Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Kalabalık Sızıntı Sahası Bir Zayıflık Olabilir ve Daha Az Yeni Oyuncu Daha Yüksek Kalitenin Bir İşareti Olabilir
Mathew J. Schwartz (euroinfosec) •
14 Ağustos 2024
Kaç tane fidye yazılımı kurbanı, isimlerinin bir veri sızıntısı blogunda listelenmesinin veya çalınan verilerinin ifşa edilmesinin yaratacağı psikolojik sonuçlardan kaçınmak için saldırganlarına ödeme yapıyor?
Ayrıca bakınız: Yöneticiler İçin Üretken Yapay Zekayı İşletimsel Hale Getirme Rehberi
Bilmiyoruz. Bu sorunun cevabı, psikolojik baskı, halkla ilişkiler korkuları, kurban olmanın utancı ve rasyonel veya başka türlü sayısız diğer faktörün karmaşık bir karışımını içerir.
Palo Alto Networks’ün tehdit istihbarat grubu Unit 42’nin yeni raporuna göre, “birçok önemli kolluk kuvveti kesintisi ve tutuklamaya rağmen, geçen yıla kıyasla fidye yazılımı duyuruları artmaya devam ediyor.”
Bu yılın ilk yarısında 53 fidye yazılımı grubu, sızıntı sitelerinde toplamda 1.762 yeni kurban listeledi; bu da ayda ortalama 294’e denk geliyor.
Saldırganların veri sızıntısı sitelerini kullanmaya devam etmesi, en azından bazı kurbanları ödeme yapmaya zorlamak için hala yararlı bir dürtü olarak hizmet ettiklerini gösteriyor. Gasp grupları, gelecekteki kurbanları ödeme yapmaya korkutmak için kendilerini olabildiğince büyük ve kötü göstermeyi amaçlıyor.
Ancak sıklıkla olduğu gibi, en yüksek sesle bağıranlar bir zayıflığı gizliyor, çünkü sızıntı sitesi gönderileri şirket telemetri verileriyle iyi bir korelasyon göstermiyor. LockBit, sızıntı sitesine dayanarak uzun zamandır “en üretken hacker” konumunu iddia ediyor. Ancak fidye yazılımı yanıt grubu Coveware, Nisan’dan Haziran’a kadar soruşturmasına yardımcı olduğu binlerce vakanın yalnızca %7’sini LockBit’in oluşturduğunu söyledi.
Mağdur sayıları da birkaç büyük puanı yansıtmayabilir. Zscaler ThreatLabz’in söylediğine göre, ilk olarak Mayıs 2022’de ortaya çıkan ve “çok az ilgi çekmeyi başaran” Dark Angels fidye yazılımı grubunu ele alalım. Bu, ThreatLabz’ın yakın zamanda grubun bu yılın başlarında 75 milyon dolar değerindeki tarihin bilinen en büyük fidye yazılımı ödemesini almasına bağlamasına kadar böyleydi.
Bu, veri sızıntısı sitelerinin asla tam hikayeyi anlatmadığının bir hatırlatıcısıdır. Tüm fidye yazılımı grupları bunları kullanmaz ve kullandıklarında, kimin ödeme yaptığına dair tam ve eksiksiz bir muhasebe yerine yalnızca ödeme yapmayan kurbanların bir alt kümesini listelerler (bkz: Fidye Yazılımı Gruplarının Veri Sızıntısı Blogları Yalan Söylüyor: Onlara Güvenmeyi Bırakın).
RansomHub’ın Yükselişi
Bir diğer sorun da suç ekosisteminin ne kadar belirsiz olabileceğini gizleyebilen grupların kendi konseptidir. Hizmet olarak fidye yazılımı operasyonları büyük ölçüde iştirakçilere dayanır. Bu iş ortakları, bir operasyonun kripto-kilitleme kötü amaçlı yazılımını alıp bir kurbanı enfekte etmek için kullanarak, genellikle ödenen her fidyenin %70 ila %80’i karşılığında yükleniciler olarak işlev görür.
Bağlı kuruluşlar bazen aynı anda birden fazla fidye yazılımı operasyonuyla çalışır veya bağlılıklarını değiştirirler. Aynı bağlı kuruluş, farklı fidye yazılımı gruplarına bağlı kurbanlardan sorumlu olabilir. Gruplar gelip geçse bile, en azından isim olarak, bağlı kuruluşlar genellikle çalışmaya devam eder.
BlackCat’in kendisini reddedilmiş iştiraki olarak tanımlayan Notchy’i ele alalım. Change Healthcare verilerini RansomHub’a götürdü ve RansomHub da tıbbi faturalama aracısını tekrar gasp etmeye başladı.
Siber güvenlik firması Rapid7’nin verdiği bilgiye göre RansomHub, Şubat ayında ortaya çıkan ve “kısa sürede kendini önemli bir gasp grubu olarak kabul ettiren” yeni bir grup. Haziran ayı sonuna kadar 181 kurbanı listeledi.
Broadcom’un Symantec güvenlik grubu, kötü amaçlı yazılımlarının benzerliğinden dolayı RansomHub’ın, daha önce Cyclops olarak bilinen Knight grubunun yeniden başlatılmış hali gibi göründüğünü söyledi.
Aynı oyuncuların dahil olup olmadığı henüz belli değil, ancak Knight kaynak kodunun geliştiricileri Şubat ayında emekliye ayrıldıklarını ve kaynak kodlarını satacaklarını duyurdular. Symantec, bunun “başka aktörlerin Knight kaynak kodunu satın alıp RansomHub’ı başlatmadan önce güncellemiş olma ihtimali” anlamına geldiğini söyledi.
Symantec, fidye yazılımı grubunun hızlı yükselişinin, “siber yeraltında deneyimi ve bağlantıları olan deneyimli operatörleri” bünyesinde barındırması ve Notchy de dahil olmak üzere BlackCat’ten deneyimli iştirakçileri işe alması sayesinde kolaylaştığını söyledi.
Yeni Gelenlerde Azalma
Çok sayıda fidye yazılımı grubunun oyunda olmasına rağmen, yeni operasyonların sayısı azalıyor gibi görünüyor. Coveware, ikinci çeyrekte yalnız kurt operatörlerinde bir artış gördüğünü, bunun muhtemelen kısmen kolluk kuvvetlerinin kapatmaları ve özellikle sağlık hizmetlerine veya diğer kamu hizmetlerine saldırdıklarında çok sayıda gruba bağlı “zehirlilik” tarafından yönlendirildiğini söyledi.
Rapid7, 2022’de 95 yeni fidye yazılımı grubunun ortaya çıktığını söyledi. Geçtiğimiz yıl bu sayı yalnızca 43’tü. Ancak yine de, yeraltı fidye yazılımı suçlularını değerlendirirken sayılar çoğu zaman kendi adlarına konuşmaz, çünkü daha düşük sayı, fidye yazılımı operatörlerinin işe yarayan şeylere daha fazla odaklanması nedeniyle nicelikten ziyade niteliğe öncelik verildiğini gösterebilir.
Taktiksel olarak konuşursak, Rapid7’nin söylediğine göre, bu “daha uzmanlaşmış ve oldukça etkili fidye yazılımı varyantlarını” ve daha fazla gasp operasyonunu içeriyor gibi görünüyor. “Bu değişim, fidye yazılımı gruplarının nicelikten çok niteliğe odaklandığını, tekniklerini geliştirdiğini ve hedefli ve yıkıcı saldırılara izin veren kanıtlanmış araçları kullandığını gösteriyor.”