Fidye Yazılım Ekonomisine Yakından Bir Bakış: İş Modeli Nasıl İşliyor?

Egreror’dan tutun Doppelpaymer ve Ryuk’a kadar sayısız fidye yazılım siber güvenlik medyasında manşetleri süslemeye devam ediyor. Pandemi sürecinde patlama yapan oltalama saldırıları, uzak uç noktalar üzerindeki görünürlüğün yetersiz olması, tehdide karşı gösterilen belirsiz tutum gibi faktörler siber suç örgütlerinin faaliyetlerinin son yıllarda önemli ölçüde artmasına neden oldu. Daha da kötüsü, fidye yazılım artık ayrım yapmıyor. Fidye yazılımlar küçük kasabalardan belediye bürolarına, video oyun üreticilerinden Covid-19 pandemisi nedeniyle zaten zor durumda olan sağlık ve eğitim kurumlarına kadar akla gelebilecek her türlü kurum ve işletmeye saldırıyor. Analizlere bakılırsa fidye yazılım tehdidi önümüzdeki iki ile üç senede daha da büyüyebilir.

Fidye yazılım dünyasını anlamak için bu tehdidi bir tür ekonomi olarak algılamak önem taşıyor. Saldırganlar kötü amaçlı yazılım yükleyerek iş modellerini kolaylaştırmak adına fidye talep ediyorlar. Bir kez kuruldukları zaman, bu ‘küçük ev sanayileri’ siber korsanların ihtiyaçlarına göre güncellenebiliyor. Herhangi bir sanayi kolu gibi, fidye yazılım saldırılarının amacı da kesinlikle yasa dışı olmakla birlikte ödeme alabilmek. Bu aşamada iş modeli devreye giriyor…

İş modelindeki tedarikçiler, genelde RaaS (hizmet amaçlı sunulan fidye yazılım) sunan siber suçlulardır ve işlerini büyütmek için bir istek ortaya koyarlar. Bir fidye yazılım operatörü olmak için teknik yetenek gerekmez; aslına bakılırsa daha çok yasa dışı yolları seçen bir girişimci olmak gibidir.

Yakın geçmişe ait raporlar, fidye yazılım örgütlerinin 2020’de en az 350 milyon dolar haksız kazanç elde ettiğini gösteriyor. Bu miktar, bir önceki yıla kıyasla %311 gibi inanması güç bir artışa işaret ediyor.

Peki bir saldırıda talep edilen fidye miktarı yaklaşık olarak ne kadar? Siber güvenlik raporlarına göre, geçtiğimiz yılın son mali çeyreğinde ödenen ortalama fidye 154.000 dolar olarak belirdi. Altı ay öncesine kıyasla, ortalama fidye ücreti 110.000 dolar artış gösterdi. Ocak ayına ait raporlara göre, her bir saldırıda 100.000 dolar barajını aşan fidye toplayan Ryuk ile siber korsanlar toplamda 150 milyon dolar ele geçirdi.

Fidye ödemekle de kalmıyor…

Rakamların ortaya koyduğu gibi mağdur duruma düşen şirketlerden fazlasıyla para çıkıyor. Sadece fidyeyi ödemekle kalmıyor, saldırı nedeniyle oluşan zaman kaybı ve altyapı zararını kapamak, üstüne üstlük yasal düzenlemelerin üstesinden gelmek için harcamalar yapıyorlar.

Fidye yazılım saldırılarının maliyeti bazı durumlarda tavan yapabiliyor. 2017’de 200 milyon dolardan fazla zarar eden Maersk bunun iyi bir örneği. ABD merkezli kamyon taşımacılığı şirketi Forward Air, kısa süre önce maruz kaldıkları saldırının 7,5 milyon dolara mal olduğunu açıkladı. Seyahat yönetim şirketi CWT ise geçtiğimiz yaz uğradıkları fidye yazılım saldırısının sonucunda 4,5 milyon dolar kaybettiklerini duyurmuştu.

Saldırılara maruz kalan firmalar, aynı zamanda olay tepki şirketlerine de ödeme yapıyor. Eğer yeni nesil bir fidye yazılım kullanılmış ise olay tepki danışmanları siber suçluların güvenlik bariyerlerini nasıl aştığını çözümleyebiliyor. Adli siber tıp alanında uzmanlaşan şirketler saldırıların ardından çağrılırsa şifrelenen dosyaların şifresini kırmak için çaba gösteriyorlar.

Bu aşamada bir başka aktör daha söz konusu: Fidye yazılım aracısı. Saldırıya maruz kalan her şirket siber suçluların talepleri hakkında fazla bir fikir sahibi olmuyor. Örneğin, suçluların Bitcoin veya diğer ödeme talepleri hakkında bilgileri olmayabiliyor. Şirketler tarafından tutulan bu özel aracılar, siber suçlular ile fidye miktarı üzerinde veya ödeme sürecinde pazarlık gerçekleştiriyor.

Döngüsel mekanizma

Fidye yazılımların son zamanlarda beliren döngüsel mekanizması, özellikle sigorta sağlayıcılar tarafından daha da ileri bir aşamaya taşındı. Geleneksel olarak siber sigorta sunan şirketler bir fidye yazılım saldırısı sonucu oluşan zararları karşılamayı vadediyor. Karşılanan miktar, şirketlerin zaman kaybı nedeniyle uğradığı zararı da içeriyor. Saldırının çeşidine ve ortaya çıkan senaryoya bağlı olarak, sigorta şirketleri şirket faaliyetlerinin en kısa zamanda eski hale gelmesini öngören şartlarda zararları ödemeyi kabul ediyor. Bu şekilde mağdur olan şirketlerin dosyalarını deşifre etmesi daha hızlı olabiliyor ve zarar aşağı çekiliyor. Ancak asıl sorunun üstesinden gelinmiş olunmuyor…

ABD’nin New Orleans belediyesinin 2019’da maruz kaldığı siber saldırıda şehir, 7 milyon dolarlık finansal zarara uğradı. Bu miktar, siber güvenlik politikası için ayrılan bütçenin iki katından fazlaydı. Tazmin edebilmek adına, şehir siber güvenlik politikası bütçesini 10 milyon dolara çıkardı. Her ne kadar bu önlem biraz rahatlık verecek olsa da, aynı zamanda siber suçluların gelecekte talep edeceği fidye miktarını ve sigorta şirketlerine yapılacak ödemenin de artacağı anlamına geliyor.

Fidye yazılım ekonominde yer alan bir diğer aktör, yasal danışmanlar. Aracılar ve sigorta şirketleri arasında yer alan ve ilişkileri yönetmeyi amaçlayan bu aktörler, bilişim teknolojileri (IT) ekipleri ve adli tıp uzmanları ile yakından çalışıyorlar. Yasal danışmanlar yaptıkları değerlendirme sonucunda şirketlerin fidyeyi ödeyip ödememeleri ve bu durumdan çalışanlar, yatırımcılar ve yasal düzenleyicilerin haberdar edilip edilmemesi gibi konulara karar veriyorlar.

Gıda zincirinin en tepesinde, tehdit aktörlerinin ta kendileri, fidye yazılımlarının hedeflerine ulaşması ve herkesin payına düşen karı alabilmesi için yeni ve ilginç basamaklar deniyorlar. Clop fidye yazılımını kullanan siber saldırganlar, hassas bilgilere erişimi bulunan üst düzey yöneticileri hedef alıyorlar. Bazı saldırganlar da ödeme izinlerine onay veren, banka hesaplarına erişimleri bulunan yöneticileri seçiyor.

Yazarlar, geliştiriciler, aracılar, yasal danışmanlar ve sigorta şirketlerinden oluşan, hukukun her iki tarafındaki çok parçalı varlıklar kar elde etmeye devam ettiği sürece, fidye yazılımlar başarı elde etmeye devam edecek. Kısaca, mağdur dışındakiler için bir kazan-kazan senaryosu söz konusu.