu yana, SSS’de saldırganın tek kopyasını sildiği iddia edilen bir video da dahil olmak üzere “PowerSchool, tehdit aktörüne verilerin silindiğine ve hiçbir ek kopyanın bulunmadığına dair makul güvenceler aldı” yazıyor.
Fidye Yazılımı 101 Bize Ne Öğretiyor?
Eğer okulda siber suçlarla ilgili bir ders verecek olsaydım (buna Ransomware 101 adını verin), bundan sonra şunu söylerdim: Güvenlik uzmanları ve hükümet yetkilileri, hack saldırısı kurbanlarına, çalıntı verileri silme taahhüdü gibi soyut bir söz için asla suçlulara ödeme yapmamaları yönünde çağrıda bulunmaya devam ediyor. veri çünkü siber suç tarihinde bu tür sözlerin yerine getirildiğine dair hiçbir kanıt yok.
Çok sayıda kanıt, çevrimiçi şantajcıların veri silme sözlerini yerine getirmediklerinin altını çizmeye devam ediyor. Kötü şöhretli LockBit grubunu ele alalım. Britanya Ulusal Suç Teşkilatı 2024’ün başlarında operasyona sızdığında, suçluların fidye ödeyen herhangi bir kurbanın çalınan verilerini silme sözü vermesine rağmen, en az Aralık 2022’den bu yana tek bir bayt veriyi silmediklerini tespit etti.
Ancak yine de fidye yazılımı gruplarının ve diğer gaspçıların kurbanlarının çoğu, saldırganlara ödeme yapmaya devam ediyor. Çoğu zaman, bu tür ihlal sonrası ödemelerin – aslında at ahırdan çıktıktan sonra – şirketlerin gecikmiş bir şekilde “bir şeyler yapma” girişimleri olduğunu öne sürüyor. Daha acımasız bir yaklaşım ise, ihlalin etkilerini gerçekte olduğundan daha az kötü göstermek için pazarlama stratejisini uygulamaya çalışmalarıdır.
Ne yazık ki suçlulara ödeme yapmak, suçluları finanse etmekten başka hiçbir şey kazandırmaz. Bu bir K-12 yazılım sağlayıcısının öğreteceği harika bir ders değil.
Saldırganlara görünüşlerini korumaları için para ödemek yeni bir şey değil. 2022’de Britanya’nın veri koruma otoritesi Bilgi Komiserliği Ofisi, Birleşik Krallık’ın önde gelen siber güvenlik kurumu Ulusal Siber Güvenlik Merkezi ile birlikte, kuruluşları fidye ödemenin çalınan verilere yönelik riski azaltmadığı ve azaltmadığı konusunda uyardı. kuruluşların herhangi bir şekilde devlet cezalarına maruz kalması.
ICO ve NCSC o dönemde “Bize, fidye ödemesinin çalınan verileri koruyabileceği ve/veya ICO’nun bir soruşturma başlatması durumunda daha düşük bir cezayla sonuçlanabileceği yönündeki inancın devam ettiği öne sürüldü.” dedi. “Durumun böyle olmadığını açıkça belirtmek isteriz.”
Artık Veeam Software’in bir parçası olan fidye yazılımı olaylarına müdahale şirketi Coveware’in CEO’su Bill Siegel’in de 2022’de bana söylediği gibi, veriler çalındıktan sonra “diş macununu tüpe geri koyamazsınız”. “Tehdit aktörünün daha sonra geri gelip organizasyona yeniden şantaj yapıp yapmayacağını söylemenin bir yolu yok ve gördüğümüz birçok durumda bu oluyor” dedi.
Bu dersi öğrenemeyen kuruluşlardan biri de UnitedHealth Group’un sahibi olduğu Change Healthcare’di. Bu kuruluş, 100 milyondan fazla Amerikalıya ait verileri çalan saldırganlara geçenlerde 22 milyon dolar değerinde en az bir fidye ödemişti. Batılı saldırgan ile bağlı olduğu Rus fidye yazılımı grubu arasındaki anlaşmazlık nedeniyle, bağlı kuruluş UHG’yi yeniden gasp etti ve bir kez daha çalınan verileri sızdırma tehdidinde bulundu.
Değişim örneği şu soruyu akla getiriyor: PowerSchool sistemlerini nasıl koruyordu? New Jersey’deki CCIC, “Tehdit aktörü, BT uzmanlarının destek ve sorun giderme için müşteri SIS örneklerine erişmesine olanak tanıyan PowerSource bakım erişim aracına erişmek için ele geçirilen kimlik bilgilerini kullandı.” dedi.
Bir saldırganın çekirdek bir sisteme erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kullanma yeteneği, PowerSchool’un kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamayı kullanarak sistemi korumadığı izlenimini uyandırıyor. Şirket, yorum talebine hemen yanıt vermedi.
ABD’nin önde gelen siber kurumu, tüm kuruluşları kimlik avına karşı dayanıklı MFA kullanmaya teşvik etmeye devam ediyor. Bunu yapmamanın tehlikeleri, geçen yıl aralarında Live Nation Entertainment’ın Ticketmaster’ı, Santander Bank’ın, Los Angeles Birleşik Okul Bölgesi’nin ve lüks perakendecinin de bulunduğu bulut tabanlı veri depolama platformu Snowflake’in 165 müşterisinin ihlaliyle açıkça ortaya konmaya devam ediyor. Neiman Marcus (bkz: İhlalden Yorgun Snowflake, 14 Karakterli Şifrelerle MFA’ya Geçiyor).
Dersi özetlemek gerekirse: İhlal edilmeden önce güvenlik konusunda akıllı davranın ve lütfen olay gerçekleştikten sonra, özellikle de soyut vaatler için saldırganlara para ödeyerek suçluluğunuzu küçümsemeye çalışmayın.
Sorunuz var mı sınıf? Bu finalde olacak.