Şirket avcıları: En büyük 5 fidye yazılımı grubu

Son beş yılda fidye yazılımları, bireysel bilgisayarlar için bir tehdit olmaktan çıkıp kurumsal ağlar için ciddi tehlike oluşturan bir kavrama dönüştü. Siber suçlular artık olabildiğince çok bilgisayara virüs bulaştırmaya çalışmaktan vazgeçip bunun yerine büyük kurbanları hedef almaya başladılar. Ticari işletmelere ve devlet kurumlarına yönelik gerçekleştirilen saldırılar dikkatli bir planlama gerektiriyor, ancak sonucunda on milyonlarca dolarlık ödül potansiyeli de var.

Fidye yazılımı çeteleri, şirketlerin sıradan kullanıcılara göre çok daha büyük olan mali güçlerininden faydalanıyor. Dahası, günümüzdeki birçok fidye yazılımı grubu, daha fazla kazanç sağlamak için çaldıkları verileri şifrelemeden önce onları yayınlamakla tehdit ediyor. Bu tehdit saldırıdan etkilenen şirket için, itibarının zarar görmesinden hissedarlarla yaşanacak sorunlara ve düzenleyici otoritelerin vereceği para cezalarına kadar her türlü yeni riskin ortaya çıkmasına neden oluyor ve sonucunda ortaya çıkan zarar genellikle fidyeden daha pahalıya mal oluyor.

Verilerimize göre 2016, bu konuda bir dönüm noktası oldu. İşletmelere yönelik gerçekleştirilen fidye yazılımı siber saldırılarının sayısı yalnızca birkaç ayda üç katına çıktı: Ocak 2016’da ortalama her 2 dakikada bir olay kaydediyorken, bu süre aralığı Eylül sonunda 40 saniyeye düştü.

2019’dan bu yana uzmanlar düzenli olarak büyük av denen fidye yazılımının hedef aldığı bir dizi girişimi gözlemliyorlar. Kötü amaçlı yazılımların kendi sitelerinde saldırı istatistiklerini görülebiliyor. Bu verileri kullanarak en aktif siber suçlu grupların sıralamasını yaptık.

1. Maze (Diğer adıyla ChaCha fidye yazılımı)

İlk olarak 2019’da görülen Maze fidye yazılımı, kısa sürede kötü amaçlı yazılımlar listesinde zirveye yükseldi. Toplam kurban sayısına bakıldığında bu fidye yazılımı, saldırıların üçte birinden fazlasından sorumlu denebilir. Maze’in arkasındaki grup, şifrelemeden önce verileri çalan ilk gruplardan biriydi. Siber suçlular, fidyeyi ödemeyi reddetmesi halinde kurbanı, çalınan dosyaları yayınlamakla tehdit ediyordu. Grubun kullandığı yöntemin işe yaradığı görüldü ve daha sonra, aşağıda bahsettiğimiz REvil ve DoppelPaymer dahil olmak üzere, diğer birçok fidye yazılımı operasyonunda bu yöntem uygulandı.

Kullanılan başka bir yeni yöntem de, siber suçluların gerçekleştirdiği saldırılara ilişkin medyayı bilgilendirmeye başlamasıydı. 2019’un sonlarında Maze grubu, Bleeping Computer’a gönderdiği e-postada Allied Universal şirketini hacklediğini ve çalınan dosyalardan birkaçını da kanıt olarak eklediğini söylüyordu. Grup, internet sitesinin editörleriyle yaptığı e-posta yazışmasında, Allied Universal’ı şirketin sunucularından spam göndermekle tehdit ediyordu ve sonrasında da hacklenen şirketin gizli verilerini Bleeping Computer’ın forumunda yayınladılar.

Maze’in saldırıları, grubun faaliyetlerini durdurmaya başladığı Eylül 2020’ye kadar devam etti; ancak, bu tarihten önce birkaç uluslararası şirket, Latin Amerika’daki bir devlet bankası ve bir ABD şehrinin bilgi işlem sistemi de grubun faaliyetlerinden zarar görmüştü. Bu olayların her birinde Maze operatörleri, kurbanlardan fidye olarak birkaç milyon dolar talep etti.

2. Conti (Diğer adıyla IOCP fidye yazılımı)

Conti, 2019’un sonlarında ortaya çıktı ve 2020 boyunca oldukça aktifti. Bu dönemdeki tüm fidye yazılımı saldırısı kurbanlarının %13’ünden fazlasından Conti sorumluydu. Yazılımın yaratıcısı grup bugün hala aktif.

Conti saldırılarıyla ilgili ilginç bir detaysa, siber suçluların kendilerine ödenecek fidye karşılığında hedef aldıkları şirkete güvenlikle ilgili şöyle bir yardım teklifinde bulunmasıdır: “Güvenliğinizdeki açığı nasıl kapatacağınız ve gelecekte bu tür sorunları nasıl önleyeceğinizle ilgili talimatlar alacaksınız + size, hackerlara en çok sorun yaratan özel bir yazılım önereceğiz.”

Maze’de olduğu gibi, fidye yazılımı yalnızca verileri şifrelemekle kalmıyor, aynı zamanda dosyaların kopyalarını da saldırıya uğramış sistemlerden fidye yazılımı operatörlerine gönderiyor. Siber suçlular, kurbanın taleplerini yerine getirmemesi halinde çaldıkları bilgileri internette yayınlamakla tehdit ediyor. Kamuoyunda en bilinen Conti saldırısı Amerika Birleşik Devletleri’ndeki bir okulun hacklenmesi ve ardından talep edilen 40 milyon dolarlık fidyeydi. (Okul yönetimi, 500.000 dolar fidye ödemeye hazır olduğunu ancak bu tutarın 80 katı olan fidye talebi için pazarlık yapmayacağını söyledi.)

3. REvil (Diğer adıyla Sodin, Sodinokibi fidye yazılımı)

REvil fidye yazılımı ile gerçekleştirilen ilk saldırılar 2019’un başlarında Asya’da tespit edildi. Bu kötü amaçlı yazılım, güvenlik sistemlerini atlatmak için geçerli CPU işlevlerini kullanmak gibi teknik becerilere sahip olması nedeniyle kısa sürede uzmanların ilgisini çekti. Ek olarak, yazılımın koduna bakıldığında, kiralanabilecek şekilde oluşturulduğuna ilişkin bazı karakteristik işaretler yer alıyordu.

Toplam istatistiklere bakıldığında, REvil kaynaklı saldırılardan etkilenen kurbanların oranı %11 seviyesinde. Neredeyse 20 farklı sektör bu kötü amaçlı yazılımdan etkilendi. Etkilenen sektörler içindeki en büyük pay %30’la Mühendislik ve İmalat sektörüne ait; bunu %14’le Finans, %9’la Profesyonel ve Tüketici Hizmetleri, %7 ile Hukuk ve aynı oranla BT ve Telekomünikasyon sektörleri takip ediyor. Hacklediği birçok MSP ve bu MSP’lerin müşterilerine dağıttığı Sodinokibi fidye yazılımı sonucunda grup, BT ve Telekomünikasyon sektöründe 2019 yılının en sansasyonel fidye yazılımı saldırılardan birini gerçekleştirmiş oldu.

Grup şu anda Mart 2021’de Acer’dan talep ettikleri 50 milyon dolar fidye ile bugüne kadar talep edilmiş en büyük fidye rekorunu elinde bulunduruyor.

4. Netwalker (Diğer adıyla Mailto fidye yazılımı)

Toplam kurban sayısının içinde Netwalker saldırılarının kurbanı olanlar %10’un üzerindeydi. Hedefleri arasında lojistik sektörü devleri, sanayi grupları, enerji şirketleri ve diğer büyük kuruluşlar bulunuyor. 2020’de sadece birkaç aylık bir sürede, siber suçlular 25 milyon dolardan fazla para kazandı.

Yazılımının yaratıcıları, fidye yazılımını kitlelere ulaştırmaya kararlı görünüyor. Saldırıdan elde edilen kardan küçük bir pay verilmesi karşılığında Netwalker’ı tek başına çalışan dolandırıcılara kiralamayı teklif ettiler. Bu tür planlarda ortaklara yapılan ödeme genellikle daha düşük olmasına karşın Bleeping Computer’a göre, kötü amaçlı yazılım dağıtımcısının fidyeden istediği pay %70’i bulabiliyor.

Siber suçlular amaçladıkları yönteme kanıt olarak büyük tutarlı para transferlerine ilişkin ekran görüntüleri yayınladılar. Kiralama sürecini olabildiğince kolaylaştırmak içinse, fidye için verilen sürenin sonunda çalınan verileri otomatik olarak yayınlayacak bir internet sitesi kurdular.

Ocak 2021’de polis, Netwalker dark web kaynaklarına el koydu ve Kanada vatandaşı olan Sebastien Vachon-Desjardins’i fidye yazılımı ile kurbanlardan 27,6 milyon doların üzerinde para sızdırmakla suçladı. Vachon-Desjardins kurbanları bulmak, güvenliklerini ihlal etmek ve Netwalker’ı sistemlerine yerleştirmekten sorumlu tutuldu. Kolluk kuvvetlerinin gerçekleştirdiği operasyon sonucunda Netwalker etkili bir şekilde ortadan kaldırılmış oldu.

5. DoppelPaymer fidye yazılımı

Toplam istatistiklere bakıldığında, listemizin son kötü karakteri olan DoppelPaymer fidye yazılımı saldırılarından etkilenen kurbanların payı %9 civarında. Yazılımın yaratıcıları, Dridex bankacılık Truva Atı ve DopplePaymer’in eski bir sürümü olarak kabul edilen ve artık kullanılmayan BitPaymer (diğer adıyla FriedEx) fidye yazılımı da dahil olmak üzere yarattığı diğer kötü amaçlı yazılımlarla da adından söz ettirmişti. Dolayısıyla, grubun sorumlu olduğu toplam kurban sayısı sanılandan çok daha fazla.

Latin Amerika merkezli büyük bir petrol şirketinin yanı sıra, elektronik ve otomobil üreticileri de dahil olmak üzere bir çok ticari işletme DoppelPaymer’dan etkilendi. DoppelPaymer sıklıkla, sağlık, acil servis ve eğitim hizmetleri dahil olmak üzere dünya çapındaki devlet kuruluşlarını hedef alıyor. Grup ayrıca, her ikisi de Amerika Birleşik Devletleri’nde gerçekleşen iki olaydan, Georgia ve Hall County’den çalınan seçmen bilgilerinin yayınlanması ve Delaware County, Pennsylvania’dan 500.000 dolar fidye alınmasının ardından manşet oldu. DoppelPaymer saldırıları bugün hala kadar devam ediyor: Bu yılın Şubat ayında, Avrupalı bir araştırma kuruluşu saldırıya uğradığını açıkladı.

Hedefli saldırı yöntemleri

Büyük bir şirkete yönelik her hedefli saldırı, altyapıdaki güvenlik açıklarını bulma, bir senaryo oluşturma ve saldırı araçlarını seçme gibi uzun bir sürecin sonucunda gerçekleşir. Ardından sızma olur ve kötü amaçlı yazılım kurumsal altyapıya yayılır. Siber suçlular bazen dosyaları şifrelemeden ve herhangi bir talepte bulunmadan önce birkaç ay boyunca bir şirket ağında kalırlar.

Altyapıya giden ana yollar şunlar:

• Güvenli olmayan uzaktan erişim bağlantıları. Güvenlik açığına sahip RDP (Uzak Masaüstü Protokolü) bağlantıları kötü amaçlı yazılımları dağıtmanın o kadar yaygın bir yolu ki, gruplar kara borsada bu açıklardan faydalanmaya yönelik hizmetler bile sunuyor. İş dünyasının büyük bir kısmı uzaktan çalışmaya geçmesiyle birlikte, bu tür saldırıların sayısında inanılmaz bir artış yaşanmaya başladı. Bu yöntem aynı zamanda, Ryuk, REvil ve diğer fidye yazılımı girişimlerinin çalışma şekli;
• Sunucu uygulamalarındaki güvenlik açıkları. Sunucu tarafındaki yazılımlara yapılan saldırılar, siber suçluların en hassas verilere erişmesini sağlıyor. Bu yönteme ilişkin son örnek Mart ayında, Microsoft Exchange’deki sıfır gün güvenlik açığı yoluyla gerçekleştirilen DearCry fidye yazılımı saldırısı. Yeterli şekilde korunmayan sunucu tarafındaki yazılım, hedefli bir saldırının giriş noktası olabiliyor. Geçtiğimiz yıl bazı örneklerini gördüğümüz, bu tür güvenlik sorunları kurumsal VPN sunucularında da ortaya çıktı;
• Botnet tabanlı gönderim. Fidye yazılımı operatörleri daha fazla kurbanı tuzağa düşürmek ve kârı artırmak için botnet’leri kullanıyorlar. Zombi ağ operatörleri, diğer siber suçlulara, savunmasız sistemleri otomatik olarak arayan ve bunlara fidye yazılımı indiren, güvenliği ihlal edilmiş binlerce cihaza erişim sağlıyor. Örneğin Conti ve DoppelPaymer fidye yazılımı bu şekilde yayıldı;
• Tedarik zinciri saldırıları. Bu tehdit vektörünün kullanımına ışık tutan en iyi örnek REvil saldırısı: Grup, bir MSP sağlayıcısının güvenliğini ihlal etti ve ardından fidye yazılımını müşterilerinin ağlarına dağıttı;
• Kötü amaçlı e-posta ekleri. Kötü amaçlı makrolar içeren Word dosyalarının e-postaya eklenmesi, kötü amaçlı yazılım gönderimi konusunda hala popüler bir seçenek. En kötü 5 karakterimizden biri olan NetWalker grubu, konu satırında “COVID-19” yazan e-postalar ile kurbanları tuzağa düşürmek için kötü niyetli ekleri kullandı.

İşletmeler kendini nasıl koruyabilir?

• Çalışanlarınızı dijital hijyen konusunda eğitin. Çalışanlar, şüpheli e-postalardaki bağlantılara asla tıklamamalı veya şüpheli sitelerden dosya indirmemeli; kimlik avının ne olduğunu, güçlü bir parolanın nasıl oluşturulacağını, hatırlanacağını ve korunacağını bilmelidir. Yalnızca olay riskini en aza indirmek için değil, aynı zamanda saldırganların ağa sızmayı başarması durumunda yaşanacak hasarı azaltmak için de bilgi güvenliği konusunda düzenli eğitimler verin;
• Yazılımların bilinen güvenlik açıkları ile gerçekleştirilen saldırılara karşı en üst seviyede koruma sağlamak için tüm işletim sistemlerini ve uygulamaları düzenli olarak güncelleyin. Hem istemci tarafı hem de sunucu tarafı yazılımlarını güncellemeye özen gösterin;
• Güvenlik denetimleri gerçekleştirin, ekipman güvenliğini kontrol edin ve hangi bağlantı noktalarının açık ve internet üzerinden erişilebilir olduğunu takip edin. Uzaktan çalışma için güvenli bir bağlantı kullanın, ancak bunu yaparken VPN’lerin bile güvenlik açıklarına sahip olabileceğini unutmayın;
• Kurumsal verileri yedekleyin. Verilerin yedeklerinin olması, yalnızca bir fidye yazılımı saldırısı durumunda kesinti süresinin azaltılmasına ve iş süreçlerinin daha hızlı geri yüklenmesine yardımcı olmakla kalmaz, aynı zamanda donanım arızaları gibi daha zorlu olaylardan da kurtulmaya yardımcı olur;
• Davranış analizi ve fidye yazılımı önleme teknolojilerine sahip bir profesyonel güvenlik çözümü;
• Bağlantı noktalarını incelemeye çalışma girişimleri veya standart dışı sistemlere erişim istekleri gibi ağ altyapısındaki anormallikleri tanıyabilen bir bilgi güvenliği sistemi uygulayın. Ağı izleyebilecek şirket içi uzmanlarınız yoksa dışarıdan bir uzman ile iletişime geçin.