Fidye Yazılımının Kedi-Fare Oyununda Nadir Bir Kazanç

Fidye yazılım saldırılarıyla dolu bir yılda, siber suçlular polis departmanları, bakkal ve eczane zincirleri, hastaneler, boru hatları ve su arıtma tesislerinin verilerini bilgisayar koduyla rehin tuttuğunda, başarısı ölçeğinde nadir görülen bir kazançtı. .

Güvenlik uzmanlarından oluşan bir ekip, yüksek profilli bir fidye yazılımı grubunun kurbanlarına, dijital saldırganlarına bir kuruş ödemeden verilerini sessizce kurtarmaları için yardım etmek için aylarca yarıştı.

DarkSide olarak bilinen Colonial Pipeline fidye yazılımı saldırısının arkasındaki siber suçluların yeni bir ad olan BlackMatter altında ortaya çıkmasıyla yaz sonunda başladı. Kısa bir süre sonra siber suçlular, büyük olasılıkla onlara yüzlerce olmasa da onlarca, milyonlarca dolara mal olan bariz bir hata yaptılar.

Fidye yazılımı suçluları, bir kurbanın verilerini şifreler ve erişimi geri döndürmek için bazen milyonlarca dolarlık bir fidye ödemesi talep eder. Ancak BlackMatter, kodundaki bir güncellemede kritik bir hata yaptığında, Yeni Zelanda’daki bir siber güvenlik firması olan Emsisoft’taki araştırmacılar, hatadan yararlanabileceklerini, dosyaların şifresini çözebileceklerini ve verilerin hak sahiplerine erişim sağlayabileceklerini fark ettiler.

Emsisoft, verilerini gizlice açmalarına yardımcı olabilmek için Amerika Birleşik Devletleri, İngiltere ve Avrupa’daki düzinelerce kurbanın izini sürmek için acele etti. Bu süreçte firma, siber suçluların kasasından milyonlarca dolarlık kripto para birimini tuttu.

Araştırma firması Cybersecurity Ventures’ın bir raporuna göre, bu yıl kuruluşlara 20 milyar dolarlık zarara mal olması beklenen kedi fare fidye yazılımı oyununda kısa ömürlü bir zaferdi. O kadar sıra dışıydı ki, verileri çabayla kurtarılan kurbanlar bile buna inanamadı. Birçok kişi Emsisoft’un bir aldatmaca yürüttüğünü düşündü.

Emsisoft yetkilileri, The New York Times ile yaptığı bir dizi röportajda daha önce bildirilmeyen operasyonlarını anlattı.

Emsisoft’un baş teknoloji sorumlusu Fabian Wosar geçen hafta, “İlk başta çok fazla şok ve inançsızlık vardı” dedi. “Bir sorununuz olduğunu hayal edin. Çözülemez olduğunu düşünüyorsun. Herkes bunun çözülemez olduğunu söylüyor. Paranoyanız aşırı hızlanıyor. Ve birisi ön kapınızda belirir ve ‘Hey, bu arada sana yardım edebilirim. ‘”

Mağdurların endişelerini gidermek için Emsisoft araştırmacıları, dünyanın dört bir yanındaki siber güvenlik şirketlerindeki ve devlet kurumlarındaki bağlantılarından kendileri için kefil olmalarını istedi.

Emsisoft kurbanların kimliğini açıklamazken, Kıta Avrupası, İngiltere ve Amerika Birleşik Devletleri’ndeki önemli üreticileri, nakliye şirketlerini ve gıda tedarikçilerini dahil ettiklerini söyledi.

Emsisoft’un çabalarının zaman çizelgesi, BlackMatter’ın geçen ay iki Amerikan tarım kuruluşuna yönelik fidye yazılımı saldırılarıyla örtüşüyor: NEW Cooperative, bir Iowa tahıl kooperatifi ve bir Minnesota tarım tedarik kooperatifi olan Crystal Valley. Her iki kooperatif de hızla toparlandı ve bu, Emsisoft’un yardımcı olabileceğini düşündürdü. Hiçbir şirket yorum taleplerini geri çevirmedi.

Federal Siber Güvenlik ve Altyapı Güvenliği Ajansı’nda siber güvenlik yönetici yardımcısı Eric Goldstein, çabayı kamu ve özel işbirliği için bir model olarak nitelendirdi. Ajans, özellikle çoğu özel sektöre ait olan “kritik altyapı” için siber tehditleri ele almak için kapsamlı bir “bütün ulus” planı geliştirmeye çalışıyor.

CISA kısa süre önce, devlet kurumlarını Microsoft ve Amazon gibi teknoloji firmaları, AT&T ve Verizon gibi telekomlar ve CrowdStrike ve Palo Alto Networks gibi siber güvenlik firmaları ile fidye yazılımı gibi tehditleri ele almak için bir araya getiren Ortak Siber Savunma İşbirliği’ni kurdu.

Emsisoft operasyonu, fidye yazılımına karşı son zamanlarda kazanılan birkaç zaferden biridir. Haziran ayında Adalet Bakanlığı, 2 doları geri aldığını açıkladı. 4 milyon doların 3 milyonu. Colonial Pipeline’ın BlackMatter’a ödediği 4 milyon kripto para. Daha yakın zamanlarda, birkaç hükümet tarafından yürütülen bir operasyon, büyük bir Rus fidye yazılımı şirketi olan REvil’i çevrimdışı duruma getirdi. Çok hükümetli çaba daha önce Reuters tarafından bildirildi.

Bu çaba, geçen yaz REvil’e karşı birkaç küçük zaferin ardından geldi. Binlerce fidye yazılımı saldırısından sorumlu olan grup, dünyanın en büyük et paketleme operatörlerinden biri olan JBS’ye ve Miami’li bir yazılım şirketi olan Kaseya’ya yüksek profilli bir saldırı gerçekleştirdikten sonra kendisini hükümetin ilgi odağında buldu. Grup, geçtiğimiz Dört Temmuz tatilinde yüzlerce müşteriyi rehin almak için Kaseya’nın müşterilerine üst düzey erişimini kullandı.

Bir hafta sonra, REvil’in web siteleri karardı ve hükümetlerin bir rol oynamış olabileceği yönünde spekülasyonlara yol açtı. Bundan bir hafta sonra Kaseya, gizemli bir “üçüncü tarafın”, müşterilerinin şifreli verilerinin kilidini açmak için kendisine anahtar verdiğini duyurdu. Aslında, F. B. I. daha sonra bir anahtarı temin ettiğini doğruladı, ancak grubu devirmek için diğer ajanslarla koordineli olarak çalışırken Kaseya’nın müşterilerine vermeyi erteledi. Ancak harekete geçemeden REvil kendi kendine çevrimdışı oldu.

REvil, geçen hafta tekrar ortadan kaybolmadan önce Eylül ayında yeniden ortaya çıktı.

Ancak yakın tarih, REvil’in operatörlerinin yeni bir ad altında yeniden ortaya çıkabileceğini gösteriyor. Fidye yazılımı grupları Rusya’da ve diğer ülkelerde dokunulmazlığa sahip olduğu sürece, fidye yazılımları Amerikan şirketlerini ve kuruluşlarını rahatsız etmeye devam ediyor. En son kurbanın Hagerstown, Md.’deki polis olduğu görülüyor. Cuma günü, Nisan ayında Washington DC Polis Departmanından hassas verileri kaçıran ve ardından sızdıran aynı siber suçlular, Hagerstown polis web sitesini ihlal ettiklerini ve bilgisayar bilgilerini çaldıklarını iddia ettiler. Giriş kimlik. Cuma günü geç saatlerde temasa geçen Hagerstown polisi, çalışan verilerinin çalındığına inanmadıklarını, ancak durumu yakından izlediklerini ve şifreleri değiştirdiklerini ve diğer hafifletme adımlarını attıklarını söyledi.

Amerikalı siber güvenlik yetkilileri, Başkan Biden’ın Rusya Devlet Başkanı Vladimir V. Putin ile Haziran ayında yaptığı ilk zirvesinden bu yana Rus siber saldırılarında birkaç kısa zaferin ötesinde herhangi bir maddi değişiklik olmadığını kabul ediyor. Bay Biden, Bay Putin’i Amerika’nın 16 kritik altyapı sektörüne yönelik saldırıların – geçen ay gıda tedarikçilerinin vurduğu gibi – misilleme gerektirebileceği konusunda uyardı.

Ancak geçen ay, BlackMatter NEW Cooperative’i vurduğunda, siber suçlular, bir siber güvenlik firması olan Recorded Future tarafından izlenen sohbetlerde, “herkesin zarara uğrayacağını” alaycı bir şekilde yayınlayarak, tahıl kolektifinin kritik altyapı olarak sayıldığı fikriyle alay etti.

Şirket, YENİ Kooperatif saldırısının etrafındaki gürültünün Emsisoft için ek zorluklar yarattığını söyledi. Emsisoft, kötü amaçlı yazılımlar için bir tür arama motoru olan Google’a ait bir platform olan VirusTotal’a gönderilen gönderiler aracılığıyla BlackMatter kurbanları buluyordu.

Bu gönderiler, Emsisoft’un ekiplerini, BlackMatter’ın kurbanlarıyla fidye ödemeleri yapmak için kullandığı sohbet platformuna bağlamaya yardımcı oldu. Emsisoft, siber suçluların veya kurbanların kuruluşlarının adını bırakıp bırakmadığını görmek için sohbetleri izledi ve ardından bu bilgileri kurbanlarla iletişim kurmak için kullandı.

Ancak NEW Cooperative’in saldırısı manşetlere çıktıktan sonra, beklenmedik ziyaretçiler BlackMatter’ın ödeme pazarlığı yaptığı sohbet odalarında hakaretler bırakmaya başladı. BlackMatter, NEW Cooperative’in verilerini “veri kurtarma yönergelerini” ihlal ettiği için çevrimiçi olarak sızdırmakla tehdit ettiğinde, birisi BlackMatter suçlusunun annesine yönelik tatsız bir hakaretle yanıt verdi.

NEW Cooperative’in bir temsilcisi sohbette, yorumun kendilerinden değil, “internetten rastgele kişilerden” geldiğini açıkça belirtti. ” Değişim, BlackMatter’ın çevrimiçi sohbetlerine erişimi kapatmasını ve giren herkesi incelemeye başlamasını istedi. Bu süreçte Emsisoft, kurbanlara ulaşmanın önemli bir yolunu kaybetti.

Emsisoft, BlackMatter’ı ihbar etmeden gizli yeteneğini yayınlayamayacağını biliyordu. Ancak şirket, verileri çevrimiçi olarak yayınlanan birkaç BlackMatter kurbanına hala ulaşabildi. (Baskı eklemek için, fidye yazılımı grupları, ödeme yapmayı reddettiğinde artık kurbanın bilgilerini çevrimiçi olarak yayınlıyor. ) Emsisoft, olabildiğince çok kurbana ulaşmak için CISA ve diğer kurumlarla da yakın işbirliği içinde çalıştı.

Emsisoft’ta bir tehdit analisti olan Brett Callow, “Fidye yazılımı operatörlerinin bu kadar çok suçtan kurtulmasının nedeni, yakın zamana kadar çok az işbirliği ve iletişim olmasıydı” dedi. “Bu, özel/kamu-sektör işbirliğinin kârlarına önemli ölçüde zarar verebileceğini gösteriyor. ”

Emsisoft, zamanının tükendiğini biliyordu. Kaçınılmaz olarak, BlackMatter neden bu kadar çok kurbanın fidye ödemeyi bıraktığını veya birçoğunun neden yanıt vermeye tenezzül etmediğini merak etmeye başlayacaktı.

Sonunda, geçen ay BlackMatter hatayı yakaladı. Emsisoft ve diğer şirketlerdeki araştırmacılar için çizim tahtasına geri döndü.

Bay Wosar, “Artık mağdurlara gerçekten yardım edemiyoruz, ancak oldukça uzun bir süremiz vardı” dedi.