LockBit fidye yazılımı grubu Eylül 2019’dan bu yana faaliyet gösterse de fidye yazılımı alanında marjinal bir oyuncu haline gelmeleri bu yılın haziran ayına uzanıyor.
LockBit 2.0 adı verilen “Hizmet olarak Fidye Yazılımı platformunun” yeni bir sürümünün yayınlanmasının ve rakip operasyonlar Darkside, Avaddon ve Revil’in aniden piyasadan çekilmesinin ardından LockBit, günümüzün en büyük “Hizmet olarak Fidye Yazılımı” platformlarından biri haline geldi.
Daha önce diğer çetelerden fidye yazılımı yükleri kiralayan siber suç grupları, yaz boyunca LockBit grubuna akın etmiş gibi görünüyor ve Avustralyalı yetkililerin yerel şirketleri uyarmasına yol açacak derecede saldırılarda artışa neden oldu. Öte yandan, Recorded Future tarafından toplanan istatistikler, Lockbit’in geçen ay Eylül ayında en aktif fidye yazılımı grubu olduğunu ve fidye yazılımı sızıntısı sitelerinde listelenen tüm kurbanların neredeyse üçte birini oluşturduğunu gösterdi.
LockBit grubu therecord.media yazarı Dmitry Smilyanets ile gerçekleştirdiği röportajda nasıl bir anda piyasanın lideri konumuna geldiklerini anlatırken kendilerinin de bir gün hacklenebileceği gerçeğini dile getirdiler.
Dmitry Smilyanets: Eylül ayında ihbar edilen fidye yazılımı saldırılarının yüzde 34’ünü LockBit oluşturdu. Piyasayı nasıl fethedebildiğinizin sırrını bize anlatabilir misiniz? Yoksa kurbanlarınızın çoğu fidye ödememeye karar verdiği için mi rakamlar bu kadar yüksek?
LockBitSupp: Henüz piyasayı fethetmeye başlamadık. Şu anda yazılımı geliştirme ve iyileştirme aşamasındayız. Sırrı çok basit: Kusursuz bir itibar. Kimseyi aldatmayan veya markamızı değiştirmeyen tek oluşum biziz. İnsanlar bize güveniyor. Bunun sonucunda da, daha fazla ortaklık, daha fazla saldırıyı beraberinde getiriyor. LockBit Blog, fidyeyi ödemeyi reddeden şirketlerin sadece küçük bir kısmını oluşturuyor. Son 3 ayda 700’den fazla şirkete saldırdık.
DS: Bazı ülkeler fidye yazılım saldırılarının gerçekleştikten birkaç gün sonra ifşa edilmesini zorunlu kılmayı tartışıyor. Bu tür saldırılar söz konusu olduğunda, grubunuz bugün en büyük tehditlerden biri olarak öne çıkacaktır. Saldırılarınızla çok fazla dikkat çekmemek için “Hizmet olarak Fidye Yazılımı” programınızı sınırlandırmayı düşündünüz mü?
LB: Kısıtlamalar maaşla yaşamak isteyen insanlar için geliştirilmiştir. Herhangi bir kısıtlama getirmeyi planlamıyoruz. Hayata bir kere geliyoruz. Dikkat çeksin çekmesin, anonimlikte yapacağınız herhangi bir hata sizi yok olmaya götürür. Şirketin saldırı hakkında bilgi ifşa etmesi umurumuzda değil, bu tamamen şirketin özel bir işi.
DS: Sizi diğer gruplardan ayıran şey StealBit. Bu zararlı yazılım hakkında biraz bilgi verebilir misiniz?
LB: Şirketi şifrelemek yeterli değildir, bazen ifşa edilmemesi için şirketin şifre çözme işleminden daha fazlasını ödemeye hazır olduğu değerli bilgileri çalmak çok daha önemlidir. StealBit, bilgileri olabildiğince hızlı ve basit bir şekilde çalmanızı sağlar.
DS: Ortak kuruluşlarınızın kurbanlarıyla konuşmasına ve ödemeleri doğrudan kabul etmesine izin veriyorsunuz. Bu başarılı bir model mi?
LB: Ortaklıklarımıza güvenmemek için hiçbir sebep yok. Bir kişi uzun vadeli iş birliğine meyilliyse, bizi asla terk etmeyecektir. Ancak en önemli şey kusursuz bir itibarı korumaktır. Avvadon, Darkside ve Revil’in yaptığı gibi reklam verenlerimizi kandıramayız ve onların fidyelerini çalamayız.
LockBit’e benzeyen fidye yazılım çetesi Atom Silo, Confluence zafiyetini istismar ediyor
REVIL’İN DAĞILMASININ LOCKBIT’İN BÜYÜMESİNDE HİÇBİR ETKİSİ YOK
DS: “Hizmet olarak Fidye Yazılımı” iş modelinin varlığını devam ettireceğine inanıyor musunuz? Önümüzdeki 5 yıl içinde ne yönde değişecek sizce?
LB: Rekabet artacak, şirketlerin savunma seviyesi artacak, ortaklıklarımızın serveti de artacak.
DS: Revil’in geçtiğimiz yaz dağılması başarınızda rol oynadı mı? Unknown ortadan kaybolduğundan beri kaç şirket size katıldı?
LB: Revil’in “dağılması” başarımızı hiçbir şekilde etkilemiyor, onlardan bize 4 reklam geldi. Bir ortaklık programı başlatmak kolaydır, ancak bunu daim kılmak bir sanat biçimidir.
DS: Unknown’a gerçekte ne olduğunu biliyor musunuz?
LB: Kimse gerçekten ne olduğunu bilmiyor, ama bunun klasik bir “çıkış” aldatmacası olduğuna eminim, aynı şey Avvadon ve Darkside’da da yaşandı. Büyük bir ödeme söz konusu olduğunda, bu ortaklık programının sahibi daha fazla çalışmaya ve hayatını riske atmaya değip değmeyeceğini ya da şu anda çıkıp hayatının geri kalanı için parayı sakince harcamanın daha iyi olup olmadığını düşünüyor. Bizim durumumuzda, böyle bir şey imkansızdır, çünkü temel olarak bize bağlı kuruluşlarımızın parasına dokunmuyoruz.
DS: Forumlarda çok aktifsiniz. Exploit hesabınızı neden yasakladı?
LB: Siber suçluların belirli siber suç türlerini nasıl yasaklayabilecekleri çok açık değil, çünkü aslında bu forumdaki herkes yasaları çiğniyor. Zengin şirketler için ödeme sonrası bir pentest yapmanın yasak olduğu, ancak milyonlarca kişinin banka kartlarından para çalmasına izin verildiği ortaya çıktı. Ayrıca, ağ erişimi satın almaya ve satmaya devam eden ve Exploit forumunda pentest yapacak kişi arayan rakiplerimizin hesaplarının neden engellenmediği de çok açık değil. Belki de bu bir çeşit seçici politikadır – bunun rakiplerin işi ve dünyadaki bir numaralı ortaklık programı ile uğraşmanın onursuz yolları olabileceğini düşünüyorum. “Tüm bu saçmalıklar uyuşturucunun yasak olup votkanın yasal olmasına benziyor”. Utanç verici, sinir bozucu ama yapacak bir şey yok.
HASTANELERE SALDIRMIYORUZ
DS: REvil ve Hive’ın hastaneleri kilitlediklerinden bahsettiniz, siz böyle saldırılar düzenliyor musunuz?
LB: Hastanelere saldırmıyoruz, iştiraklerimizin yanlışlıkla diş muayenehanelerini ve bakım evlerini şifrelediği olmuştu. Bu durumlarda şifre çözme anahtarlarını ücretsiz olarak yayımladık.
DS: ABD ve Rusya cumhurbaşkanları haziran ayında bir araya geldikten sonra herkes değişim için bir sinyal bekliyor. Ve bazı değişiklikler görüyoruz – yaz aylarında geçici bir yavaşlamadan sonra saldırılar arttı. Bu olaylarla ilgili mi yoksa iştirakçiler uzun bir tatile mi çıktılar?
LB: Bu sadece bir yaz tatili. Gezegendeki tüm insanlar gibi, hiç kimse yaz aylarında çalışmak istemiyor ve milyonlarca dolarınız olduğunda bu çalışmama isteği daha da fazla oluyor. Başkanların toplantıları hiçbir şeyi etkilemeyecek, ciddi çalışan herkes ABD’de veya Rusya’da yaşamıyor. Şahsen ben Çin’de yaşıyorum ve kendimi tamamen güvende hissediyorum.
DS: Bazı fidye yazılımı aileleri, bağlı kuruluşların Amerikan şirketlerine ve altyapısına saldırmasını önlüyor. Ortaklarınız için bu tür özel önerileriniz oluyor mu? Reklamlarınız Lockbit’i isteğiniz dışında kritik altyapıya dağıtırsa ne olur?
Hastaneden bug-bounty yerine komik teklif : Zafiyeti bulana ücretsiz check-up önerildi
LB: Bu henüz gerçekleşmedi. Tek bir bağlı kuruluş dahi irademize karşı çıkmayacaktır, çünkü yalnızca ahlak kurallarına sahip güvenilir kişilerle çalışıyoruz, bağlı kuruluşlarımızın her biri sözlerinden ve eylemlerinden sorumludur.
DS: 30 ülkeden temsilciler fidye yazılım saldırılarının nasıl ele alınacağını tartışmak üzere bu ay bir araya geldi. Bu sizi herhangi bir şekilde endişelendiriyor mu yoksa bunun sadece siyasi bir manevra mı olduğuna inanıyorsunuz?
LB: Eğer düşmanı yenemiyorsan- ona liderlik et. Kimse Newton’un üçüncü yasasını iptal etmedi.
KİMSE HACKLENMEKTEN MUAF DEĞİL
DS: Bazı ülkelerdeki kolluk kuvvetleri, çalınan verileri yok etmek ve şifreleme anahtarlarını almak için fidye yazılımı altyapısını hacklemeyi açıkça tartışıyor. Bu sizi endişelendiriyor mu? Depolama sistemleriniz yeterince güvenli mi?
LB: Bu, bizimle başa çıkmanın en etkili yöntemlerinden biri. Hiç kimse sıfırıncı günlerin yardımıyla altyapılarının hacklenmesinden muaf değildir. NSA donanım arka kapılarını kullanarak, gezegendeki herhangi bir sunucuya erişmek mümkün. Bu nedenle, saldırıya uğrama riski her zaman mevcut. Dünyanın çeşitli bölgelerindeki sunucularda çalınan şirket verilerinin birkaç yedeğinin yanı sıra, verilerin saklanması için maaş alan güvenilir tarafların tuttuğu şifreli çevrimdışı yedeklemelerimiz de bulunuyor.
DS: ABD hükümeti, fidye yazılım gruplarının fonları aklamasına yardımcı olan kripto para birimi hizmetlerinin işinin zorlaşacağını söyledi. Bunun sizin ve gelecekte fidye yazılımı ortamı için bir sorun olacağını düşünüyor musunuz, yoksa para aklamak için başka yollarınız var mı?
LB: Bana ABD’nin sözlerini dinleyecek ve Hong Kong’da nakit dolar alışverişi yaparken bizden kripto para birimini kabul etmeyecek en az bir Çinli gösterin.
DS: Ekim ayında para kaynağı bulamayan şirketler için ücretsiz şifre çözme anahtarı sağlamaya hazır mısınız?
LB: Parasız şirket yok, ağlarını korumak için para harcamak, kalifiye sistem yöneticileri için maaş ödemek ve sonra da fidye ödemek istemeyen kurnaz şirketler var. Belki de “para kaynağı bulamayan” bir şirket için ücretsiz bir şifre çözücü yayımlarız, ancak bu durumda, bu şirketin verileri sonsuza dek blogumuzda kalacaktır.
