Fidye Yazılım Saldırıları: Potansiyel Hedefler Nasıl Gerçek Saldırılara Dönüşüyor? 

Microsoft güvenlik ekipleri ABD genelinde 35 kendine özgü kötü amaçlı yazılım ailesini mercek altına alırken, fidye yazılımlar ve diğer suç eylemlerini içeren 250 tehdit aktörünü inceledi. RaaS (ransomware-as-a-service), çok fazla aktör içeren karlı bir iş modeli olarak beliriyor. Microsoft, yerel ekonominin dışarıdan iş sağlama yöntemine kayması gibi siber korsanların da saldırı araçlarını kiralayarak veya satarak kar paylaştıkları yöntem ile risklerini azalttıklarını söylüyor.

Siber suç ekonomisinin endüstrileşmesi, siber korsanların daha kolay penetrasyon testi uygulaması ve diğer saldırı araçlarını elde etmesini kolaylaştıran bir etken olarak ifade edildi.

RaaS, Microsoft’un saldırılara farklı bir açıdan bakmasını sağladı. Saldırı aktörlerinin çok sayıda olması, fidye yazılım ailesi tespit edilse bile tehdidin tüm boyutunu anlamayı engelliyor. Bir hedefteki bilgi ifşa edilmek adına bir grup tarafından çalınmış olabilirken, bir diğer grup kötü amaçlı yazılım yüklerinden sorumlu olabilir. Dahası diğer RaaS iş birlikçileri kötü amaçlı yazılım yükü ekleyebilir. Kısacası hangi fidye yazılım saldırı türünün gerçekleştirildiğini anlamak tablonun sadece yarısını temsil ederken, güvenlik uzmanları kimi durumlarda yanlış sinyalleri takip ederek zaman kaybediyor.

Bu yöntemi kullananlar “Conti Group” olarak adlandırılırken, birçok RaaS kullanıcısı farklı yöntemler, yetenekler ve bildiri yapıları kullanıyor. Bazı Conti mensuplarının RaaS araçları kullanarak küçük çaplı dağıtım yapmayı denediği, öte yandan bazılarının da kendilerine ait araçları kullanarak haftalar süren bilgi çalma ve dağıtma saldırıları denedikleri ifade edildi.

Yapılan bir araştırma Conti Group’un aralarında LockBit 2.0, Maze ve Ryuk’un olduğu farklı siber saldırı örgütleri ile iş birliği yaptığını; yeni saldırılar geliştirmek için şifreleme algoritmaları, fidye notları ve geliştiricilere yönelik bilgi toplamaya çalıştıkları belirtildi.

Giderek büyüyen tehlike

Microsoft, saldırıların “eller klavye üzerinde” safhasındayken tehlikeli hale geldiğini ve yedekleme ve diğer kopyaları yok ettiği saldırı aşamasına gelindiğinde fidye yazılımın yüklenmesine sadece birkaç dakika kaldığını belirtti. Siber korsanlar bilgileri ifşa etmeye başlamalarının ardından güvenlik mekanizmalarının devreye girmesini bekliyor, durum tepki (IR) prosedürlerini devreye alarak fidye yazılım yüklenmeden önce müdahale edilmesini engelliyorlar.

Bazı aktörler çalınan verilere ait görüntüleri ifşa edebiliyor, aynı zamanda sızdırılan sayfa hostingi, şifreyi kaldırma pazarlıkları, ödeme süreçleri ve kripto para işlemleri hizmeti de sızdırma hizmetleri arasında yer alıyor.

Microsoft’un hesaplarına göre fidye yazılım için seçilen 2,500 hedeften 60 tanesi saldırıya maruz kalıyor, 20 sisteme başarıyla giriş yapılıyor ve bir tanesinin sistemine fidye yazılım yükleniyor.

Saldırı türleri ise RaaS gruplarına göre değişiyor. Bazı gruplar çalıştırdıkları kişi sayısına göre binlerce potansiyel hedef belirleyebilirken, öncelikler alınması planlanan fidyeye göre sıralanıyor. Bazıları da birkaç gün ya da saat içinde gerçekleştirilebildikleri için küçük şirketlere yöneliyor. 5-10 milyon dolar arasında değişen fidye hedeflerine hazırlanmak ise daha uzun sürüyor. Bu sebeple her ay 5-10 büyük hedef seçilirken, bu hedeflerden daha yüksek fidye alma oranı da çok daha yüksek oluyor.

Trickbot

Bu kapsamda Microsoft, Ekim 2020’den bu yana DEV-0193 olarak takip edilen Trickbot’un günümüzün en çok yasa dışı gelir elde eden grubu olduğunu söylüyor. Trickbot, Bazaloader ve AnchorDNS saldırılarını geliştiren grup, aynı zamanda Haziran-2021’de sona ermesine kadar kullanılan Ryuk RaaS programını yönetti. Ardından Ryuk’un yerini dolduran Conti’nin yöneticiliğini üstlendi. DEV-0193’ün aynı zamanda Emotet, Qakbot ve IcedID örgütlerinden üyelerle çalıştığı biliniyor.

ELBRUS

Microsoft raporunda aynı zamanda FIN7 olarak da bilinen ve satış noktaları ile ATM kötü amaçlı yazılımları geliştiren ELBRUS da yer alıyor. MAZE ve REvil RaaS geliştiren ELBRUS, ardından DarkSide adlı kendi RaaS ekosistemlerini geliştirdi. Mayıs 2021’de sona eren DarkSide’ın ardından, Temmuz’da BlackMatter devreye girdi ve o da Kasım’da sonlandı.

Microsoft, fidye yazılım saldırılarını taşıma yükleri ve büyük bir siber örgüte bağlantılı kılmanın saldırganlar arasındaki gerçek ilişkiyi görmeyi engellediğini kaydediyor. Her ne kadar ELBRUS‘un bir RaaS programı yürüttüğü tespit edilmemiş olsa da, şirketlere oltalama saldırıları düzenlemesi ekseninde fazlasıyla tanınıyor. Microsoft aynı grubun Exchange adlı düşük imtiyazlı ProxyShell açığından kaynaklanan CVE-2021-31207 zafiyetini kullandığını da tespit etti. Böylece örgüt sızdığı bilgisayar sisteminde yüksek idari seviye elde edebiliyor.

BlackCat

Bir diğer RaaS aktörü, BlackCat fidye yazılım örgütü olarak biliniyor. Kasım 2021’de beliren örgüt, geçmişte çeşitli RaaS gruplarına erişim satan “aracılar” tarafından kuruldu. Microsoft’un DEV-0504 olarak takip ettiği grup BlackCat’in yanı sıra Ryuk, Revil, Lockbit 2.0, BlackMatter ve Conti de yüklemesiyle biliniyor. Bir RaaS programı kapatıldığında, bir sonrakine hareket ediyor.

Her ne kadar bu grupların büyük kısmının Rusya kaynaklı olduğu bilinse de, Microsoft DEV-0401’in Lockbit 2.0 kullanıcılığından WMWare Horizon’daki Log4j CVE-2021-44228 zafiyetine sıçrayan Çin merkezli bir grup olduğunu belirtti. DEV-0401’in kalıcı olması ve sıkça markasını değiştirmesi farklı gruplar gibi anlaşılmalarına neden olabiliyor.

Ne yapılmalı?

Microsoft, söz konusu grupların fidye yazılım saldırılarına karşı koyabilmeleri için şirketlerin hesap bilgilerini koruması gerektiğini vurguluyor.

Siber korsanların saldırılarını gerçekleştirebilmeleri için kötü amaçlı yazılımlardan çok hesap bilgilerine ihtiyaçları var. Microsoft, başarılı olan fidye yazılım saldırılarının büyük kısmında saldırganların en azından birinci seviye idari erişim bilgilerine el koyduklarını not düşüyor.

Siber korsanlar bir sisteme belli araçlar kullanarak fidye yazılım yükleyebiliyor ancak fidye yazılımın birçok sisteme yaymak, idari erişim sağlayan hesap bilgileri olmadan çok daha zor gerçekleştiriliyor. Microsoft, hesap bilgileri elde etmenin siber saldırganlar için çok önemli olduğunu, böylece düzenlenecek saldırıların garantisi ile ücretini de artırdıklarını belirtiyor.