[ This article was originally published here ]
Dave Cartwright tarafından, CISSP
Şubat 2023’te çok sıra dışı bir şey oldu. Birleşik Krallık’ın (eskiden devlete ait olan) posta ve paket dağıtım hizmetinin bir bölümü olan Royal Mail International’a yönelik bir fidye yazılımı saldırısının ardından, firmanın temsilcileri ile fidye yazılımı saldırganları .
Royal Mail Birleşik Krallık Ulusal Suç Teşkilatı (NCA) ve Ulusal Siber Güvenlik Merkezi (NCSC) ile temasa geçti ve sonuçta ortaya çıkan faaliyetin bir kısmı LockBit’in temsilcileriyle müzakere etmek oldu – pek başarılı olamadı.
İlk olarak, sohbetin 12 Ocak’tan 9 Şubat’a kadar yaklaşık bir aylık bir süreyi kapsadığı görülüyor. Konuşma metninde de görülebileceği gibi, mesajlar arasındaki boşlukların çoğu birkaç saat sürüyor.
Sohbetin erken saatlerinde, 12 Ocak öğleden sonra erken saatlerde, Lockbit çalışanı “Kiminle konuşuyorum” (“kimin” kelimesinin kullanımı, bu arada, şaşırtıcı derecede iyi İngilizce) diye sorar ve kendisine şöyle söylenir: “Bizim şirketimizde çalışıyorum. BT. Üst yönetimimiz sizinle iletişime geçmemi istedi”. Bu doğru olsaydı, Birleşik Krallık’ın siber topluluğu toplu olarak kafalarını kaşıyabilirdi: hiçbir BT çalışanının üçüncü bir tarafla bu şekilde ilişki kurmasına izin verilmedi ve yazarın bir NCSC veya NCA görevlisi olma olasılığı çok daha yüksek.
Değişim, şifre çözmenin mümkün olduğunu kanıtlamak için bazı örnek dosyaların şifresini çözen saldırganlarla ilgilenir (bir fidye yazılımı kurbanı olarak, bir fidye ödemenin, verileri geri almada en azından sıfır olmayan bir değişiklik anlamına geldiğine dair bir düzeyde inanca ihtiyacınız vardır). LockBit tarafından sağlanan dosyalar (PNG görüntüleri ve günlük dosyaları), RM’nin tıbbi ekipman gönderileriyle ilgili dosyaların şifresinin çözülmesini isteyerek LockBit’in kalp atışlarını çekmeye çalışmasına rağmen (“Henüz çözülemeyen tıbbi cihazlarla ilişkilidir) son derece zararsız görünüyor (PNG resimleri ve günlük dosyaları). bu dosya kilitli olduğu için gönderilecek”). Royal Mail istediğini alamasa da, sağlanan dosyalar şifre çözmenin mümkün olduğunu gösteriyor gibi görünüyor.
Saldırganlar da veri koruma yasalarını en azından bir dereceye kadar biliyorlar. 25 Ocak’ta şöyle dediler: “Yıllık küresel cironun %0,5’i, hükümetinizin verdiği %4’lük bir cezadan çok daha azdır”. %4 rakamı, elbette, GDPR kapsamında uygulanabilecek cezalarla ilgilidir: “20 000 000 EUR’ya kadar veya bir teşebbüs söz konusu olduğunda, dünya çapındaki toplam yıllık cirosunun %4’üne kadar idari para cezaları önceki mali yılın hangisi daha yüksekse”. “Dosyalarınızı yayınlamadığımız sürece para cezasına çarptırılmazsınız” dediklerinde argümanları yanlış olsa da – verilere ilk etapta sahip oldukları gerçeği, bunu veri koruma kapsamında bir ihlal olarak sınıflandırır. mevzuat.
Ne kadar?
Konuşmanın ana anlaşmazlık noktası, Royal Mail’in gelirleri ve kârları etrafında. Lockbit, Royal Mail’in gelirlerinin %0,5’ini fidye olarak istiyor. Yıllık rakamlara göre Royal Mail Nisan 2022 mali yılında 25 Ocak döviz kurlarına göre 15,78 milyar ABD dolarına eşittir. Saldırganlar bu tarihte Royal Mail’e “80 milyon dolar gelirinizin %0,5’i” diyor, yani bir önceki mali yıl için gelirlerin 16 milyar dolar olduğunu söylüyorlar. Royal Mail plc’nin 2021-22 gelir rakamının, LockBit’in rakamlarını dayandırdığı rakam olduğu açıktır.
Royal Mail, LockBit’i fidyeyi azaltmaya ikna etmek için iki argüman ileri sürüyor. İlk olarak, aşağıdakiler de dahil olmak üzere Birleşik Krallık gazetelerinden makalelere atıfta bulunarak, iş dünyasının büyümekten çok uzak olduğuna işaret ediyorlar. . Bu açıkça bir çıkmaza yol açıyor çünkü Royal Mail müzakerecisi LockBit’e açıkça şunu söylüyor: Taleplerinizi geçen yılın rakamlarına dayandırıyorsunuz ama bu yıl çok daha az iyi performans gösteriyoruz.
Royal Mail tarafından kullanılan ikinci argüman, saldırıya uğrayan varlığın bir bütün olarak grup değil, çok daha küçük olan “Royal Mail International” olduğuna işaret etmektir. 27 Ocak’ta (saldırı başladıktan 15 gün sonra) Royal Mail, LockBit’e şunları söyledi: “Bizim “Royal Mail” değil, tamamen bağımsız bir Genel Müdür ve Kıdemli Yetkili ile ayrı bir varlık olan Royal Mail International olduğumuzu açıklamaya çalışıyoruz. genel varlık. Saldırdığınız şey sadece küçük bir kısım ve bizim gelirimiz Royal Mail’inki değil”. RM temsilcisi, cari yıl için 800 milyon dolarlık bir ciro tahmininden bahsederken LockBit, “800 milyon yıllık net kârınızdır” diyerek bunu düşürmeye çalışıyor – ki bu pek doğru değil (2021-22 kârı 577 milyon sterlindi) veya 716 milyon dolar).
İlginç bir şekilde, bu ikinci değiş tokuşta Royal Mail, “Royal Mail International”ın varlığının veya finansal durumuyla ilgili gerçeklerin kanıtı olarak herhangi bir kaynaktan alıntı yapma veya resmi belgelere işaret etme fırsatını kullanmaz. LockBit’in bilgi kaynağı olarak Royal Mail Group girişinin Wikipedia URL’sini sağladığı göz önüne alındığında, Royal Mail temsilcisinin iddia ettikleri “ayrı varlık” hakkında net bilgilere yönelik bağlantılarla karşı çıkmaması belki de şaşırtıcı olmalıdır. Ve “Uluslararası hacimler, pandemi öncesi yıla kıyasla %44 düşüşle önemli ölçüde azaldı” ifadesini çok net bir şekilde ifade ediyor ve bu da yardımcı olmuş olabilir.
Ne Öğrendik?
Birçok yönden, Royal Mail ve LockBit arasındaki tartışmaların dökümü, yanıtladığı kadar soruyu da gündeme getiriyor. Saldırganlar dosyalara gerçekten sahip olduklarını kanıtlamış görünüyor ve fidye taleplerinin kamuya açık finansal bilgilere dayandığı görülüyor. Royal Mail ise fidyeyi azaltmak için çok uğraştı (bu da fidyeyi gerçekten ödemeyi amaçlayıp amaçlamadığı sorusunu gündeme getiriyor). Ancak, fidyenin “ayrı varlık” olan Royal Mail International’ın daha düşük cirolarına göre yeniden hesaplanmasını istiyorlarsa, neden varlığına veya gelirlerine dair halka açık herhangi bir kanıt sağlamadıklarını merak etmek gerekir.
Fidye talebinin 40 milyon dolara düşmesi ve revize edilmiş bir son tarih ile bazı veriler şimdi sızdırıldı. Bu ayın başlarında fidye, verilerin bir kısmının sızdırılmasının ardından daha da düşerek 33 milyon dolara düşmüştü.
reklam