Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Polisin Baskılarını Büyük İsimlere, Bilgisayar Korsanlarının Tutumluluğuna ve Başı dertte olan Fidye Yazılımı Dolandırıcılarına Suçlayın
Mathew J. Schwartz (euroinfosec) •
30 Ağustos 2023
LockBit fidye yazılımı saldırısı ne zaman aslında bir LockBit saldırısı değildir? Siber savunucular, çalınan veya yeniden kullanılan fidye yazılımı türlerini içeren çok sayıda saldırı olduğunu bildiriyor.
Ayrıca bakınız: Tedarik Zinciri Riskinin Değerlendirilmesi ve Azaltılması
Büyük markalara yönelik kolluk kuvvetlerinin baskıları, gelişen fidye yazılımı iş modelleri ve zayıf insan becerilerine sahip bir fidye yazılımı grup lideri vakası dahil olmak üzere çeşitli faktörleri suçlayın.
Red Sense’in baş araştırma sorumlusu Yelisey Bohuslavskiy, bu ay Las Vegas’ta Black Hat’te verdiği röportajda “Fidye yazılımını meşru kurumsal işletmeleri modelleyen ve taklit eden bir şey olarak düşünün” dedi. Yeni kurulan şirketlerin öğrenip gelişmesi gibi fidye yazılımı grupları da öğrenip gelişecek.
Büyüme sancıları, son zamanlarda yüksek uçuş yapan LockBit için tekrarlayan bir sorun olmaya devam ediyor. Güvenlik araştırmacısı Jon DiMaggio, fidye yazılımı grubunun çalınan verileri sızıntı sitesine güvenilir bir şekilde gönderemediğini ve bağlı kuruluşların “müşteri hizmetleri taleplerine” yanıt vermeden önce günlerce beklediklerini söyledi. Tahmin edilebileceği gibi, bağlı kuruluşların göçü yaşandı.
Analyst1’in baş güvenlik stratejisti DiMaggio, Information Security Media Group’a LockBit’in başının belada olduğunu söyledi. “Tıpkı meşru bir şirket gibi, çok hızlı ve çok hızlı büyürseniz ve bunu destekleyecek altyapınız yoksa sorunlarınız olur.”
Ateşle oynamak
LockBit gibi hizmet olarak fidye yazılımı operasyonları, uzmanlaşmayı kolaylaştırdığı için daha önce baskındı: operatörler, tespit edilmesi zor kötü amaçlı yazılımlar geliştirdi ve kurbanlara baskı yapmak için veri sızıntısı blogu tuttu ve bağlı kuruluşlar, kötü amaçlı yazılımı kurbanları toplamak için kullandı. Operatör ve bağlı kuruluş, sonuçta elde edecekleri karı bölüştüler; bu, kendi başlarına elde edebileceklerinden daha fazlaydı.
Bugünlerde saldırganların fidye yazılımı oluşturucularını temin etmek için başka iyi seçenekleri var. LockBit ve Conti’nin gelişmiş kötü amaçlı yazılım kaynak kodu çevrimiçi olarak sızdırıldı ve ücretsiz olarak değiştirilip kullanılabilir. Mağdurlar, LockBit kripto dolabına benzeyen bir şey tarafından vuruluyor, ancak bu, bağımsız suçlular tarafından kullanılıyor. Kanlı Fidye Yazılımı Çetesi. Bunun yerine Conti’ye benzeyen şey olabilir GazProm – adını Rus gaz devinden alıyor ve Rusya cumhurbaşkanının ASCII sanatının, hatta LockBit’in yer aldığı bir fidye notuyla birlikte. 2021’in ortalarında sızdırılan Paradise ve aynı yılın sonlarında sızdırılan Babuk’un kaynak kodu, Rapture’ın yanı sıra RA Group, Rorschach ve RTM Locker’ı da destekliyor.
Bazı saldırganlar daha da ileri giderek bunun çeşitli parçalarını bir araya getirerek Recorded Future’ın baş istihbarat analisti Allan Liska’nın Frankenstein fidye yazılımı adını verdiği yazılıma dönüştürüyor. Bu canavarları inşa etmek, bir kaynaktan fidye notu, başka bir kaynaktan VMware kripto dolabı ödünç almayı, bunu bir komuta ve kontrol ağına bağlamayı ve ardından saldırıları başlatmayı gerektirebilir. Hoş görünmeyebilirler ama çalıştıkları sürece saldırganlar bunu neden önemsesin ki?
Garip bir şekilde LockBit bile rakibinin kodunu yeniden kullanıyor. Bu yılın başında ortaya çıkan ve dahili olarak LockBit Green kod adı verilen fidye yazılımının 4. Versiyonu, Conti’nin Şubat 2022 tarihli fidye yazılımının biraz güncellenmiş bir versiyonundan biraz daha fazlası. “LockBit, yapıyı iyileştirmek için bazı değişiklikler yaptı, ancak genel olarak bu, DiMaggio, “Kötü ve dünyanın en kötü şöhretli fidye yazılımı çetesinden bekleyeceğiniz gibi değil” diye yazdı.
Bunun nedeni, LockBit lideri “LockBitSupp”un, daha önce DarkSide ve BlackMatter fidye yazılımı üzerinde çalışan ve belki de FIN7 siber suç grubuyla da çalışmış olan ve LockBit Black’i veya sürüm 3.0’ı oluşturup destekleyen kilit geliştiricisine gerektiği gibi tazminat ödeyememesiyle bağlantılı. DiMaggio, Haziran 2022’de piyasaya sürüldüğünü bildirdi. Aralarındaki anlaşmazlık, geliştiricinin öpüşmesinin bir parçası olarak LockBit kaynak kodunun bir kopyasını sızdırmasına yol açtı.
Bağlı kuruluşlar hâlâ bir saldırıda LockBit 3.0 kullanma seçeneğine sahip olsa da, VirusTotal’a göre bu, çoğu kötü amaçlı yazılımdan koruma ürünü tarafından doğrudan tespit ediliyor. Bu, kötü amaçlı yazılımın bağlı kuruluşlar için daha az kullanışlı olmasına neden oluyor çünkü kötü amaçlı yazılımlarının yürütülmesini ve uç noktaları şifrelemesini sağlamak için güvenlik araçlarını atlamaları gerekiyor.
Saldırganlar yine de uç noktaları vurmak için yeni stratejiler geliştirmeye devam ediyor. Geçtiğimiz hafta İspanya Ulusal Polisi, LockBit enfeksiyonlarına yol açan bir kimlik avı saldırısı dalgası görüldüğü konusunda uyardı. Kimlik avı e-postaları şu ana kadar mimarlık firmalarını hedef alıyor ve İspanyol fotoğraf hizmeti firması Fotoprix’e ait meşru fotoprix.com alan adına benzeyecek şekilde tasarlanmış kötü amaçlı bir alan adı kullanan “fotoprix.eu” dönüş e-posta adresi taşıyor.
Polis, saldırıların ağır dozda sosyal mühendislik içerdiğini söyledi; ilk e-posta kötü amaçlı yazılım eklenmiş olarak gelmiyor. Bunun yerine, “birkaç e-posta alışverişinden sonra, saldırganlar bir bütçe belirlemek için bir toplantı düzenlemek üzere bir tarih belirlemeyi teklif ediyor” ve bu noktada, sözde ilgili ayrıntıları içeren bir dosya gönderiyorlar. Bunun yerine LockBit enfeksiyonuna yol açar.
Bu saldırıların LockBit bağlı kuruluşlarından mı yoksa şu ana kadar kaynak kodunu uyarlayan bağımsız gruplardan mı kaynaklandığı belirsizliğini koruyor. Fidye yazılımı girişimi başarılı olursa, hem saldırganlar hem de kurbanlar için farkın pek önemi kalmaz.