LockBit çetesi, Royal Mail ile yaptığı müzakereleri gösteren bir sohbet geçmişi yayınladı.
LockBit grubu nihayet Royal Mail’den fidye alma ihtimalinden vazgeçti ve yakın tarihli bir fidye yazılımı saldırısında şirketten çaldığı dosyaları yayınladı. Sızıntı, Royal Mail’i şifre çözücüsüz ve LockBit’i maaş günü olmadan bırakarak haftalarca süren müzakereleri sona erdiriyor.
Malwarebytes, LockBit’i 2023’te işletmelerin karşı karşıya olduğu en ciddi beş siber tehditten biri olarak görüyor. 2022’de açık ara en yaygın kullanılan hizmet olarak fidye yazılımı (RaaS) oldu. Geçen yıl bilinen tüm RaaS saldırılarının neredeyse üçte birini oluşturdu ve yaptığı en büyük fidye talebi, şaşırtıcı bir şekilde 50 milyon dolardı. Şubat 2023’te Royal Mail’den 80 milyon dolar istedi.
LockBit çetesi, sızan dosyaların yanı sıra iki taraf arasındaki müzakereleri gösteren bir sohbet geçmişi yayınladı. Belki grup müzakereyi iptal etme ve çalınan dosyaları sızdırma kararını haklı çıkarmaya çalışıyor veya belki de bu diğer kurbanlara bir uyarıdır.
Bunu Royal Mail için başarısız bir müzakere veya kaçırılmış bir fırsat olarak okuyabilirsiniz, ama ben okumuyorum. Bence Royal Mail ve LockBit arasındaki sohbet oldukça farklı bir şey gösteriyor.
Royal Mail’in asla fidye ödemeye niyeti olmadığından şüpheleniyorum. Kendisinden talep edilen gülünç 80 milyon doları karşılama konusunda kesinlikle hiçbir istek göstermedi ve görünüşe göre LockBit arabulucusu baştan sona kendi melodisine göre dans etti.
Müzakere 12 Ocak 2023’te başladı ve herhangi bir İnternet sohbeti gibi, konuşma da söyledikleri kişi olan ya da olmayan iki avatar arasında geçiyor. LockBit arabulucusu kiminle konuştuklarını sorduğunda, Royal Mail’in temsilcisi “BT birimimizde çalışıyorum” diyor.
Belki BT’de çalıştılar, ancak ben yıllarca BT’de çalışarak geçirdim ve Royal Mail temsilcisinin davranışlarını gördükten sonra, onların şimdiye kadar tanıştığım hiç kimseye benzemediğini söyleyeceğim. Belki de doğal olarak iyi müzakerecilerdir veya fidye yazılımı müzakereleri hakkındaki son podcast’imizi dinlemişlerdir, ancak aslında profesyonel bir fidye yazılımı müzakerecisi olma ihtimalleri de vardır.
Podcast’te, fidye yazılımı arabulucusu Kurtis Minder, böyle bir durumda yapılacak ilk işin, fidye yazılımı çetesinin temsilcisini rahatsız etmeden zaman kazanmak olduğunu ortaya koyuyor. Sıcaklığı düşürmenin iyi bir yolunun, fidye yazılımı çetesinin kendi kendine hizmet eden dilini benimsemek olduğunu söylüyor ve Royal Mail’in “BT görevlisi” bunu, LockBit’in suç faaliyetinden “sızma testi” olarak bahsetmek gibi incelikli yollarla yapıyor. Fidye yazılımı çeteleri nedense bu tür saçmalıkları seviyor; belki de geceleri uyumalarına yardımcı oluyor.
Zaman için oynamak önemlidir, çünkü mağdurun olabildiğince fazla bilgi toplamasına, seçeneklerini anlamasına ve en iyi tepkiye karar vermesine olanak tanır. Hangi sistemlerin etkilendiğini, kuruluşun geçici olarak onlar olmadan nasıl çalışabileceğini ve bunları geri yüklemek veya yeniden inşa etmek için ne gerektiğini anlamaları gerekir. Ayrıca dahil edecekleri çok sayıda paydaşı ve yerine getirmeleri gereken görevleri olacaktır: Yasal yükümlülükler yerine getirilmeli, kolluk kuvvetleri dahil edilmeli, siber sigorta kurallarına uyulmalı, müşteriler ve tedarikçiler bilgilendirilmeli vb.
Royal Mail, LockBit ile sürekli olarak zamana karşı oynamayı başarır. Sohbetin ilk 24 saati, kurbanı aceleye getirmek için tasarlanmış acil ve belli belirsiz tehditkar bir dille (“gecikme”, “acele et”, “sabrımız sonsuz değil”) dolu olsa da, LockBit hızla yabani otlara sürüklenir. Müzakerenin ilk iki haftası neredeyse tamamen büyük dosyaların şifresini çözmekle ilgili sıkıcı bir sohbete ayrılmıştı.
Royal Mail müzakerecisine göre “yönetimim şifre çözücünüzün büyük dosyalarda çalışmayabileceğini duydu.” (Bu talepkar veya memnun edilmesi zor bir yöneticiye başvurma taktiği, bir satış görevlisiyle bir araba için pazarlık etmiş olan herkese aşina olacaktır.) Royal Mail’in büyük dosyaların şifresini çözme konusundaki merakı gerçek mi yoksa hile mi, konuşmada bir rol değişikliği yarattı. Royal Mail’in ihtiyaçlarını karşılayabileceğini kanıtlamak için soruları soran Royal Mail ve yanıtları LockBit ile birlikte.
Royal Mail müzakerecisi ayrıca, her iki taraf için de en iyisini yapmaya çalışan kişiler arasında kendilerini makul bir şekilde konumlandırarak güven kazanmaya çalıştı. Sürekli olarak “Kıdemli Ekibimizin bunu anlamasına yardımcı olmaya çalışıyorum”, “Hala burada sizinle çalışmaya çalışıyorum”, “İşleri ilerletmek için elimden geleni yapıyorum” gibi bir dil kullandılar.
Konuşma nihayet paraya döndüğünde, hızla daha fazla yabani ot buldu. Bu sefer dikenli çalılar, LockBit’in gerçekte kime saldırdığına dair bir anlaşmazlıktan oluştu. LockBit, Royal Mail ile konuştuğunu düşündü. Kurban onlara, Royal Mail’in çok daha küçük bir ciroya sahip zarar eden bir yan kuruluşu olan Royal Mail International olduklarını söyledi.
LockBit, Royal Mail’in yıllık küresel cirosunun yüzde 0,5’i olan 80 milyon dolarlık bir fidye istedi. Royal Mail, LockBit’in hesaplamasını kullanarak, Royal Mail International’ın mali durumuna göre iyi bir “başlangıç rakamının” 4 milyon dolar olacağını söyleyerek karşılık verdi.
Müzakerenin bu noktasında LockBit aslında neyle uğraştığını kabul etti. “Çok zeki bir arabulucusun,” diye yazdılar, “oyalama ve kandırma konusundaki deneyiminizi takdir ediyorum.”
Bunu takdir etmiş olabilirler, ancak bu konuda hiçbir şey yapabilecek gibi görünmüyorlardı. Müzakerenin bu noktasında Royal Mail, zaman çizelgesini dikte ediyordu: “Pazartesi gününe kadar konuşacak yeni bir şeyimiz olmayacak.” [the board’s] Pazartesi günü karar”
LockBit söyleneni yaptı ve bekledi. Son olarak, Royal Mail’den son mesaj 6 Şubat 2023’te geldi. Şirketin muhtemelen hiçbir zaman ödeme yapmaya niyeti olmadığını öne sürdü. “Size karşı dürüst olmak gerekirse, onların [the board] Bunun için size ödeme yapmak istemeyebilir” dedi.
Fidye yazılımı saldırıları yıkıcı olabilir ve birinin sonunda olmanın hedef için bir “kazanç” olduğunu söylemek zor. Bununla birlikte, çoğu uzman, yapabileceğiniz tek şeyin bir saldırının meydana gelme olasılığını azaltmak ve meydana gelirse etkisini azaltmak olduğu konusunda hemfikirdir. Yalnızca size dağıtılan eli oynayabilirsiniz ve oynadıkları eli göz önünde bulundurduğumuzda Royal Mail’in müzakeresinin, bunun gibi bir kayıp kadar kazanmaya yaklaştığını düşünüyoruz.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri algıla. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden çok farklı algılama tekniği kullanan Malwarebytes EDR gibi Uç Nokta Algılama ve Yanıt yazılımını dağıtın.
- Tesis dışı, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- Bir olay müdahale planı yazın. Bir fidye yazılımı saldırısından sonraki dönem kaotik olabilir. Bir salgını nasıl izole edeceğinizi, paydaşlarla nasıl iletişim kuracağınızı ve sistemlerinizi nasıl geri yükleyeceğinizi özetleyen bir plan yapın.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.