Bilişim ProfesyonelleriMakaleManşet YanıSiber Güvenlik

Fidye yazılımı talepleri neden milyonlarca dolarlık taleplerdir?

Fidye yazılımı talepleri neden milyonlarca dolarlık taleplerdir?

Fidye yazılımı talepleri neden milyonlarca dolarlık taleplerdir?

Ana akım medyada yayınlanan techno-shock hikayelerinde bazı tuhaf kurallar bulunmaktadır. Daha da uzak şirketlerden çalınan veri setlerinin sayısı sürekli olarak artmaktadır ve kendini atanan süper kahramanlar, kimlik dolandırıcılarının uzak ve şaşkın ofislerine gerçek hukuku dayatarak tüm makinelerini fare tıklamasıyla siliyorlar.

Genel olarak, bu konuda bir takım öngörülebilirlik hissi vardır; tüm bu olayların toplumumuzun ve işleyiş şeklimizin bir parçası olabileceği bir şekilde uyum sağladığı bir yol. Bir fidye yazılımı hikayesiyle karşılaştığımda her zaman dikkatimi çeken garip bir durum vardır ve bu da dolandırıcılık olaylarında ödenen miktarların bir üst sınırlarının bulunmasıdır. Bu benim yarı profesyonel ilgimi çeken bir konudur çünkü genç ve tecrübesiz bir çocukken 2 milyar sterlin değerinde bir kredi portföyüyle oynamıştım. “Oynamak” deyince, veritabanlarının salt okunur bir kopyasına erişimim olduğunu ve sabırsız, huysuz bankacılık yöneticilerinin tam bir yönetim kurulu odasının bana erişiminin olduğunu kastediyorum. Bu miktarda paranın ve o kitleye hitap eden kitleye yaklaşmanın mümkün olmadığını hızla öğrendim: milyonlar, kuruşlar ve aralarındaki her diğer miktarın neler olduğunu izleyebilmek zorundaydınız.

Bu yüzden fidye yazılımı taleplerinin ölçeğiyle ilgili raporlamada suni bir sınırlamanın bulunması beni şüphelendiriyor ve bunun nedenini öğrenmek istiyorum. Çalışma geçmişim olan birisi için bile kolay bir konu seçmek değil. Fidye yazılımı savaş alanını değerlendirmek Biliyoruz ki, her ölçekte olaylar oluyor, peki neden sadece birkaç milyonluk aralıktaki ödemeler hakkında duyuyoruz? Açıkça, ne kadar çok şeyi halka açık görebilirsek, güvenlikçi kekoluğundan kaçan çeşitli uyarıları dikkate alma eğiliminde oluruz.

Son zamanlarda, dikkatimi çeken üç ayrı bildirim, NSA, FBI ve CISA tarafından yayınlanan açıklamalara dikkatimi çekti. Kendi katkımızın kapsamını anlayamayacak kadar ileride olduğumuzu vurgulamakta fayda var: inanılması güç olsa da, Bay Winder ve ben yaklaşık üç yıl önce ABD Gizli Servisi yetkilileriyle bir araya geldik. Tabii ki, bu toplantılarla ortaya çıkan ürünler veya hizmetler arasında izlenebilir bir bağlantı olduğunu söylemek mümkün değil. Karşı fidye yazılımı ve siber suçla mücadele etmek zor bir karışım haline gelir. Troy Hunt’ı tanıyor musunuz veya ne yaptığını biliyor musunuz? Kendi blogundan bile hemen anlaşılmıyor: Troy, kişisel verilerinizin işvereninizden, tedarikçinizden veya hükümet kurumunuzdan çalındığını düşünüyorsanız başvurduğunuz site haveibeenpwned.com’a sahiptir.

İlginçtir ki, birçok siber güvenlik kaynağı, yeni tanıtılan sitelerin kimlik bilgilerini veya itibarını kontrol etmemiz gerektiğini söylerken, Troy çoğumuz için bir sürpriz oldu. Bir özel bireyin suçlular ve polisler, şirketler ve danışmanlar arasındaki karmaşık bir döngüde bir web hizmetini yürütmesinin ekonomikleri kesinlikle karmaşıktır ve Troy’un çalınan ve kurtarılan isimlerin ve adreslerin bir veritabanını sağlaması, hem işletmeler hem de bireyler için bir Pandora’nın kutusudur.

E-posta veya kredi kartı numaranızın onun listesinde olduğunu fark ettiğinizde, buna nasıl yanıt vereceğinize siz karar verirsiniz. Troy’un rolünü ve amacını yanlış anlayan kurbanların sadece küçük bir bölümünün avukatlarıyla alevlenmeye çalışması, bunu IBM üzerinde denemeyecekleri bir şeydir. IBM’i bahsetmemin nedeni, Quad9 projesine katılımı aracılığıyla anti-fidye yazılımı kamu hizmeti sunmasıdır. Bu, siyah listelenmiş DNS adreslerini otomatik olarak reddeden halka açık, ücretsiz bir DNS sunucusudur, bu da fidye yazılımı çalışması için uzaktan erişim olasılığını ortadan kaldırır: eğer IBM’nin 9.9.9.9 DNS’sini kullanıyorsanız makinelerinize uzaktan erişimin hiçbir umudu yoktur. Ancak ne IBM’nin ne de Troy Hunt’ın gerçekten bahse gireceğiniz kaynaklara sahip olduğunuz konusunda nasıl sağlam araştırılmış bir tatmin seviyesine ulaşacağınız, kimse bilmiyor – ama hepsi sizin çaba göstermeniz gerektiğini düşünüyor.

Büyük çocuklar için bir kural, küçük çocuklar için başka bir kural gibi görünen bu tuhaf bozulmuş ölçek duygusu, fidye yazılımı saldırısından kurtarma sürecini yönetmeye çalışırken asıl endişe kaynağı olur. Bir işletmeye dayanıklı bir BT platformu geliştirmelerini isteyin ve ilk yapacakları şey Gmail adresi almak olur, “ne olur ne olmaz” diye, çünkü saldırı şirketin e-posta sunucusuna kötü şeyler yaparsa (kötü adamlar için bir trenddi, şimdi çok popüler değil; çünkü istedikleri şey ödeme konusunda iletişim kurabilmektir). Aslında Gmail refleksi hareketinden rahatsız değilim, çünkü ana çalışanlarınızın başka çareleri olmadığını itiraf etmelerinden daha iyidir ve fidye yazılımı eğitimi için harika bir başlangıç noktasıdır.

Aslında, “fidye yazılımı eğitimi” terimini sevmiyorum. Bu konuyu düz bir tebeşir ve sunum tabanlı bir eğitim ortamına koymak istediğiniz sonuçları elde etmenize yardımcı olmayacak. Daha çok bir beyin fırtınası yapmayı tercih ederim, çalışanlardan geri bildirim almanın ve ara sıra bir konuşmacının dahil olduğu oturumlarda soru-cevap yapmanın önemli olduğu bir ortam. Güvenlik jargonunu kullanarak, parlak kırmızı büyük harfli metinlerle sunulan 209 sayfalık yoğun ve moda güvenlik vurgularıyla sadece donuk gözler ve tuvalete gitme ihtiyacı gibi bir şey elde edersiniz. İnsanların anlamadıkları konular hakkında geri bildirimde bulunmaları ve soru sormaları gerçek bir etkiye sahiptir.

Fidye yazılımı operatörleri için bir define

Dikkatimi çeken en son vakaya gelelim; büyük bir fidye talebi ne zaman ciddi bir boyuta ulaşır? İlgili işletmenin detaylı açıklamasını yapmama izin verin, hikaye geliştikçe herhangi bir kişiyi tanımlamanın ciddi bir risk taşıdığı açık olacak. Anlamanız için bir şeylere dayanak oluşturmak isterseniz, işletmenin bir altın eritme şirketi olabileceğine katılabiliriz – ancak sadece Brink’s-Mat soygunuyla ilgili bir belgesel izlediğim ve soygunda çalınan büyük miktardaki altının yeniden tedarik ve parasal değişimiyle uğraşan eritme tesisinin karmaşık kaderinden dolayı. Bu tariften kurbanın gerçek kimliğini tahmin edebileceğiniz için değil. Durum genellikle fidye yazılımı saldırıları gibi gelişti. İlk olarak, yazılım veya insanlar tarafından tespit edilmeyen bir PC’nin küçük ölçekli bir enfeksiyonu oldu. Enfeksiyon uzun süren soruşturma amaçlı uzaktan kontrol oturumlarına olanak sağladı. Ancak bu soruşturma, IT destek ekipleri tarafından değil, kötü adamlar tarafından yapıldı. Kötü adamlar, enfekte makineyi oyun veya video indirme amaçlı bir geçiş noktası olarak kullanarak düşük değerlerde anında para karşılığında (birkaç ay sonra) sessizce ağda dolaşarak belirli belgeleri burada ve orada okuyarak daha fazla para kazandılar.

Bir altın rafinerisinde, işin değerini kağıt işlerinin eşlik ettiği ağırlıkla ölçmezsiniz. Milyonlarca sterlinlik değer, birkaç A4 tablosunda barların girişi, ağırlığı, çıkışı ve seri numaralarıyla yönetilebilir. Bu işletmede sıradan bir metal tüccarından daha fazla para olduğunu gösteren tek işaret, gelen taramalı fatura dosyalarının basit dosyalarda gizlice saklanması ve çıkış bildirimleriyle eşleştirilmesiydi. Bu sektördeki birçok kişi gibi, bu adamların ana işletmenin nakit akışına uyan etkileyici ve muhtemelen yasa dışı yan işleri vardı.

Kötü adamlar, zamanlarını alarak makinelerin ve sunucuların dosya yapılarına göz atmaya, neyle uğraştıklarını anlamaya çalıştılar. Kimse uzaktan kontrol oturumlarını tespit etmedi. Bu pek bir sürpriz değil, çünkü kilitlenme döneminde tek bir masaüstü bilgisayara uzaktan erişim, bu işletme gibi birçok diğer işletme için bir can simidi olmuştu, bu yüzden neredeyse LAN’larında neredeyse her makinede biri tarafından kullanıldığını beklemişlerdi. Tetik çekiliyor Her şey o uzaktan bağlantı üzerinden hazırlanmıştı. Tüm dosyaları aynı anda etkileyemeyeceklerini ve eski dosyaların sık sık açılmayacağını veya başvurulmayacağını düşünerek eski belgeleri şifrelediklerini varsayıyorum. Kimliklerini ortaya çıkarmak ve fidye taleplerini iletmek için hazır olduklarında, şirket analizi araştırmaları da tamamlanmıştı. Altın eritme tesisinde bulunması muhtemel birkaç belge ve daha açıkça görülen zenginlik işaretleri tarafından aşırı heyecanlanarak, bu fidye talebinin yedi haneli bir rakam olmasına karar verdiler.

Benim açımdan, bu, o ölçekte bir miktarı ödemeye hazır olacak bir işletmenin bulunması için bir uzmana başvurulması gerektiği anlamına geliyordu. Ancak, daha büyük fidye taleplerinin neden kamuoyuna yansımadığına dair ilk soruma yanıt, Ağır Ekip ortaya çıktığında hızlıca geldi. Yüzlerce polis veya balaclava takan Özel Kuvvetler türünden değil, işlerini güvence altına almak isteyenlere özel güvenlik hizmetleri sunan sessiz, güzel giyimli, dik duran adamlardan bahsediyorum. Görünüşe göre parayı geri almanın olasılıklarını ve bunu gerçekleştirmek için ellerinde hangi taktikler olduğunu tartışmak üzere ziyaret etmişlerdi. Fidye miktarı büyüdükçe, eşitleyicilerin dikkatini çekerler; dolandırıcıları tespit etmede büyük bir zorluk yaşamazlar ve onlara biraz silahla gelerek biraz konuşma yapma niyetinde olan şirketler. Belli bir seviyenin, yaklaşık 10 milyon sterlinlik bir seviyenin civarında, karanlık ağın iddia edilen mükemmel güvenliği sorgulanabilir hale gelir. Güvenlik yapısının en kolay kırılabilecek kısmı her zaman insanlardır, özellikle bunu harfi harfine talimat olarak kabul ederseniz. Bu olayın üç haftasından bu yana, eşitleyicilerden veya mağdur şirketten pek bir şey duymadım. Bu da onların paranın kimde olduğunu tespit etmekte başarılı olamadıkları anlamına geliyor, diye varsayıyorum.

Makalenin orjinal kaynağını bu linkten okuyabilirsiniz.

Tüm yazılarımızı buradan okuyabilirsiniz.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.