Daha küçük RaaS grupları, daha iyi ödeme bölmeleri, 7/24 destek ve diğer “ayrıcalıklar” sunarak, para yatırma ve ücretli aboneliklerden vazgeçerek yeni ve “yerinden edilmiş” LockBit ve Alphv/BlackCat bağlı kuruluşlarını işe almaya çalışıyor.
Siber suçlular aranıyor
RaaS operasyonları genellikle fidye yazılımını geliştiren ve dağıtımı için temel altyapıyı koruyan bir çekirdek gruptan ve hedef sistemlere ve ağlara girdikten sonra bundan yararlanan ve hizmetleri karşılığında fidyenin bir yüzdesini çekirdek gruba veren bağlı kuruluşlardan oluşur.
GuidePoint Araştırma ve İstihbarat Ekibi Uygulama Lideri Drew Schmitt, Help Net Security'ye şunları söyledi: “Hizmet olarak fidye yazılımı (RaaS) ekosisteminde, büyük ölçüde ortaklık yapılarına odaklanan bir sarsıntı yaşanıyor gibi görünüyor.”
LockBit çetesine önemli bir darbe indiren Cronos Operasyonu'nun ardından karanlık ağdaki forumları ve yeraltı pazar yerlerini analiz eden analistler, bağlı kuruluşlara yönelik reklamlarda bir artış fark etti.
Özellikle üç RaaS grubu, farklı yaklaşımlar kullanarak bağlı kuruluşları çekmeye çalışıyor.
“Dışarıdaki incelemecilerin objektif olarak, Medusa'nın gönderisini özellikle çekici bulduk; çünkü grup, elde edilen fidye ödemesinin boyutuna bağlı olarak 70/30 bağlı kuruluş/çekirdek bölünmesinden başlayıp 90/10'a kadar yükselen değişken bir ödeme ölçeği talep ediyor; analistler, yalnızca 1 Milyon Dolar'ın üzerinde fidye alan bağlı şirketlerin 90/10'luk bir bölünmeye hak kazandığını, bunun da muhtemelen teşvik edici veya yüksek fidye talepleri izlenimi yaratan bir durum olduğunu belirtti.
Medusa ayrıca OSINT, “medya reklamcılığı” ve müzakereler konusunda da yardım sunuyor, dünyanın her yerinden bağlı kuruluşları kabul ediyor ve bağlı kuruluş ödenen fidye olarak 1 milyon doları aştığında premium üyelik sunuyor.
Bağlı kuruluşlar için Medusa Raas çetesinin reklamı (Kaynak: GuidePoint Security)
Öte yandan RansomHub, görünüşe göre RaaS çetelerinin son yayından kaldırmalar ve olası çıkış dolandırıcılıkları nedeniyle genel olarak kaybettiği güvenin bir kısmını yeniden inşa etmeye çalışıyor ve bağlı şirketlerinin “hizmeti” ödemeden önce fidye ödemelerini kendilerinin toplamasına izin verileceğini söylüyor. ücreti” ve bağlı kuruluşların birden fazla RaaS grubuna katılmasına izin verilmesi.
Üçüncü bir grup – Cloak – 85/15 ortaklık/çekirdek fidye payını tercih etti ve katılım için herhangi bir depozito veya ödeme talep etmiyor; sadece bir röportaj. Grup ayrıca fidye yazılımının kapasitesini ve bağlı kuruluşların ek özellikler isteme olasılığını da vurguluyor.
RaaS modeline olan güven kaybı mı?
Daha az tanınan ve köklü bir üne sahip olmayan RaaS gruplarının reklamları şüphelerle karşılanıyor, ancak bu alışılmadık bir durum değil.
Schmitt, “Bu tür gönderilerde normalde gözlemlediğimizden daha fazla şüphecilik görülmese de, siber suçluların bağlı kuruluş tabanlı fidye yazılımı gruplarına olan güveni üzerinde kesinlikle bir etki olduğuna inanıyoruz” yorumunu yaptı.
Güven hızla kaybedilir ve yavaş yavaş kazanılır. Kolluk kuvvetleri Lockbit'i vurduğunda, bağlı kuruluşların bir listesini ele geçirmeyi başardılar. Takma adlarıyla listelenmiş olsalar da, bazılarının bu açıklama karşısında sarsılmış olabileceği ve suç faaliyetlerine (veya Lockbit ile işbirliklerine) devam etmemeyi seçebilecekleri muhtemel görünüyor.
RaaS grupları aynı zamanda birçok meşru kuruluşun sıklıkla karşılaştığı bir sorunla da uğraşıyor gibi görünüyor: işi yapabilecek sınırlı sayıda vasıflı insan operatör havuzu.
Symantec araştırmacıları yakın zamanda Lockbit ile Alphv/Blackcat'in bağlı kuruluşları arasında olası bir beceri eşitsizliğine dikkat çekti; ikincisinin fidye yazılımı dağıtım aşamasına ulaşma ihtimalinin daha yüksek olduğu görülüyor.