Siber suçlular artıyor kesintiyi en üst düzeye çıkarma ve fidye taleplerinin ödenmesini zorunlu kılma çabalarında daha agresifler ve şimdi yeni bir gasp taktiği devreye giriyor.
Kasım ayının başlarında, BlackCat olarak da bilinen kötü şöhretli ALPHV fidye yazılımı çetesi, türünün ilk örneği olan bir gasp taktiğine girişti: ABD hükümetinin yeni veri ihlali açıklama kurallarını, çetenin kendi kurbanlarından birine karşı silah olarak kullanmak. ALPHV, ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) şikayette bulunarak, dijital kredi sağlayıcısı MeridianLink’in, çetenin “müşteri verileri ve operasyonel bilgilerden ödün veren önemli bir ihlal” olarak adlandırdığı durumu açıklamadığını iddia etti. çete kredi aldı.
ALPHV, “MeridianLink’in yakın zamanda kabul edilen siber güvenlik olaylarını açıklama kurallarına uyumuyla ilgili endişe verici bir konuya dikkatinizi çekmek istiyoruz” diye yazdı. “MeridianLink’in, yeni SEC kurallarının gerektirdiği şekilde, öngörülen dört iş günü içinde Form 8-K Madde 1.05 uyarınca gerekli açıklamayı sunamadığı dikkatimizi çekti.”
ALPHV’nin son gasp çabası, kuralların yürürlüğe girmesiyle birlikte önümüzdeki aylarda trend olması beklenen şeyin ilk örneği. Her ne kadar yeni olsa da, fidye yazılımı ve gasp çetelerinin kullandığı tek saldırgan taktik bu değil.
Tipik olarak fidye yazılımı dağıtmakla tanınan bilgisayar korsanları, giderek artan bir şekilde “çifte gasp” taktiklerine yöneldi; bu sayede çeteler, kurbanın verilerini şifrelemenin yanı sıra, fidye talebi ödenmediği takdirde çalınan dosyaları yayınlamakla tehdit ediyor. Bazıları daha da ileri giderek “üçlü “gasp” saldırıları; adından da anlaşılacağı gibi, bilgisayar korsanları, asıl kurbanın müşterilerine, tedarikçilerine ve ortaklarına tehditler ve fidye talepleri ileterek kurbanlarından zorla para almak için üç yönlü bir yaklaşım kullanır. Bu taktikler, şifrelemesiz gasp girişimlerine yönelik trendde önemli bir olay olarak görülen, geniş kapsamlı MOVEit toplu saldırılarının arkasındaki bilgisayar korsanları tarafından kullanıldı.
Belirsiz tanımlar günümüzde kuruluşların karşılaştığı en büyük siber güvenlik sorunu gibi görünmese de, fidye yazılımı ile gasp arasındaki ayrım önemlidir, çünkü bu iki tür siber saldırıya karşı savunma çok büyük farklılıklar gösterebilir. Bu ayrım aynı zamanda politika yapıcıların fidye yazılımlarının hangi yönde trend olduğunu ve fidye yazılımına karşı politikaların işe yarayıp yaramadığını bilmelerine de yardımcı oluyor.
Fidye yazılımı ile şantaj arasındaki fark nedir?
Fidye Yazılımı Görev Gücü açıklar Fidye yazılımı, “suçluların bilgisayar sistemlerine uzaktan erişim sağladığı ve verileri geri yükleme ve/veya ifşa etmeme karşılığında fidye talep ettiği, gelişen bir siber suç biçimi” olarak tanımlanıyor.
Gerçekte, fidye yazılımı saldırıları geniş bir etki yelpazesine sahip olabilir. Fidye yazılımı uzmanları, Recorded Future’ın tehdit istihbaratı analisti Allan Liska ve Emsisoft’un tehdit analisti Brett Callow, TechCrunch ile yaptıkları bir analizde fidye yazılımının bu geniş tanımının hem “dolandırıcılık” hem de güvenli olmayan Elasticsearch örneğinin içeriğini indirdiğimiz için geçerli olabileceğini paylaştı. Hastanelere yönelik “hayatı tehdit eden şifreleme tabanlı saldırılara” kadar 50 dolarlık saldırılar istiyoruz.
Liska ve Callow, “Ancak bunların çok farklı hayvanlar olduğu açık” dedi. “Biri Amazon teslimatınızı çalan fırsatçı bir sundurma korsanı, diğeri ise evinize giren ve tüm eşyalarınızı almadan önce ailenizi terörize eden şiddetli suçlulardan oluşan bir ekip.”
Araştırmacılar, “şifreleme ve gasp etme” saldırıları ile “yalnızca gasp amaçlı saldırılar” arasında, ihlal edilen ağlara erişim satan aracılara güvenmeleri gibi benzerlikler olduğunu söylüyor. Ancak ikisi arasında, özellikle de kurbanın müşterileri, satıcıları ve kendi hassas verilerinin yalnızca gasp amaçlı saldırılara yakalanabileceği müşterileri açısından önemli ayrımlar da var.
“Bir tehdit aktörünün, bulabileceği en büyük veya en tanınmış kuruluşu bulmak için çalınan verileri sıraladığı ve bu kuruluşa başarılı bir şekilde saldırdığını iddia ettiği bu durumun tekrar tekrar yaşandığını görüyoruz. Bu yeni bir taktik değil,” diyen Liska ve Callow, bir fidye yazılımı çetesinin, aslında daha az bilinen teknoloji satıcılarından birinden veri çaldığı halde, büyük bir teknoloji devini hacklediğini açıkladığı bir örnekten alıntı yaptı.
“Bir saldırganın ağınızdaki dosyaları şifrelemesini önlemek bir şeydir, ancak veri tedarik zincirinizin tamamını nasıl korursunuz?” dedi Liska ve Callow. “Aslında pek çok kuruluş, veri tedarik zincirlerini düşünmüyor… ancak tedarik zincirindeki her nokta, veri hırsızlığı ve gasp saldırılarına karşı savunmasız.”
Fidye yazılımının daha iyi bir tanımına ihtiyaç var
Yetkililer, saldırıya uğrayan kuruluşların fidye taleplerini ödemelerini uzun süredir caydırıyor olsa da, bilgisayar korsanlarının vurduğu işletmeler için bu her zaman kolay bir karar olmuyor.
Şifreleme ve gasp saldırılarında şirketler, dosyalarının şifresini çözen bir anahtar almak için fidye talebini ödeme seçeneğine sahiptir. Ancak çalınan dosyalarını silmek için saldırgan gasp taktikleri kullanan bilgisayar korsanlarına ödeme yaparken, bilgisayar korsanlarının gerçekten bunu yapacağına dair hiçbir garanti yoktur.
Bu, çalınan verilerin ifşa edilmesini önlemek amacıyla bilgisayar korsanlarına ödeme yapan Caesars Entertainment’a yönelik son fidye yazılımı saldırısında da ortaya çıktı. Caesars, kendi itirafıyla düzenleyicilere şunları söyledi: “Çalınan verilerin yetkisiz aktörler tarafından silinmesini sağlamak için adımlar attık ancak bu sonucu garanti edemiyoruz.”
Liska ve Callow, bilgisayar korsanlarının çalınan verileri sildiği yönündeki iddialara atıfta bulunarak, “Aslında bunu yapmayacaklarını varsaymalısınız” dedi.
“Farklı saldırı türleri arasındaki ayrımı hesaba katan fidye yazılımının daha iyi bir tanımı, kuruluşların ister kendi içinde ister üçüncü bir tarafın ağında gerçekleşsin, her türlü fidye yazılımı saldırısına karşı daha iyi planlama yapmasına ve bunlara yanıt vermesine olanak tanıyacaktır. dedi Liska ve Callow.