Fidye yazılım çetesi LockBit, Lizbon limanının internet sitesini çökertti. Saldırı sonrası siteye henüz erişim sağlanamadı.
Portekiz’in 3. büyük limanı ve Avrupa’nın önemli limanlarından biri olan tesisin resmi internet sitesi 25 Aralık’ta düzenlenen siber saldırıdan günler geçmesine karşın çalışmıyor.
Siteye girmek isteyen şu mesajla karşılaşıyor:
Liman yönetiminden yapılan açıklamada söz konusu saldırının operasyonel işlemleri aksatmadığı ve kritik alt yapılara zarar vermediği belirtildi. Yetkililer ayrıca olayın Ulusal Siber Güvenlik Merkezi ve Adli Polis’le paylaşıldığını ifade etti.
Saldırıyı üstlenen LockBit grubu konuya ilişkin sızıntı sitesinden paylaştığı mesajda,, “Portekiz Liman İdaresi ile başarılı bir çalışmanın ardından bizim elimizde. Tüm finansal raporlar, denetimler, bütçeler. Sözleşmeler, kargolar hakkında bilgileri ele geçirdik. Mürettebatla ilgili tüm bilgileri içeren gemi günlükleri, müşterilerin kişisel verileri, tüm bağlantı noktası belgeleri, tüm e-posta yazışmaları, sözleşmeler ve daha fazlasına eriştik. Bizimle iletişime geçilmemesi durumunda verinin tamamı yayımlanacak.” ifadeleri yer aldı.
Siber tehdit aktörleri verileri paylaşmak için son tarih olarak 18 Ocak 2023’ü gösterdi.
Limanlar uzun süredir siber saldırganların hedefinde. Geçtiğimiz Şubat ayında Avrupa’nın en büyük limanlarından Antwerp limanı siber saldırıya uğramış, olayda limanda bulunan petrol tesisleri hedef alınmıştı.
Daha önce 2017 yılında Rotterdam limanı da siber saldırıya maruz kalmış ve limandaki iki konteyner terminalinin faalyetleri durmuştu. 2020’de ise İran’ın Shahid Rajaee limanı, hackerların saldırısı sonrası operasyonlarının neredeyse tamamen durdurmak zorunda kalmıştı.
Fidye yazılımı çeteleri, yalan haberler yayarak gazetecileri ve güvenlik araştırmacılarını zor durumda bırakıyor.
Bir fidye yazılımı çetesi olan LockBit, geçtiğimiz Haziran ayında en büyük siber şirketlerden biri olan Mandiant’ı hacklediğini ve elde ettiği verileri yaymakla tehdit ettiğini iddia etti. Mandiant’tan gelen açıklamada ise olağan dışı bir gelişme olmadığı ifade edilerek çetenin iddiası yalanlandı. Günün ilerleyen saatlerinde, hack grubunun “geri sayım saati” sona erdiğinde, LockBit’in hilesi ortaya çıktı. Bilgisayar korsanları, çaldıklarını iddia ettikleri veriler yerine, şirketin çetenin kökenleri hakkında yayınladığı bir araştırmayı eleştirdikleri bir yazı yayınladı. Bu durum, olayı başından beri haberleştiren siber güvenlik muhabirlerini müşkil bir durumda bıraktı.
Gazetecilerin LockBit vakası özelinde karşı karşıya kaldıkları durum istisna değil. Fidye yazılımı çeteleri, amaçlarına ulaşmak için sıklıkla gazetecileri ve bir dereceye kadar güvenlik araştırmacılarını kullanmaya çalışıyor.
Siber güvenlik firması Recorded Future’ın tehdit istihbarat direktörü Allan Liska, konu hakkında Washington Post’a verdiği görüşte, siber güvenlik konusunda yaşanan bir gelişmeyi haberleştirmek isteyen gazetecilerin yaşadığı ikilemi ifade etti. Liska, “Birçok muhabir fidye yazılımı grupları PR’ını yapmadan bu gelişmeyi nasıl haberleştiririm sorusuyla özel olarak boğuşuyor.” dedi.
HACKERLER DEZENFORMASYON AKTÖRÜ OLDU
Gazetecileri ‘trolleyen’ fidye yazılımı çeteleri, haklarında çıkmış olan haberleri, saldırı düzenledikleri kurbanları fidye ödemeye zorlamak için kullanıyor.
Medyanın manipüle edilmesi, fidye yazılımı geliştiricilerinin kâr payı karşılığında kötü amaçlı yazılımlarını paylaştığı ve fidye yazılımının bir ‘hizmet’ olarak sağlandığı iş modeli kapsamında siber suçluların işine yarayabiliyor.
Liska, “Hizmet olarak fidye yazılımı, çok düzeyli pazarlamaya çok benziyor. En başarılı model çok düzeyli pazarlama kampanyaları, liderleri yatlarında gösterişli partiler verdiklerini ve güzel arabalara sahip olduklarını gösteriyor.” dedi.
Gazetecilerin fidye yazılımı gruplarının iddialarını haberleştirme konusunda ikilem yaşaması, dezenformasyonu yayma ve siber suçluların amaçlarına hizmet etme konusunda duydukları endişelere dayanıyor.
HABER YAPARKEN MAĞDURLARLA DA İLETİŞİME GEÇMELİ
Fidye yazılımı korsanlarıyla başarılarını anlatan röportajlar yayınladığı için endüstri tarafından eleştirilere maruz kalan Liska, uygulamayı savundu ve röportajları okuyan herkesin “onlar korkunç şeyler yapan berbat insanlar” şeklinde düşünmeye devam ettiğini söyledi.
Güvenlik ve gazeteciliğin kesişimine odaklanan Columbia Üniversitesi’nden Susan McGregor ise hackerlara şöhret kazandırma konusunda uyarıyor. Gazetecilere, bireysel bir fidye yazılımı saldırısı hakkında haber yapmanın haber değerini göz önünde bulundurmalarını tavsiye eden McGregor, çok sayıda insanın mağdur olduğu bir olayı haberleştirilmeye değer gördüğünü belirtirken, tekil vakaların haber değeri taşımadığını ifade ediyor.
Siber saldırı haberlerinde mağdurla da iletişime geçilmesi gerektiğini ifade eden uzmanlar, diğer taraftan saldırıya uğrama konusunda da yalan söylenmiş olabileceğinin hesaba katılması gerektiğine dikkat çekiyor. Bu durumda gazetecilerin fidye yazılım vakalarını incelerken tüm potansiyel kaynaklara başvurmaları gerekiyor.
Dünya üzerinde ve Türkiye’de giderek artan sofistike siber tehdit aktörlerinin varlığı, bu aktörlerin gelişmiş saldırıları ve kurbanlarının sayısının giderek artışı, siber güvenlik uzmanlarının da söz konusu tehdit ortamını daha iyi incelemelerine ve karar yürütme süreçlerine doğrudan etki ediyor.
Geçtiğimiz günlerde siber güvenlik şirketi SOCRadar’ın yayımladığı rapor tam da bu noktanın altını çiziyor. Söz konusu rapordaki bilgiler, kurumsal çapta güvenlik programlarının planlanmasına, yatırım kararları alınmasına ve siber güvenlik gereksinimlerinin tanımlanmasına yardımcı oluyor.
Açık tehdit paylaşım platformlarından topladığı kapsamlı verileri derinlemesine analiz ederek ortaya koyan SOCRadar, söz konusu tehdit ortamını, “yakın zamanda gözlemlenen tehdit aktörü faaliyetleri, kötü amaçlı yazılım kampanyaları, yeni kritik güvenlik açıkları, açıklardan yararlanma” temelinde inceliyor.
DARK WEB TEHDİTLERİ YÜKSELİŞTE
Çeşitli bilgisayar korsanlığı araçları, dolandırıcılık yöntemleri ve satın alınabilecek çalıntı veri tabanları ile dark web, siber saldırıları başlatmak için bir sıçrama tahtası gibi işlev görüyor. Dark webde doğan siber tehditler, Türkiye’deki kuruluşları giderek daha fazla etkiliyor.
SOCRadar’ın DarkMirror Intelligence hizmetinden toplanan verilere göre, Türk varlıklarını hedef alan 150’den fazla 30 tehdit aktörü listesi mevcut. Gönderilerin yüzde 22’si müşteri veritabanı satışları ve yüzde 9’u yetkisiz ağ erişimi satışlarından oluşuyor. Tehdit aktörleri tarafından listelenen bu gönderiler, finans, telekomünikasyon ve eğitim dâhil olmak üzere çeşitli sektörlerden farklı kuruluşları etkiliyor.
2021’DE FİDYE YAZILIM TEHDİTLERİ ARTTI
2021 yılında manşetlerde kendisine sık sık yer bulan fidye yazılımı saldırıları, Türkiye’de hizmet gösteren birçok küresel firmaya saldırarak bu işletmelerin sekteye uğramasına neden oldu. Türkiye’deki fidye yazılımı saldırılarının arkasındaki ilk 10 fidye yazılımı grubunun son üç yıldaki hasılatıysa yaklaşık 5,2 milyar dolar oldu.
Geçen yılın son üç ayında fidye yazılımı saldırılarındaki artış hızlandı. Endişe verici bir şekilde, Türkiye’yi hedefleyen fidye yazılımı gruplarının faaliyetleri Haziran’dan Aralık 2021’e üç kattan fazla arttı. SOCRadar DarkMirror’da yer alan verilere göre “İmalat ve Finans” en çok hedeflenen sektörler arasında yer aldı.
Türkiye’yi hedef alan en büyük fidye yazılım grupları arasında LockBit, Conti ve Xing bulunuyor.
APT GRUPLARI TÜRKİYE’Yİ HEDEF ALIYOR
Türkiye’den firmalar, çeşitli amaçlarla hareket eden yetenekli APT gruplarının hedefi olmaya devam ediyor. APT grupları, finansal avantaj elde edebilecek, stratejik süreçlere erişebilecek veya stratejik istihbarat toplayabilecek çok miktarda değerli bilgi ve varlığı ele geçirebileceği kuruluşları sıklıkla hedef alıyor.
Coğrafi konumu nedeniyle Türkiye, Rusya-Ukrayna gerilimi gibi jeopolitik etki kazanmak isteyen bazı ulus-devlet aktörlerinin hedefine girebiliyor. Örneğin 2021 boyunca, ChamelGang gibi yeni APT gruplarının da Türkiye ve komşu ülkelerde güçlerini artırdığı gözlemlenirken, “enerji, kritik kamu altyapıları ve finans” çekici görülen ilk üç sektör arasına giriyor.
Türkçe deep web forumlarında faaliyet gösteren önemli APT grupları arasında APT28, APT29, APT39, APT41 bulunuyor.
TÜRKİYE’DEKİ OLTALAMA TEHDİTLERİ
Tehdit aktörleri, Türkiye’de yeni doğan ve hızla büyüyen çevrimiçi yemek siparişi, e-ticaret ve yeni nesil bankacılık uygulamalarının sağladığı yüksek mobil erişime çabuk adapte olmuş görünüyorlar. Söz konusu şirketlere kayıtlı kullanıcıların hassas bilgilerini çalmak ve dâhili sistemlere ilk erişim sağlamak için bu şirketleri taklit eden yüzlerce oltalama domaini günlük olarak kaydedildi.
SOCRadar, son 12 ayda milyonlarca tüketiciyi hedefleyen toplam 42 bin 136 kimlik avı saldırısı tespit etti. Oltalama saldırılarının en çok hedef aldığı sektörse “Fintech” oldu.
SOCRadar’IN ELDE ETTİĞİ ÖNEMLİ BULGULAR
Türk varlıklarını hedef alan 30 tehdit aktörünün 150’den fazla listesi var. Gönderilerin yüzde 22’si müşteri veritabanı satışları ve yüzde 9’u yetkisiz ağ erişimi satışlarından oluşuyor.
E-ticaret, bankacılık ve sigortacılık en çok etkilenen sektörler arasında.
Suç faaliyetlerinin arkasında olduğuna inanılan ilk 10 fidye yazılımı grubu, son üç yılda yaklaşık 5,2 milyar dolar değerinde Bitcoin elde etti. Türkiye’yi hedefleyen en büyük fidye yazılımı grupları LockBit, Conti ve Xing.
Coğrafi konumu nedeniyle Türkiye, Rusya-Ukrayna gerilimi gibi jeopolitik konularda etki kazanmak isteyen APT aktörlerinin hedefinde. Türkiye’de faaliyet gösteren önemli APT grupları arasında APT28, APT29, APT39 ve APT41 sayılabilir.
SOCRadar, son 12 ayda milyonlarca tüketiciyi hedef alan toplam 42 bin 136 oltalama (phishing) saldırısı tespit etti.
En yaygın olarak yararlanılan güvenlik açıkları CVE-2021-31206, CVE-2021- 21985, CVE-2020-5902 ve CVE-2021-3064 oldu.
Türkiye ~31Tbit/sn DDoS trafiği üretebiliyor ve bu oranla dünya genelinde 27. sırada yer alıyor.
Sanayi ve Teknoloji Bakanlığı’na bağlı Doğu Anadolu Projesi (DAP) Bölge Kalkınma İdaresi Başkanlığı, LockBit çetesinin fidye yazılım saldırısına uğradı.
DAP Bölge Kalkınma İdaresi Başkanlığı’nın dosyalarını şifrelediğini iddia eden LockBit çetesi, fidye taleplerinin karşılanması için Sanayi ve Teknoloji Bakanlığı’na 7 Şubat’a kadar süre verdi.
SANAYİ VE TEKNOLOJİ BAKANLIĞI’NA FİDYE YAZILIM SALDIRISI GERÇEKLEŞTİRİLDİ
Son aylarda birçok devlet kurumu ve özel şirkete fidye yazılımı saldırısı düzenleyen LockBit grubunun son kurbanı Sanayi ve Teknoloji Bakanlığı’na bağlı DAP Bölge Kalkınma İdaresi Başkanlığı oldu.
Bölge Kalkınma İdaresi’nin yürüttüğü Doğu Anadolu Projesi’nin genel amacı, uygulandığı illerdeki yatırımların gerektirdiği araştırma, planlama, programlama, projelendirme, izleme, değerlendirme ve koordinasyon hizmetlerinin yerine getirilmesi suretiyle Doğu Anadolu Bölgesi’nin kalkınmasını hızlandırmak olarak biliniyor.
Kendisine ait sızıntı sitesinden yaptığı paylaşımla Sanayi ve Teknoloji Bakanlığı’nın DAP Bölge Kalkınma İdaresi Başkanlığı dosyalarını şifrelediğini belirten çete, fidye taleplerinin karşılanması için bakanlığa 7 Şubat 2002, saat 08.10’a kadar süre verdi. Aksi takdirde çete, şfirelediği dosyaları yayımlamakla tehdit ediyor.
Halihazırda Sanayi ve Teknoloji Bakanlığı’ndan söz konusu siber saldırıya dair yapılan bir açıklama bulunmuyor.
LockBit fidye yazılımı çetesinin 2019’dan beri aktif olduğu bilinirken 2021 yılının haziran ayında çetenin, “LockBit 2.0” adlı yeni fidye yazılımı sürümüyle yeniden ortaya çıkmıştı.
Son zamanlarda aralarında Türkiye’de faaliyet gösteren özel kuruluşlar da olmak üzere birçok devlet kurumu ve şirketi hedefleyen LockBit’in son sürüm fidye yazılımıyla çok daha aktif olduğu, çeşitli siber güvenlik şirketlerinin yaptığı araştırmalar neticesinde ortaya çıkarılmıştı.
Çoğunlukla VMware ESXi sanal makinelerini hedefleyen LockBit çetesinin geçtiğimiz günlerde yeni bir Linux şifreleyicisinin de siber saldırılarda kullanıldığı keşfedilmişti.
LockBit, veri hırsızlığı iddialarını abartmasıyla tanınır hâle gelirken yayımlayacak hiçbir dosyası olmadan da sızıntı sitelerine şirket ve kuruluşların adlarını eklerken yakalanmıştı. Ancak operasyonlarını devlet kurumlarına yönelten LockBit çetesi, Fransız Adalet Bakanlığı’na da saldırmış ve 10 Şubat’a kadar fidye ödenmemesi durumunda belgeleri sızdırmakla tehdit etmişti. Söz konusu saldırıysa hükümet yetkililerince doğrulanmıştı.
FBI UYARDI
Son dönemde oldukça aktif olan çetenin kurbanı olanlar arasında Riviana, Accenture, Wormington&Bollinger, Anasia Group, Bangkok Airways, İtalyan enerji şirketi ERG, Vlastuin Group, E.M.I.T. Aviation Consulting, SCIS Air Security, Peabody Properties, DATA SPEED SRL, Fransa Adalet Bakanlığı, Day Lewis, Buffington Hukuk Bürosu ve dünya çapında onlarca başka şirket yer alırken bu listeye Türkiye Sanayi ve Teknoloji Bakanlığı eklendi.
LockBit’in gerçekleştirdiği operasyonlardan sonra Federal Soruşturma Bürosu (FBI), LockBit fidye yazılımı operasyonlarıyla ilgili teknik ayrıntıları ve tehlike göstergelerini içeren acil bir uyarı yayımlamıştı.
FBI’ın yaptığı uyarıda LockBit fidye yazılımını önlemek için alınabilecek hafifletici önlemler de içeriyor:
Parola oturum açma bilgilerine sahip tüm hesapların (ör. hizmet hesabı, yönetici hesapları ve etki alanı yönetici hesapları) güçlü ve benzersiz parolalara sahip olmasını zorunlu kılın
Mümkün olduğu ölçüde tüm hizmetler için çok faktörlü kimlik doğrulaması kullanın
Tüm işletim sistemlerini ve yazılımlarınızı güncel tutun
Yönetici paylaşımlarına gereksiz erişimi kaldırın
Kritik dosyalarda yetkisiz değişiklikleri önlemek için Windows işletim sisteminde korunan dosyaları etkinleştirin.
Ayrıca FBI, herhangi bir saldırganın, söz konusu kuruluşun kurumsal ortamını öğrenmesini sınırlamak için aşağıdaki eylemleri gerçekleştirmelerini belirtiyor:
Bir ağ izleme aracıyla belirtilen fidye yazılımının anormal etkinliğini ve olası geçişini belirleyin, tespit edin ve araştırın
Yönetici düzeyinde ve daha üst düzeyde ayarlanan hesaplar için zamana dayalı erişim uygulayın
Komut satırı ve komut dosyası etkinliklerini ve bunların izinlerini devre dışı bırakın
Verilerin çevrimdışı yedeklerini koruyun, düzenli olarak yedekleme ve geri yüklemeyi sürdürün
Tüm yedekleme verilerinin şifrelendiğinden, değiştirilemez olduğundan ve tüm kuruluşun veri altyapısını kapsadığından emin olun
Bununla birlikte FBI, kurbanların fidye ödemekten kaçınmasını tavsiye ediyor.
Payloadlarında ve altyapılarında yaptığı değişikliklerle dönen çetenin yeni fidye yazılımı, diğer fidye yazılımlarından 6 kat daha hızlı bir şekilde verileri şifreliyor. IBM X-Force verilerine göre LockBit’in saldırılarından en çok etkilenen sektörlerin finans ve üretim olduğu görülüyor.
LockBit’in temel amacı, herkese açık uygulamaları ve “CVE-2019-0708” gibi zafiyetleri istismar ederek etki alanı yöneticisi hesabının erişimini elde etmek olarak biliniyor. Erişim elde etmesinin ardından çete, değerli verilerin ve Active Directory ortamının keşfini yapmaya başlıyor.
LockBit 2.0, RDP, Kimlik Avı E-postaları ve Drive-by indirmeleri ile yayılırken sistem üzerindeki açık portları kullanarak şifreleme işlemini başlatıyor. LockBit 2.0 ayrıca event loglarını ve shadow kopyalarını siliyor.
Şifreleme sürecinin sekteye uğramaması için yazılımın ikili dosyasını kayıt defteri anahtari içine yerleştiren çete, şifreleme aşaması bitmeden bilgisayar kapanırsa, kurban yeniden bilgisayarı açtığında şifreleme işlemini tekrar başlatabiliyor.
LockBit fidye yazılımı grubu Eylül 2019’dan bu yana faaliyet gösterse de fidye yazılımı alanında marjinal bir oyuncu haline gelmeleri bu yılın haziran ayına uzanıyor.
LockBit 2.0 adı verilen “Hizmet olarak Fidye Yazılımı platformunun” yeni bir sürümünün yayınlanmasının ve rakip operasyonlar Darkside, Avaddon ve Revil’in aniden piyasadan çekilmesinin ardından LockBit, günümüzün en büyük “Hizmet olarak Fidye Yazılımı” platformlarından biri haline geldi.
Daha önce diğer çetelerden fidye yazılımı yükleri kiralayan siber suç grupları, yaz boyunca LockBit grubuna akın etmiş gibi görünüyor ve Avustralyalı yetkililerin yerel şirketleri uyarmasına yol açacak derecede saldırılarda artışa neden oldu. Öte yandan, Recorded Future tarafından toplanan istatistikler, Lockbit’in geçen ay Eylül ayında en aktif fidye yazılımı grubu olduğunu ve fidye yazılımı sızıntısı sitelerinde listelenen tüm kurbanların neredeyse üçte birini oluşturduğunu gösterdi.
LockBit grubu therecord.media yazarı Dmitry Smilyanets ile gerçekleştirdiği röportajda nasıl bir anda piyasanın lideri konumuna geldiklerini anlatırken kendilerinin de bir gün hacklenebileceği gerçeğini dile getirdiler.
Dmitry Smilyanets: Eylül ayında ihbar edilen fidye yazılımı saldırılarının yüzde 34’ünü LockBit oluşturdu. Piyasayı nasıl fethedebildiğinizin sırrını bize anlatabilir misiniz? Yoksa kurbanlarınızın çoğu fidye ödememeye karar verdiği için mi rakamlar bu kadar yüksek?
LockBitSupp: Henüz piyasayı fethetmeye başlamadık. Şu anda yazılımı geliştirme ve iyileştirme aşamasındayız. Sırrı çok basit: Kusursuz bir itibar. Kimseyi aldatmayan veya markamızı değiştirmeyen tek oluşum biziz. İnsanlar bize güveniyor. Bunun sonucunda da, daha fazla ortaklık, daha fazla saldırıyı beraberinde getiriyor. LockBit Blog, fidyeyi ödemeyi reddeden şirketlerin sadece küçük bir kısmını oluşturuyor. Son 3 ayda 700’den fazla şirkete saldırdık.
DS: Bazı ülkeler fidye yazılım saldırılarının gerçekleştikten birkaç gün sonra ifşa edilmesini zorunlu kılmayı tartışıyor. Bu tür saldırılar söz konusu olduğunda, grubunuz bugün en büyük tehditlerden biri olarak öne çıkacaktır. Saldırılarınızla çok fazla dikkat çekmemek için “Hizmet olarak Fidye Yazılımı” programınızı sınırlandırmayı düşündünüz mü?
LB: Kısıtlamalar maaşla yaşamak isteyen insanlar için geliştirilmiştir. Herhangi bir kısıtlama getirmeyi planlamıyoruz. Hayata bir kere geliyoruz. Dikkat çeksin çekmesin, anonimlikte yapacağınız herhangi bir hata sizi yok olmaya götürür. Şirketin saldırı hakkında bilgi ifşa etmesi umurumuzda değil, bu tamamen şirketin özel bir işi.
DS: Sizi diğer gruplardan ayıran şey StealBit. Bu zararlı yazılım hakkında biraz bilgi verebilir misiniz?
LB: Şirketi şifrelemek yeterli değildir, bazen ifşa edilmemesi için şirketin şifre çözme işleminden daha fazlasını ödemeye hazır olduğu değerli bilgileri çalmak çok daha önemlidir. StealBit, bilgileri olabildiğince hızlı ve basit bir şekilde çalmanızı sağlar.
DS: Ortak kuruluşlarınızın kurbanlarıyla konuşmasına ve ödemeleri doğrudan kabul etmesine izin veriyorsunuz. Bu başarılı bir model mi?
LB: Ortaklıklarımıza güvenmemek için hiçbir sebep yok. Bir kişi uzun vadeli iş birliğine meyilliyse, bizi asla terk etmeyecektir. Ancak en önemli şey kusursuz bir itibarı korumaktır. Avvadon, Darkside ve Revil’in yaptığı gibi reklam verenlerimizi kandıramayız ve onların fidyelerini çalamayız.
REVIL’İN DAĞILMASININ LOCKBIT’İN BÜYÜMESİNDE HİÇBİR ETKİSİ YOK
DS: “Hizmet olarak Fidye Yazılımı” iş modelinin varlığını devam ettireceğine inanıyor musunuz? Önümüzdeki 5 yıl içinde ne yönde değişecek sizce?
LB: Rekabet artacak, şirketlerin savunma seviyesi artacak, ortaklıklarımızın serveti de artacak.
DS: Revil’in geçtiğimiz yaz dağılması başarınızda rol oynadı mı? Unknown ortadan kaybolduğundan beri kaç şirket size katıldı?
LB: Revil’in “dağılması” başarımızı hiçbir şekilde etkilemiyor, onlardan bize 4 reklam geldi. Bir ortaklık programı başlatmak kolaydır, ancak bunu daim kılmak bir sanat biçimidir.
DS: Unknown’a gerçekte ne olduğunu biliyor musunuz?
LB: Kimse gerçekten ne olduğunu bilmiyor, ama bunun klasik bir “çıkış” aldatmacası olduğuna eminim, aynı şey Avvadon ve Darkside’da da yaşandı. Büyük bir ödeme söz konusu olduğunda, bu ortaklık programının sahibi daha fazla çalışmaya ve hayatını riske atmaya değip değmeyeceğini ya da şu anda çıkıp hayatının geri kalanı için parayı sakince harcamanın daha iyi olup olmadığını düşünüyor. Bizim durumumuzda, böyle bir şey imkansızdır, çünkü temel olarak bize bağlı kuruluşlarımızın parasına dokunmuyoruz.
DS: Forumlarda çok aktifsiniz. Exploit hesabınızı neden yasakladı?
LB: Siber suçluların belirli siber suç türlerini nasıl yasaklayabilecekleri çok açık değil, çünkü aslında bu forumdaki herkes yasaları çiğniyor. Zengin şirketler için ödeme sonrası bir pentest yapmanın yasak olduğu, ancak milyonlarca kişinin banka kartlarından para çalmasına izin verildiği ortaya çıktı. Ayrıca, ağ erişimi satın almaya ve satmaya devam eden ve Exploit forumunda pentest yapacak kişi arayan rakiplerimizin hesaplarının neden engellenmediği de çok açık değil. Belki de bu bir çeşit seçici politikadır – bunun rakiplerin işi ve dünyadaki bir numaralı ortaklık programı ile uğraşmanın onursuz yolları olabileceğini düşünüyorum. “Tüm bu saçmalıklar uyuşturucunun yasak olup votkanın yasal olmasına benziyor”. Utanç verici, sinir bozucu ama yapacak bir şey yok.
HASTANELERE SALDIRMIYORUZ
DS: REvil ve Hive’ın hastaneleri kilitlediklerinden bahsettiniz, siz böyle saldırılar düzenliyor musunuz?
LB: Hastanelere saldırmıyoruz, iştiraklerimizin yanlışlıkla diş muayenehanelerini ve bakım evlerini şifrelediği olmuştu. Bu durumlarda şifre çözme anahtarlarını ücretsiz olarak yayımladık.
DS: ABD ve Rusya cumhurbaşkanları haziran ayında bir araya geldikten sonra herkes değişim için bir sinyal bekliyor. Ve bazı değişiklikler görüyoruz – yaz aylarında geçici bir yavaşlamadan sonra saldırılar arttı. Bu olaylarla ilgili mi yoksa iştirakçiler uzun bir tatile mi çıktılar?
LB: Bu sadece bir yaz tatili. Gezegendeki tüm insanlar gibi, hiç kimse yaz aylarında çalışmak istemiyor ve milyonlarca dolarınız olduğunda bu çalışmama isteği daha da fazla oluyor. Başkanların toplantıları hiçbir şeyi etkilemeyecek, ciddi çalışan herkes ABD’de veya Rusya’da yaşamıyor. Şahsen ben Çin’de yaşıyorum ve kendimi tamamen güvende hissediyorum.
DS: Bazı fidye yazılımı aileleri, bağlı kuruluşların Amerikan şirketlerine ve altyapısına saldırmasını önlüyor. Ortaklarınız için bu tür özel önerileriniz oluyor mu? Reklamlarınız Lockbit’i isteğiniz dışında kritik altyapıya dağıtırsa ne olur?
LB: Bu henüz gerçekleşmedi. Tek bir bağlı kuruluş dahi irademize karşı çıkmayacaktır, çünkü yalnızca ahlak kurallarına sahip güvenilir kişilerle çalışıyoruz, bağlı kuruluşlarımızın her biri sözlerinden ve eylemlerinden sorumludur.
DS: 30 ülkeden temsilciler fidye yazılım saldırılarının nasıl ele alınacağını tartışmak üzere bu ay bir araya geldi. Bu sizi herhangi bir şekilde endişelendiriyor mu yoksa bunun sadece siyasi bir manevra mı olduğuna inanıyorsunuz?
LB: Eğer düşmanı yenemiyorsan- ona liderlik et. Kimse Newton’un üçüncü yasasını iptal etmedi.
KİMSE HACKLENMEKTEN MUAF DEĞİL
DS: Bazı ülkelerdeki kolluk kuvvetleri, çalınan verileri yok etmek ve şifreleme anahtarlarını almak için fidye yazılımı altyapısını hacklemeyi açıkça tartışıyor. Bu sizi endişelendiriyor mu? Depolama sistemleriniz yeterince güvenli mi?
LB: Bu, bizimle başa çıkmanın en etkili yöntemlerinden biri. Hiç kimse sıfırıncı günlerin yardımıyla altyapılarının hacklenmesinden muaf değildir. NSA donanım arka kapılarını kullanarak, gezegendeki herhangi bir sunucuya erişmek mümkün. Bu nedenle, saldırıya uğrama riski her zaman mevcut. Dünyanın çeşitli bölgelerindeki sunucularda çalınan şirket verilerinin birkaç yedeğinin yanı sıra, verilerin saklanması için maaş alan güvenilir tarafların tuttuğu şifreli çevrimdışı yedeklemelerimiz de bulunuyor.
DS: ABD hükümeti, fidye yazılım gruplarının fonları aklamasına yardımcı olan kripto para birimi hizmetlerinin işinin zorlaşacağını söyledi. Bunun sizin ve gelecekte fidye yazılımı ortamı için bir sorun olacağını düşünüyor musunuz, yoksa para aklamak için başka yollarınız var mı?
LB: Bana ABD’nin sözlerini dinleyecek ve Hong Kong’da nakit dolar alışverişi yaparken bizden kripto para birimini kabul etmeyecek en az bir Çinli gösterin.
DS: Ekim ayında para kaynağı bulamayan şirketler için ücretsiz şifre çözme anahtarı sağlamaya hazır mısınız?
LB: Parasız şirket yok, ağlarını korumak için para harcamak, kalifiye sistem yöneticileri için maaş ödemek ve sonra da fidye ödemek istemeyen kurnaz şirketler var. Belki de “para kaynağı bulamayan” bir şirket için ücretsiz bir şifre çözücü yayımlarız, ancak bu durumda, bu şirketin verileri sonsuza dek blogumuzda kalacaktır.
