Ortalama fidye ödemelerindeki artışa rağmen, dünya çapında fidye yazılım saldırılarını paraya çevirme oranında büyük düşüş yaşandı.
Coveware siber güvenlik şirketinin araştırmasına göre, 2023 yılının ikinci çeyreğinde, fidye yazılım saldırıları mağdurlarının ödemelerinde yüzde %34’e varan bir şok düşüş yaşandı.
Araştırmada şirketlerin siber güvenlik ve bilgi güvenliği olaylarına yanıt verme konusundaki eğitimlere yatırım yapmaya devam etmeleri sonuçta etkili olduğu görüşü dile getirildi.
İstatistiklerdeki trajik düşüşe rağmen, siber tehdit aktörleri her geçen gün yeni saldırı ve şantaj teknikleri geliştirmeye devam ediyor.
Fidye yazılım gruplarından CloP’a dikkat çekilen araştırma, ortalama fidye miktarının 190 bin424 ABD dolarına yükseldiğini ortaya koydu. Bu rakam 2023 yılının ilk çeyreğine göre yüzde 20 oranında bir artışa karşılık geliyor.
SİBER GÜVENLİK FARKINDALIĞI ETKİLİ OLDU
CloP grubunun, MOVEit zafiyetinin istismar edildiği saldırılarda 75-100 milyon dolar arası fidye tahsil ettiği tahmin ediliyor. Söz konusu fidye miktarı Kanada’nın yıllık siber saldırlara yönelik güvenlik bütçesinden daha büyük.
Rapora göre, 2023 yılının ikinci çeyreğinde özellikleri küçük işletmeleri hedef alan Hizmet olarak fidye yazılımı (RaaS) (Ransomware as a Service) gruplarının saldırılarında dikkati çeken bir azalma gözlemlendi.
Saldırılarda ödemeler azalırken , en aktif gruplar arasında uzun süre yer alan Dharma ve Phobos gibi fidye yazılımı grupları etkisiz hale geldi. 2023 yılının bugüne kadarki döneminde Dharma/Phobos saldırıları, geçtiğimiz yılın aynı dönemine göre yaklaşık %37 oranında azaldı.
Fidye yazılım piyasasının yüzde 15’ini Black Cat ve Black Basta grupları ilk iki sırada paylaşıyor. Bu grupları Royal, Lockbit ve Akira fidye çeteleri izledi.
Siber suçlulara yönelik uluslararası operasyonlar artmaya devam ediyor. Avrupa Polis Teşkilatı Europol, geçtiğimiz cuma günü ABD,Almanya, İngiltere ve İtalya gibi ülkelerde toplam 150 kişinin göz altına alındığı, Dark HunTOR adlı büyük çaplı bir operasyona imza attı. İlk kez Almanya’a bu çapta bir siber operasyonun düzenlenmesi de dikkat çekti.
Europol’den yapılan yazılı açıklamada, “Hedeflenen şüphelilerin hepsinin organize suç örgütlerinde farklı rolleri vardı. Siber suçlulardan bazıları, brute force, SQL enjeksiyonu, kimlik hırsızlığı ve phishing gibi saldırılarla birden fazla mekanizma kullanarak sistemlere sızmaya çalışıyorlardı.” ifadeleri yer aldı.
Açıklamada ayrıca Europol yetkilileri, “Ağa girdikten sonra, bu siber tehdit aktörlerinden bazıları, tespit edilmemek ve daha fazla erişim elde etmek için yanal olarak hareket etmeye, Trickbot gibi kötü amaçlı yazılımları veya Cobalt Strike veya PowerShell Empire gibi istismar sonrası kullanılan kötü yazılımları bulaştırıyorlardı.” tespitinde bulundu.
GENİŞ ÇAPLI ULUSLARARASI İŞ BİRLİĞİ
Europol’e göre siber suçlular daha önceki saldırılarında sızdıkları sistemlerde uzun süre fark edilmeden kalmayı başardı. Söz konusu siber tehdit aktörlerinin, LockerGoga, MegaCortex ve Dharma fidye yazılımlarını dağıttıkları ortaya çıktı.
Europol, operasyonda uluslararası bir iş birliğine imza atarak, Norveç Ulusal Suç Bürosu, Paris Savcılığı, Fransız ile Hollanda Emniyet, Ukrayna Başsavcılığı ile Ukrayna Ulusal Polisi, Birleşik Krallık Polisi, İskoçya ve Ulusal Suç Dairesi, Alman Reutlingen Emniyeti, İsviçre Ulusal Polisi ve Basel Emniyeti, ABD Gizli Servisi, FBI ve Avrupa Siber Suç Merkezi ile birlikte çalıştı.
Operasyonda, ABD’den 65, Almanya’dan 47, İngiltere’den 24, İtalya ve Hollanda’dan 4’er kişi tutuklanırken, 26.7 million avro nakit, 45 silah, 234 kg uyuşturucuya el kondu.
REvil ÇETESİNİN LİDERİ HAKKINDA TUTUKLAMA EMRİ
Alman yetkililer yerel basına yaptığı açıklamada, REvil çetesinin suç liderini tespit ettiklerini duyurdu. Takma adı olan “Nikolay K.” kendisini bir kripto para birimi tüccarı olarak tanıtıyor.
Siber tehdit aktörü hakkında tutuklama emri çıkarılırken, Nikolay K. Rusya’da kaçak olarak yaşadığı belirtiliyor.
Geçtiğimiz ocak ayında Europol ve İngiltere iş birliğiyle düzenlenen başka bir dark web operasyonunda, yaklaşık 500 bin kullanıcıdan oluşan ve en büyük dark web marketi olarak nitelendirilen DarkMarket devre dışı bırakılmıştı. Operasyonda çetenin Moldova ve Ukrayna’da 20 sunucusuna el konmuştu.
Tüm dünyanın üzerine kabus gibi çöken Koronavirüs, sanal dünyanın haydutları fidye yazılımcıları bile insafa getirdi. Bazı fidye yazılımı operatörleri Koronavirüs salgını boyunca hastaneleri ve sağlık kuruluşlarına saldırmayacaklarını açıkladı. Bleepingcomputer.com adlı internet sitesi, Maze, DoppelPaymer, Ryuk, Sodinokibi/Revil, PwndLocker ve Ako gibi fidye yazılım geliştiricilerine ulaşarak, salgın sırasında hastane ve sağlık kuruluşlarına saldırmaya devam edip etmeyeceklerini sordu. Maze, Bleepingcomputer.com sitesinin yönelttiği soruya bir basın açıklaması göndererek cevap verdi. Salgın sona erene kadar hastaneler ve her türlü sağlık kuruluşuna yönelik saldırıları durdurdukları belirtilen basın açıklamasında şu ifadelere yer verildi: “Virüsün durumu stabil oluncaya dek her türlü sağlık kuruluşuna saldırmayı durduracağız” Herhangi bir sağlık kuruluşunun yanlışlıkla şifrelenmesi durumunda ücretsiz şifre çözme hizmeti sağlayıp sağlamayacakları sorusu ise yanıtsız kaldı.
Öte yandan Maze sağlık kuruluşlarına yönelik saldırıları durduracağını açıklamasının ardından 18 Mart’ta Hammersmith Sağlık Araştırmaları (HMR) adlı kuruluşa dair bilgi sızdırdı. Üstelik ComputerWeekly.com’un iddiasına göre söz konuşu kuruluş koronavirüs aşısı testleri konusunda faaliyet gösteren bir oluşum. Bunun üzerine Maze 18 Mart tarihi itibariyle hiçbir sağlık kuruluşunu şifrelemeyeceklerini açıkladı.
‘Fidye yazılımcıların sözüne güvenmek doğru değil, devlet siber güvenliğe yatırım yapmalı’
DopperPaymer’in cevabı ise şu şekilde oldu: “Kamuya ait olması durumunda hastanelere ve bakım evlerine saldırmaktan geri duruyoruz. 911’e ise hiç dokunmuyoruz (Ağlarındaki bir yanlış ayarlama durumunda bazen olabiliyor) Yanlışlıkla olması halinde ise şifre çözme işlemini ücretsiz yapacağız. Ancak bazı şirketler kendilerini aslında olmadıkları bir şey gibi gösterebiliyor. Örneğin kendisini küçük gayrimenkuller gibi lanse eden geliştirme şirketimiz var, köpek barınağı olmaya çalışan başka bir şirketimiz daha vardı) Bu durumda, şifreyi çözmeden önce çift ya da üç aşamalı kontrol yapacağız. İlaç firmalarına yönelik ise durum farklı. Panik sırasında para kazanmaya devam ediyorlar. Asıl işi doktorlar, parayı bu adamlar kazanıyor.”
Şifreleme yanlışlıkla da olabiliyor
Bir sağlık kuruluşunun şifrelenmesi durumunda ne yapabileceği sorulduğunda ise DopperPaymer kurbanların e-posta ya da internet sitesi üzerinden kendileri ile iletişime geçebileceklerini açıkladı.
Netwalker Ransomware de hastaneleri hedef almadıklarını iddia etti. Açıklama şu şekilde: “Hastaneler ve sağlık kuruluşları mı? İnsanların hastanelere saldırma gibi bir amacının olabileceğini düşünebiliyor musunuz? Bizim öyle bir amacımız yok. Hiç olmadı. Kimse kasten hastaneye saldırmayacaktır” Bir hastanenin sisteminin yanlışlıkla şifrelenmesi durumunda şifre çözme işlemi yapıp yapmayacakları sorulduğunda ise verdikleri yanıt şu şekilde oldu: “Hayır. Birileri şifrelendiyse bunun çözümü için bedelini ödemek zorunda”
Neyse ki bunu ücretsiz sunacak firmalar da mevcut. Emsisoft ve Coveware geçtiğimiz günlerde fidye yazılım hizmetlerini sağlık kuruluşları için ücretsiz sunacaklarını açıkladılar.
Fidye yazılımcıların bir kısmı her ne kadar ‘hastanelere saldırmayacağız’ sözünü verseler de güvenlik şirketleri bu kişilerin verdiği söze çok da güvenilmemesi gerektiğini belirtiyorlar. Güvenlik şirketi Coveware’e göre, 2019’un sonunda önde gelen fidye yazılımı türleri Sodinokibi, Ryuk, Phobos, Dharma ve DopplePaymer idi. Bir fidye yazılımı saldırısı yaşıyorsanız, bunun yanlışlıkla yapılan türde olma olasılığı da bulunmakta.
Emsisoft’un bu işi yapan kişilere bir çağrısı da bulunuyor: “Sizlerin de ailesi var ve onlardan biri aniden kendini acil serviste bulabilir. Önümüzdeki aylarda sağlık hizmeti veren kuruluşları lütfen hedef almayın. Bunu yanlışlıkla yapmanız halinde mümkün olan en kısa sürede şifre çözme hizmetini ücretsiz bir şekilde verin”
Fidye yazılım çok yıkıcı etkiye sahip bir saldırı. Kuruluşların BT sistemlerine ve verilere erişimi kapatıyor. ABD’de 2019 yılına dair yapılan bir araştırmada en fazla fidye yazılım saldırısına maruz kalan kuruluşların eğitim, sağlık ve devlet kurumları olduğundan bahsediliyor. 2019 yılında tek bir banka bile fidye yazılım ihbarında bulunmamış. Bunun sebebi bankaların hedef alınmaması değil finansal kuruluşların çok iyi bir güvenlik sistemine sahip olmaları. Emsisoft bu noktada devlete iş düştüğünü fidye yazılımcıların ‘saldırı yapmayacağız’ sözüne güvenmektense siber güvenliğe yatırım yapmaları gerektiğinden bahsediyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
