Fidye Yazılım Örgütlerinin Pazarlık Yazışmalarından Çıkarılması Gereken Dersler ve Bu Kapsamdaki Güvenlik Önerileri

Fidye yazılım saldırıları, son yıllardaki en yaygın saldırı türleri listelerinin zirvesinde. Bu tartışmasız gerçeği, yaşanmış bir dizi olay üzerinden ele alan bir çalışmanın ayrıntıları kamuoyuyla paylaşıldı. Çalışma, IBM Security X-Force Threat Intelligence analistleri ve bir nesnelerin interneti (IoT) ve güvenlik istihbaratı şirketi olan Cylera iş birliği ile yürütüldü. Bu kapsamda 2020’nin sonunda ortaya çıkan ve küresel ölçekte 80 milyon doların üzerinde zarara neden Egregor adlı fidye yazılımı kullanan siber suçluların kurbanları ile gerçekleştirdiği fidye görüşmeleri incelendi. Bir dipnot olarak bu çalışma, bazı fidye yazılımı aktörlerinin nasıl çalıştığından fidye ödeme müzakerelerini nasıl yürüttüklerine, kullandıkları stratejilere ve operasyonel yapılarına kadar pek çok değerli bilgiyi barındırıyor. 50 farklı kurban ile yapılan fidye görüşmelerini gözler önüne seren bu ilgi çekici analiz, bağlantılı olan onlarca siber suçlunun Şubat 2021’de tutuklandığı Egregor fidye yazılımına ilişkin şu tespitleri içeriyor.

Fidye Talebinin Tanımlanması – İlk dönemlerde istenen fidye miktarları 100.000 ile 35 milyon dolar arasında değişiyordu. Talep edilen ortalama ilk fidye 5 milyon dolardı. Bir müzakere sırasında, tehdit aktörleri, ilk fidye taleplerinin bir veri sızıntısıyla ilişkili potansiyel tahmini kaybın %5-10’u olduğunu belirttiler.

Fidye Müzakereleri – Operatörlerin kurbanın ödeme kabiliyeti ve istekliliği hakkındaki algısı ile ödemeyi geciktirmeye çalışmak gibi müzakere stratejileri de dahil olmak üzere, nihai fidye miktarının ya da veri sızıntısının sonucunun belirlenmesinde çeşitli faktörler rol oynadı.

Operasyonel Yapı – Yazışmalar, Egregor operasyonlarının arkasında oldukça karmaşık bir organize suç grubunun olduğunu ortaya koyuyor. Finans departmanı, veri yöneticisi, saldırganlar/BT uzmanları, halkla ilişkiler yöneticisi, yayın yöneticisi ve şifre çözme aracı uzmanı dahil olmak üzere çok sayıda rol veya unvandan bahsediliyor.

Egregor’un İç Yüzü- – Force araştırmacıları, Egregor gibi fidye yazılımı operatörlerini “hain” olarak tanımlıyor. Bununla birlikte, sohbet günlükleri, neyin empati veya pratik düşünce şeklinde algılanabileceğine dair birkaç fikir ortaya çıkardı. Bir müzakere sırasında, Egregor, grubun kasıtlı olarak hastaneleri veya hayır kurumlarını hedef almadığını kamuoyuna açıklaması karşılığında mağdur kuruma ücretsiz şekilde şifre çözme anahtarını sağlamayı teklif etti. İlginç bir PR çalışması olduğuna şüphe yok. Tehdit aktörleri, başka bir kurbanla yaptığı sohbette COVID-19’un zorluklarını tartışıyor, hatta kurbana mutlu tatiller diliyor.

‘Egregor’ nedir?

Egregor ilk olarak Eylül 2020’de keşfedildi. Kötü amaçlı yazılım, genellikle ağı ihlal ederek saldırıya geçiyor ve ardından kurbana, çalınan bilgiler halka açılmadan önce fidyeyi ödemesi için 72 saat süre veriyor. Mağdurlar ödemeyi reddederse, saldırganlar mağdurların adlarını ve gizli şirket verilerini sızıntı sitelerine indirmek için bağlantıları yayınlıyor.

Egregor operatörleri kendilerine bağlı destek ekipleri ile çalışır, bu kipler Egregor’a erişim satın alır ve bulaştırdıkları sistemlerde kötü amaçlı yazılımı kullanır. Bu model en iyi Hizmet Olarak Fidye Yazılımı (RaaS) olarak bilinir.

Birçok güvenlik analisti, Maze’in tehdit aktörlerinin Kasım 2020’de emekli olduklarını açıklamasının ardından iki fidye yazılımı ailesi arasındaki benzerliklere işaret ederek Egregor’un Maze fidye yazılımının takipçisi olduğunu öne sürdü. Egregor fidye yazılımının etkisi, en az 150 kuruluşa karşı yürüttüğü yasa dışı operasyonlardan elde edilen tahmini 80 milyon dolarlık ‘hırsızlıkla’ dünya çapında hissedildi. Mağdurlarla ilgili olarak bildirilen en yüksek vaka sayısı Amerika Birleşik Devletleri’ndeydi. Egregor’un hedeflediği şirketler arasında Barnes and Noble, Randstad, Fransız lojistik firması Gefco ve video oyun şirketleri Ubisoft ve Crytek de yer aldı. Şubat 2021’de, Fransız ve Ukraynalı ortak bir kolluk kuvveti operasyonu ile birçok Egregor üyesi tutuklandı.

Fidyede neler var?

Egregor aktörleri ve mağdur şirketlerin temsilcileri arasındaki ayrıntılı yazışmalar inceledikten sonra, fidye miktarının nasıl belirlendiği ve müzakere süreçleri hakkında ilginç bilgiler elde edildi. Saldırıların genelinde X-Force ve Cylera analistleri, kurbanlarla ilk temasta, Egregor fidye yazılımı aktörlerinin kurbana ve algılanan ödeme yeteneklerine bağlı olarak bir fidye ödemesi için ilk talepte bulunduğunu gözlemledi. Egregor sohbet günlüklerinde Aralık 2020’ye ait yaklaşık 50 fidye görüşmesinin analizi, fidye taleplerindeki çılgın değişimi gözler önüne seriyor.

Her bir fidye tutarının büyük olasılıkla, ele geçirilmiş veriler ve buna karşılık olarak siber korsanların mağdurun ödemeyi göze alabileceğini düşündükleri miktarın bir kombinasyonuna dayandığı öngörülüyor.

Sonuç olarak araştırmacılar, tehdit aktörlerinin birden fazla ek faktörü göz önünde bulundurarak kurbanın özellikleri ve ödeme isteği arasında bir denge kurduğunu gözlemledi. Bir müzakerede, Egregor aktörleri kurban şirketten 1,7 milyon dolarlık bir fidye istedi. Egregor operatörleri pazarlıklar sonucu fidyeyi 1 milyon dolara indirdi.

Başka bir olayda kurban, COVID-19 nedeniyle ödeme nakit akışı zorluklarını yaşadığından dolayı daha düşük bir fidye ödemek istedi. Egregor aktörleri, kurbandan bu durumla ilgili kanıt talep etti.

Bir kurbanın stratejisi: Zamanı satın almak

Saldırganlarla pazarlık yapmak, siber güvenlik camiasında hararetle tartışılan bir konudur. Hem fidye ödemeye hem de ödememeye karar vermenin sonuçları vardır. Egregor sohbet günlükleri, herhangi bir fidye yazılımı olayıyla karşı karşıya kalındığında hangi taktiklerin etkili olabileceğine dair şu ipuçlarını içeriyor:

Fidye miktarını düşürmek için şirket büyüklüğünü kullanma: Bazı durumlarda kurbanlar, Egregor aktörlerine yaptıkların işin büyüklüğü ile ilgili bilgi verdiler. Bu da ödeyecekleri fidyenin azalmasını beraberinde getirdi.

Parayı temin ederken zaman kazanma: Farklı örnek olaylarda analistler kurbanların fidyeyi ödemek için parayı temin etme süreçlerini açıkladıklarını gözlemlediler ve bu da aktörlerin güvenliği ihlal edilen organizasyon hakkında bilgi sızdırılmasından önceki süreyi uzattı.

Organize siber suç

X-Force ve Cylera analistleri, çoklu görüşmeleri incelerken, müzakere sürecinde tehdit aktörlerinin ima ettiği çeşitli roller olduğunu fark ettiler.

Egregor müzakerecileri, kendilerini yalnızca sabit bir maaş alan ve kovulmaktan korkan “destek ekibinin üyeleri” olarak nitelendirdi. Tartışmalar sırasında finans departmanı, veri yöneticisi, saldırganlar/BT uzmanları, halkla İlişkiler müdürü gibi farklı pozisyonlara atıfta bulundular.

Onların da bir kalbi var (!)

Saldırganlar, kurbanlardan milyonlarca dolar çalma niyetlerine rağmen, bazı durumlarda fidye taleplerinden geri adım attılar.

Buna iyi bir örnek X-Force ve Cylera analistlerinin, Egregor ile bir hayır kurumu arasındaki yazışmalarına dair analizleri. Mağdur kuruluş ile Egregor operatörleri arasında uzun bir görüşmeden sonra, siber korsanlar şifre çözme anahtarını sağlamayı teklif etti ve kuruluştan grubun kasıtlı olarak hastaneleri veya hayır kurumlarını hedef almadığını kamuoyuna duyurmasını istedi.

Başka bir fidye görüşmesinde kurban, ABD’de yer alan bir diş hekimliği ile Egregor’un 2020’nin zorluklarını, özellikle de COVID-19’u tartıştığını görüyoruz.

Çalışmanın önemli çıkarımları

Tatil dileklerine ve bazı durumlarda fidye taleplerinde yaptıkları indirim bir yana, X-Force ve Cylera tarafından elde edilen Aralık 2020 sohbet kayıtları, birçok Egregor saldırısının başarılı, kati suretle de acımasız bir suç operasyonu olduğuna işaret ediyor. Tehdit aktörleri özellikle Egregor fidye yazılımı ailesini kullanmayı bırakmış olsa da ve yalnızca Şubat 2021’deki operasyondan bu yana, X-Force analistleri yeni bir altyapının kurulabileceğine ve aynı kodun orijinal biçiminde veya değiştirilerek denenebileceğine inanıyor. Üstelik, bu saldırılarla birlikte, yeni fidye yazılımı aileleri ve çeteleri ortaya çıkmaya devam edecek ve yakın gelecekte Egregor’un yerini bir şekilde alacaklar.

Fidye yazılımı saldırıları günümüzde küresel çapta şirketler için en büyük güvenlik tehditlerinden biri olmaya devam ediyor. Ancak, karmaşık tehditler karşısında bile, riskleri azaltmaya ve hasarı en aza indirmeye yardımcı olabilecek şirketlerin alabileceği önlemler vardır:

1- Bir olay müdahale ekibi oluşturun. İster kurum içinde ister dışarıdan tutulan bir hizmet olarak, bir olay müdahale ekibinin oluşturulması ve kuruluşunuza en uygun saldırı senaryolarının belirlenmesi, saldırı sonuçlarında ve maliyetlerinde çok büyük bir fark yaratabilir.

2- Çevrimdışı yedeklemeler alın. Dosyalarınızı güvenli bir şekilde sakladığınızdan emin olun. Ayrıca tesis dışı/soğuk depolama çözümlerinin kullanımını da göz önünde bulundurun. Yedekleme dosyalarının kullanılabilirliği, bir fidye yazılımı saldırısından en az zararla kurtulabilmek için fark yaratacak bir durumdur.

3- Yetkisiz veri hırsızlığını önlemek için bir strateji uygulayın. Onaylanmamış bulut barındırma hizmetlerine giden trafiği engelleyebilirsiniz.

4- Potansiyel tehdit unsurlarını belirlemek için kullanıcı ve varlık davranışı analitiğinden yararlanın. Tetiklendiğinde, bir ihlalin gerçekleştiğini varsayın. Ayrıcalıklı hesaplar ve gruplarla ilgili kötüye kullanım şüphesini denetleyin, izleyin ve hızla harekete geçin.

5- Ağınıza tüm uzak erişim noktaları için çok faktörlü kimlik doğrulamasını dağıtın. Uzak masaüstü protokolü (RDP) erişimini güvenli hale getirmeye veya devre dışı bırakmaya özellikle dikkat edin. Birden çok fidye yazılımı saldırısının, hedeflenen bir ağa ilk giriş elde etmek için zayıf RDP erişiminden yararlandığı unutmayın.

6- Kurumsal ağlardaki zayıf noktaları ve yama için öncelik verilmesi gereken güvenlik açıklarını belirlemek için penetrasyon testini kullanın. Özellikle, fidye yazılımı saldırıları da dahil olmak üzere 2020 ve 2021’de işletmelere ilk giriş elde etmek için birden fazla tehdit aktörünün kullandığı CVE-2019-19781 için hafifletmeleri kullanılabilir.

7- Aşağıdaki sık kullanılan yazılım güvenlik açıklarının uygun olduğu şekilde düzeltilmesine öncelik verin.

CVE-2019-2725

CVE-2020-2021

CVE-2020-5902

CVE-2018-8453

VPN ile ilgili CVE’ler

CVE-2019-11510

CVE-2019-11539

CVE-2018-13379

CVE-2019-18935

CVE-2021-22893

RDP

8- 3389 numaralı TCP bağlantı noktasında bağlantı noktası erişimini kısıtlayın.

9- Uzaktan erişimde oturum açma işlemlerine çok faktörlü kimlik doğrulama uygulayın.

10- Windows RDP CVE-2019-0708 (BlueKeep) gibi RDP güvenlik açıklarını düzeltin.

11- Ağları barındırdıkları verilere göre segmentlere ayırın.

12- Bir saldırıda çalınması en muhtemel verileri şifreleyin.

13- Sıfır Güven yaklaşımını ve çerçevesini benimsemeyi düşünün.