Fidye yazılımı saldırıları 2023 yılında giderek daha fazla kişi veya kurumu hedef alırken bilgisayar korsanları, saldırılarını hiç hız kesmeden, kurbanları başlarına gelecek felaketi henüz anlamadan önce dahi yıkıcı hasara yol açacak şekilde tasarlamayı sürdürüyor.
İngiltere merkezli siber güvenlik şirketi NCC Group tarafından yürütülen ve 23 Ağustos'ta yayımlanan bir rapora göre geçtiğimiz temmuz ayında yaklaşık 502 şirkete ait veriler sızdırılarak bu tür sızıntıların yer aldığı siteler tarafından internette yayımlandı. Raporda, veri sızdırma saldırılarında geçtiğimiz yılın aynı dönemine kıyasla yüzde 150 oranında artış görüldüğü vurgulandı. Bilgisyar korsanı gruplarının çifte şantaj yapmak için benimsediği ortak bir taktik olarak sitelerde yayınlanan verilerin sayısı 2022 yılının aynı dönemine kıyasla yüzde 79'luk bir artışa işaret ederken bu sayı giderek yükseliyor.
NCC Group Siber Tehdit İstihbarat Yöneticisi Matt Hull, Dark Reading dergisine verdiği röportajda şunları söyledi:
“Saldırılardaki artışın nedeni, özellikle ‘Move It’ gibi dosya aktarımı ve paylaşımı yapan programlardaki ve ilk girişin yapılmasından sonra tekrar girişe izin veren hizmet sağlayıcılarındaki güvenlik açıklarıdır. Bu yıl başka bir yazılım hatası ya da benzeri bir şey meydana gelirse ve yayılırsa fidye yazılımı saldırılarındaki büyük bir artışla birlikte, bu açıkları kullanmak için harekete geçecek bilgisayar korsanı gruplar göreceğimize şüphe yok.”
Siber güvenlik konusunda uzman bir şirket olan Sophos tarafından yapılan ve 80 ayrı siber saldırının incelendiği araştırma, fidye yazılımı kullanan bilgisayar korsanlarının, şirketlerin elektronik cihazlarına sızma fırsatı buldukları anda hızla saldırıya geçtiklerini ve saldırı süresinin 2022 yılında ortalama olarak dokuz günken beş güne kadar gerilediğini ortaya koydu.
Buna karşın Sophos tarafından yayımlanan ‘Active Advisory’ yıl ortası raporuna göre diğer siber saldırı türlerinde gerileme gözlemlendi. Fidye yazılımı kullanılmayan siber saldırılarda 2022 yılında 11 güne ihtiyaç duyulurken bu yıl yaklaşık 13 gün gibi daha uzun bir süre ihtiyaç duyuluyor.
Sophos güvenlik araştırmacısı Chester Wisniewski, bilgisayar korsanlarının, veri hırsızlığı ve şifreleme süreçlerini iyileştirerek yaptıkları işte daha iyi hale geldiklerini söyledi.
Wisniewski, sözlerini şöyle sürdürdü:
“Fidye yazılımı kullanılan siber saldırı için ihtiyaç duyulan beş günlük süreye baktığımızda bunun mantıklı olduğunu görüyoruz. Çünkü fidye yazılımı kullanarak modern ve eksiksiz bir siber saldırının tamamlanması için bu süreye ihtiyaç var. İçeri girmenin bir yolunu bulmak, ardından aktif dizine girmek ve kendinizi yönetici olarak tanıtmakla başlar. Bunu yaparken antivirüs programlarını da devre dışı bırakmalısınız. Bu süreç büyük olasılıkla dört günü geçmeyecektir. Çünkü bir bilgisayar korsanının tüm bunları yapması için yeterli bir süre.”
Çifte şantaj stratejisi
Şarku’l Avsat’ın edindiği bilgilere göre yakın tarihli bu iki ayrı rapor da C10P gibi bazı bilgisayar korsanı gruplarının veri şifrelemeyi bırakıp artık hırsızlık ve şantaja yönelmelerine rağmen, şifreli fidye yazılımların oluşturduğu tehdidin devam ettiğini vurguluyor. Diğer yandan bu grupların çoğu, şirketi istedikleri fidyeyi ödemek zorunda bırakmak için verileri çalmaya ve şifrelemeye dayanan çifte şantaj stratejisini sürdürmeye devam ediyorlar.
NCC Group tarafından yayınlanan Siber Tehdit İstihbarat Raporu'na (Cyber Threat Intelligence Report) göre temmuz ayında verileri çalınan mağdurlar listesinde en üst sırada yine sanayi sektörü yer aldı. İkinci ve üçüncü sırada ise süreli yayınlar ve teknoloji sektörü yer aldı. Bunun yanında bilgisayar korsanlığı vakalarının yalnızca yarısı rapor ediliyor.
NCC Group Siber Tehdit İstihbarat Yöneticisi Hull, geçtiğimiz birkaç yıl içinde sektörlerin siber güvenlik alanında daha az önlem aldığını ve daha küçük bütçeler ayırdığını gözlemlediklerini belirterek şunları söyledi:
“Fidye yazılımı saldırılarının ve bilgisayar korsanlığı gruplarının yaklaşık 5-10 yıldır başlıca hedefi olan finansal hizmetler gibi başka bir alanla karşılaştırıldığında, fidye yazılımı kullanarak bilgisayar korsanlığı yapanların hesaplarında artık ikinci bir hedefin olmadığını hissediyoruz.”
Bilgisayar korsanları, bir yandan da ‘Active Directory’ sunucularında bir açık bulmak için çabalıyor. Çünkü böylece iç ağdaki çoğu kaynağa erişebilirler. Sophos raporuna göre bir Active Directory sunucusuna sızmak ortalama 16 saat sürüyor.
Raporda, Active Directory sunucusuna erişimin, neredeyse ağın en güçlü kısmı ve bir şirketin tüm bilgilerini ve politikalarını kontrol eden bölümü olmasından dolayı bilgisayar korsanına daha büyük bir hareket alanı kazandırdığı vurgulandı. Bu sayede değerli hesapları çalmasına, yeni hesaplar oluşturmasına ya da istediği hesapları kapatmasına olanak sağladığına işaret edildi.
Sophos raporunda son olarak siber saldırıların çoğunun hafta ortasında, ancak çalışma saatleri dışında gerçekleşmesi nedeniyle bilgisayar korsanlarının zaman farklarını kendi avantajlarına kullandığının altını çizdi.
Siber saldırı grubu
Fidye yazılımı saldırılarında görülen artışta aslan payını, iki farklı dosya aktarım platformundaki güvenlik açıklarından sızmak için oldukça hızlı hareket ederek dikkatleri üzerine C10p adlı bilgisayar korsanlığı grubu aldı. Grup, mayıs ayı sonlarında dosya aktarım platformu Move It’e ve ocak ayı başlarında GoAnywhere MFT'ye başarılı siber saldırılar gerçekleştirdi. Siber saldırılarını fidye yazılımı kullanarak gerçekleştiren C10p grubu, doğrudan hırsızlık ve şantaj yapıyor. Yani verileri çalıyor ve kurbanın istenen fidyeyi ödemeyi reddetmesi halinde bunları yayınlamakla tehdit ediyor.
Hull, söz konusu bilgisayar korsanlığı gruplarından bazılarının, veri şifrelemesi olmadığı için fidye yazılımı kullanmadıklarının bilindiğini belirterek, “Bazı gruplar ise veri şifrelemeden veri sızdırma ve yaymaya yönelik genel bir eğilime gösterdiler. Henüz tamamlanmasa da böyle bir dönüşüm söz konusu” şeklinde konuştu.
NCC Group verilerine göre C10p, sızdırılan verilerin yayımlandığı sitelerde ‘Lockbit 3.0’ adlı ikinci en güçlü bilgisayar korsanı grubundan üç kat daha fazla veri yayınladı. C10p’nin bu başarısı, sızdırılan verilerin yayımlandığı sitelerdeki paylaşımlarda büyük bir artışa katkıda bulunurken NCC Group’un fidye yazılımı izleme endeksinde artışa yol açtı.
C10p’nin çalışmaları tam olarak incelenmeye alınmasa bile fidye yazılımı faaliyetinin yükselişte olduğunu belirten Hull, sızdırılan verilerin yayınlandığı sitelerdeki C10p’nin yaptıklarının dışındaki paylaşımların bir yılda yüzde 57 oranında arttığının altını çizdi.
2022 yılı fidye yazılımı saldırıları endeksinde düşüş kaydedilmişti. Ancak Hull’a göre bu yıl için aynı durum geçerli değil. Çünkü bilgisayar korsanları küresel ekonomik durgunluktan kaynaklanan kayıplarını telafi etmek için daha fazla para kazanmaya çalışıyorlar.
Hull açıklamalarını şöyle sonlandırdı:
“Geçtiğimiz yıl küresel ekonomide yaşanan gerilemeyle birlikte bu suç gruplarının da para kazanmanın bir yolunu bulmaları gerekiyordu. Çünkü kârlarını yeniden yükseltmeliydiler ve bu amaç doğrultusunda harekete geçtikleri açıkça görülüyor.”
