BT sistemlerini geri yükleme umuduyla siber suçlulara fidye talepleri ödeyen şirketler, reddeden şirketlere göre daha fazla olumsuz tanıtım riskiyle karşı karşıya kalabilir.
LockBit fidye yazılımı grubunun ele geçirilmesi sırasında Ulusal Suç Ajansı (NCA) tarafından ele geçirilen verilerin ilk analizi, kötü tanıtımdan kaçınmanın en iyi yolunun ödemeyi reddetmek olabileceğini öne sürüyor.
Max Smeets, kitabın yazarı Fidye Savaşı, LockBit fidye yazılımı operasyonunu çökerten Chronos Operasyonu sırasında NCA tarafından ele geçirilen LockBit 3.0 verilerine denetimli erişim verildi ve LockBit 4.0’dan sızdırılan veriler incelendi.
Smeets, fidye yazılımına ödeme yapan 100 şirketin basında çıkan haberlerini, ödemeyi reddeden 100 şirkete ilişkin haberlerle karşılaştırdı.
Computer Weekly ile yaptığı bir röportajda, “Ödediğiniz takdirde hakkınızda bir hikaye yazılmasının, ödemediğiniz duruma göre daha muhtemel olduğu ortaya çıktı” dedi.
Smeets’in vardığı sonuçlar, fidye yazılımı çetelerinin ödeme yapan şirketlerin kötü tanıtımdan kaçınabileceği yönündeki iddialarıyla çelişiyor. Kendisi bunu Streisand etkisi olarak adlandırıyor; şirketler tanıtımdan kaçınmak için fidye ödeyerek, sonunda kaçınmaya çalıştıkları reklamı kendilerine çekiyorlar.
Para ödediyseniz, hakkınızda bir hikaye yazılma olasılığı daha yüksektir. [a ransom] ödeme yapmamış olmanızdansa
Max Smeets, fidye yazılımı uzmanı
Kolluk kuvvetleri uzun süredir şirketlerin fidye yazılımı ekosistemini desteklediği için fidye ücreti ödememesi gerektiğini ve verilerini geri alacaklarına dair bir garanti bulunmadığını savundu.
Londra’daki Black Hat güvenlik konferansında Computer Weekly’ye konuşan Smeets, “Veriler aynı zamanda kamunun maruz kalmasından korkuyorsanız da ödeme yapmamanız gerektiğini gösteriyor” dedi.
Kötü anlaşma sanatı
Smeets’in analizi aynı zamanda birçok kuruluşun LockBit’in suç ortaklarıyla fidye yazılımı ödemeleri konusunda pazarlık yaparken ne kadar hazırlıksız olduğunu da ortaya çıkardı.
Bazı şirketler, suç çetelerine, yedekleri olmadığı için verilerini geri almak konusunda çaresiz olduklarını önceden söyledi ve bu da onları müzakerelerde anında geri adım attı.
Diğerleri ise fidyeyi ödeyemeyeceklerini veya yerel topluluğa hizmet ettiklerini iddia ederek bilgisayar korsanlarının sempatisini kazanmaya çalıştı ancak başarısız oldu.
Smeets ayrıca bazı kurbanların fidye yazılımı çetelerine ne kadar ödeyebileceklerini göstermek için sigorta belgelerinin kopyalarını gönderdiklerini de tespit etti.
Ödeme yapan fidye yazılımı kurbanlarının manşetlere çıkma olasılığı, reddedenlere göre daha yüksek
Bulguları, en kötüsü gerçekleşirse şirketlerin fidye yazılımı müzakerelerine daha hazırlıklı olması gerektiğini gösteriyor.
“Özellikle küçük ve orta ölçekli işletmeler için, aşırı ve bariz hatalar yapmadan bu suçlularla nasıl mücadele edileceğini daha iyi anlama konusunda büyük bir fırsat var” dedi.
LockBit’in suç ortakları, fidye ödemeleri konusunda pazarlık yaparken standart bir strateji uyguluyor; bu kural genellikle ilk fidyeyi talep etmeyi, iki dosyanın şifresini ücretsiz olarak çözmeyi teklif etmeyi ve kuruluşların ödeme yapmaması halinde veri sızdırmakla tehdit etmeyi içeriyor.
Smeets, suç gruplarının o kadar çok kurbanı olduğunu ve fidye talebinin değerini artırabilecek uygunsuz materyaller aramak için yakaladıkları verileri analiz etmeye zaman harcamadıklarını, bir sonraki kurbanla daha çok ilgilendiklerini keşfetti.
Şirketler birkaç hafta içinde ödeme yapmazsa, bağlı kuruluşlar kurbanlarının çaresizliğinin, fidye yazılımı saldırısının çok fazla hasara yol açmadığı anlamına gelebileceğini varsayma eğiliminde olabilir. Saldırıya uğramış verilerin yayınlanmaması yönünde bir anlaşma karşılığında daha küçük ödemeleri kabul etmeye istekli olabilirler.
Güven paradoksu
LockBit gibi fidye yazılımı grupları aldatır ve çalar, ancak bir şekilde mağdurları, fidye yazılımı ödemesi karşılığında verilerini geri yükleyebilecek kadar güvenilir olduklarına ikna etmeleri gerekir; bu nedenle itibar önemlidir.
Smeets’in araştırmasına göre Chronos Operasyonu, LockBit’in yalnızca altyapısını yok etmekle kalmadı, aynı zamanda itibarını da yok etti.
Şubat 2024’te uluslararası polis operasyonu LockBit’in sunucularına, idari merkezine, halka açık web sitesine ve iç iletişimlerine el koydu.
“NCA sadece teknik altyapılarının peşine düşmekle kalmadı, aynı zamanda yalanlarını ifşa ederek itibarlarını da zedeledi” dedi.
Örneğin grup, Toronto’daki bir çocuk hastanesini vuran bağlı kuruluşların yasaklanacağını söyledi ancak Smeets bunu yapmadı, dedi. LockBit ayrıca, ödemeyi kabul etmeleri halinde kurbanların verilerini sunucularından sileceğine söz verdi, ancak çoğu zaman bunu yapmadı.
Suç çeteleri Aralık 2024’te LockBit’i yeniden canlandırmaya çalıştığında itibarı telafisi mümkün olmayan bir şekilde zarar görmüştü.
Chronos Operasyonu’ndan önce, Mayıs 2022 ile Şubat 2022 arasında LockBit 3.0’ın 80 bağlı kuruluşu fidye yazılımı ödemeleri aldı.
Smeets’in araştırmasına göre, polisin etkisiz hale getirmesinin ardından fidye yazılımı operasyonunu yeniden canlandırma girişimi olan LockBit 4.0, Aralık 2024 ile Nisan 2025 arasında yalnızca sekiz fidye yazılımı ödemesi aldı.
“LockBit o kadar kararmış durumda ki altyapısını yeniden kursa bile eski halinin gölgesi olacak” dedi.
Chronos Operasyonu, yalnızca altyapıyı değil aynı zamanda fidye yazılımı çetelerinin itibarını da yok ederek gelecekteki fidye yazılımlarının kaldırılması için bir plan oluşturabilir.
Smeets, ilk bulgularını test etmek için fidye ödeme ile basında olumsuz haberler arasındaki ilişki konusunda daha fazla araştırma yapmayı umuyor.
