Fidye yazılımı saldırıları bireylere, şirketlere ve altyapı kurumlarına yılda milyarlarca dolarlık fatura çıkartırken, siber suç örgütlerine ise aynı ölçüde kazandırıyor. Fidye yazılımı saldırılarının bu kadar popüler olmasının sebebi ise işe yaramaları. Neticede attığınız taş kolunuzu yormaya değmeli, öyle değil mi?
Son dönemde fidye yazılımı saldırılarına odaklanan birçok siber terörist de böyle düşünüyor…
Merak etmeyin, bu bir hacker işe alım ilanı değil, aksine acı gerçeklerin ilanı. Kurbanlarına direkt olarak saldıran veya bağlı oldukları kuruluşlar üzerinden şantaj yaparak elde edilen gelirleri kesinlikle onaylamıyoruz.
Aynı şekilde, dünyanın en büyük firmaları ve hükümetleri de bizimle aynı fikirde ancak zararın faturası her geçen gün büyümeye devam ediyor…
Fidye çeteleri nasıl çalışıyor, şirketlerden ve organizasyonlardan nasıl milyonlarca dolar koparmayı başarıyorlar?
Bu karanlık dünyanın nasıl işlediğini merak ediyorsanız sıkı durun çünkü tehlikeli sulara açılmaya başlıyoruz. İşte karşınızda dünyanın en büyük siber fidyecileri ve onların dudak uçuklatan icraatları.
REvil
REvil (Sodinokibi) fidye çetesi, Nisan 2019’da ortaya çıkan Rusya merkezli bir RaaS operasyonu. Rusya Federal Hizmet Ajansı ile bağlantılı olduğu iddia edilen bu grup acımasızlığıyla tanınıyor. REvil, teknik becerileri ve seçtiği yüksek profilli hedefler ile siber güvenlik uzmanlarının hızlıca dikkatini çekti.
2021 yılı hacker grubu için kârlı geçerken, birçok endüstriden çok uluslu firmaları ağına düşürmeyi başardı.
Acer için 2021 baharı oldukça buruk geçti. REvil tarafından gerçekleştirilen fidye yazılımı saldırısı sonrası gelen 50 milyon dolarlık talep, Tayvan merkezli firmayı sıcak bir bahar gününden çok daha fazla terletti. REvil’in ise hiç durmaya niyeti yoktu. Takip eden ayda Apple’ın tedarikçilerinden biri olan Quanta Computers hedef tahtasındaki isim oldu. İstenen fidye yine 50 milyon dolardı. Quanta üzerinden Apple’a şantaj yapmaya çalışan grup, ne bu çabasının ne de Acer’a gerçekleştirdiği saldırıdan umduğu parayı kazanamadı.
2021 yılının siftahı ise 11 milyon dolarla JBS Foods, Invenergy, Kaseya ve diğer birçok işletmeyi hedef alan zincir bir saldırı ile geldi.
Kaseya saldırısı, dünya çapında 1500’den fazla işletmeyi doğrudan etkilediği için grubun üzerindeki baskıyı oldukça artırdı. Bunun sonucunda Rus yetkilerinin Ocak 2022’de düzenlediği bir operasyonla birkaç grup üyesi tutuklandı. Ancak Nisan 2022 itibari ile grubun faaliyetlerine tekrardan döndüğü biliniyor..
Conti
Conti, 2018’in sonlarından bu yana manşetlere çıkan bir başka kötü şöhretli fidye yazılımı çetesidir.
Conti’nin yöntemi ise fidyenin ödenmemesi durumunda elde edilen hassas verilerin sızdırılması. Aklınıza nerede, nasıl yayınlıyor gibi sorular gelebilir. Cevabı ise oldukça basit; bu korsan grubunun çaldıkları verileri yayınladıkları Conti News adlı bir web sitesi bulunuyor.
Conti’nin diğer hacker gruplarından ayrıldığı özelliği ise herhangi bir etik sınırının olmaması.
İster eğitim ister sağlık sektöründe olun, eğer milyon dolarlar ödeyebilecek gücünüz var ise sıradaki hedef siz olabilirsiniz. Conti fidye yazılımı grubu, sağlık, enerji, BT ve tarım gibi kritik kamu altyapılarını hedefleme konusunda kabarık bir sabıkaya sahip.
Grup, Aralık 2021’de Endonezya’nın merkez bankasına sızdığını ve 13,88 GB hassas veri ele geçirdiğini açıkladı.
Grup Şubat 2022’de ise uluslararası bir terminal operatörü olan SEA-invest’e de saldırdı.
Avrupa ve Afrika’da 24 liman işletmesi, gıda, petrol, doğalgaz ve konteyner taşımacılığı yapan şirket, uğradığı saldırı sonucu 24 limanında uluslararası çapta aksaklıklar yaşadı.
Conti, nisan ayında Broward County Devlet Okullarını da tehlikeye atmış ve fidye olarak 40 milyon dolar talep etmişti. Fidyenin ödenmesi reddedildikten sonra ise Conti News’a yeni “özel haberler” geldiğini duymak sizi şaşırtmayacaktır. Kosta Rika’da da durum farklı olmadı. Conti’nin çeşitli devlet kurumlarına yönelik saldırılarının ardından ülke çapında acil durum ilan edilmişti.
DarkSide
DarkSide fidye yazılımı grubu da REvil gibi RaaS modelini kullanıyor ve büyük işletmeleri hedefliyor. Bunu, genellikle kimlik avı veya kaba kuvvet saldırılarıyla bir şirketin ağına erişim sağlayarak yapıyor ve ağdaki mümkün olan tüm verileri ele geçirmeye çalışıyor.
DarkSide fidye yazılımı grubunun kökeniyle ilgili birkaç teori bulunuyor. Bazı analistler Doğu Avrupa, Ukrayna veya Rusya’nın bu gruba ev sahipliği yaptığı konusunda hemfikir.
Diğerleri ise grubun İran ve Polonya da dahil olmak üzere birçok ülkede faaliyet gösterdiğine inanıyor.
DarkSide büyük fidye taleplerinde bulunurken, belirli prensiplere sahip olduğunu her defasında dile getiriyor.
Grup, okulları, hastaneleri, devlet kurumlarını ve halkı etkileyen herhangi bir altyapıyı asla hedef almadığını iddia ediyordu. Mayıs 2021’de gerçekleşen Koloni Boru Hattı saldırısı ve talep edilen 5 milyon dolar ise terörist grubun çizmeye çalıştığı etik portreyi ortadan kaldırdı.
Bu saldırı, ABD tarihinde petrol altyapılarına gerçekleştirilen en büyük saldırıydı ve 17 eyaleti etkiledi. Olayın ardından kritik altyapının güvenliği ülke çapında bir numaralı tartışma konusu oldu.
DarkSide fidye yazılım grubu, saldırıyı üstlenmeyerek başkalarını suçladı ancak ABD’den peşlerine düşmesinin ardından baltayı taşa vurduklarını fark ederek faaliyetlerini durdurmaya karar verdiler.
DoppelPaymer
Nisan 2019’da ortaya çıkan BitPaymer fidye yazılımının halefi olan DoppelPaymer, kurbanlara ulaşmak ve bitcoin cinsinden fidye talep etmek için alışılmadık bir yöntem kullanıyor. DoppelPaymer’ın Kuzey Kore merkezli olduğunu iddia ediliyor.
Conti ile aynı saldırı stratejisini uygulayan çetenin etkinliği Koloni Boru Hattı saldırısından sonra oldukça azaldı. Ancak birçok analist grubun dağılmadığına, sadece Grief adlı yeni bir organizasyon adı altında yeniden toplandığına inanıyor. DopplePaymer sıklıkla petrol şirketlerini, otomobil üreticilerini, sağlık, eğitim ve acil servisler gibi kritik sektörleri hedefliyor. Gerçekleşen bir siber saldırı sonucu Almanya’da acil servis personelinin hastane ile iletişim kuramaması sebebiyle bir hastanın ölümüne neden olan ilk fidye yazılımına imza atarak kötü ünlerini daha da vahim bir hale getirdiler.
Grup, ABD’de de Georgia, Hall County’de seçmenlere ait kişisel bilgileri ele geçirip yayınlayarak yeniden gündeme oturdu. DopplePaymer, geçtiğimiz yıl Kia Motors America’nın müşteriye yönelik sistemlerini de tehlikeye attı ve hassas verileri çaldı. Zararın faturası ise o zamanlar yaklaşık olarak 20 milyon dolara denk gelen 404 bitcoin olmuştu. Günümüzde 404 bitcoin yaklaşık olarak 8,1 milyon dolar değerinde.
LockBit
LockBit, diğer grupların düşüşü sayesinde yükselişe geçen bir fidye yazılımı çetesi. 2019’daki ilk sahneye çıkışlarından bu yana, LockBit benzeri görülmemiş bir büyüme gösterdi ve kötücül taktiklerini önemli ölçüde geliştirdi.
LockBit suç kariyerine düşük profilli bir çete olarak başladı ancak 2021’in sonlarında ortaya çıkan LockBit 2.0 ile oldukça popülerlik kazandı.
LockBit şu anda etkili fidye yazılımı gruplarından birisi ve Mayıs 2022’deki tüm fidye yazılımı saldırılarının yüzde 40’ından fazlasını üstlendi. LockBit, 2022’nin başlarında çok uluslu bir Fransız merkezli şirket olan Thales Group’u hedef aldı ve fidye taleplerinin karşılanmaması durumunda hassas verileri sızdırmakla tehdit etti.
Fransız Adalet Bakanlığı da bu çetenin saldırısına uğradı. Yakın zaman önce İtalyan Vergi Dairesi (L’Agenzia delle Entrate) de 100 GB’lık hassas veriyi LockBit’e kaptırdı.
Fidye saldırılarından nasıl korunabilirsiniz?
Fidye yazılımları, her yıl bu kötü şöhretli çeteler için milyonlarca dolar gelir sağlayan gelişen bir kara endüstri olmaya devam ediyor.
RaaS modelinin avantajalrı ve artan kullanılabilirliği göz önüne alındığında, bu tehditlerin giderek artması işten bile değil.
Fidye yazılımı saldırıları, neredeyse diğer tüm siber saldırılar gibi insan hatalarından faydalanıyor. Dolayısıyla, her kurumun siber güvenlik inisiyatiflerinin merkezinde çalışanlar olmalı. Çalışanlarınızı siber tehditlere ve fidye saldırılarına karşı eğitmek, birçok saldırıya geçit vermenizi önleyebilir.
Oltalama saldırılarının çoğunlukla fidye saldırıları için bir geçiş aracı olarak kullanıldığı gerçeğini göz önünde bulundurduğumuzda, siber güvenlik eğitimlerinin önemi iyiden iyiye ortaya çıkıyor.
Siber güvenlik bilinci taşımak ve kapsamlı güvenlik stratejileri yürütmek, fidye yazılımlarıyla mücadelede önemli adımlar.
Henüz birinci sınıf bir güvenlik aracına yatırım yapmaya hazır değilseniz, bilgisayarınızı güvende tutmak için Windows’un yerleşik fidye yazılımı koruma araçlarını kullanabilirsiniz.
Fidye saldırılarının yalnızca bazıları ve genellikle en büyük kapsamlı olanları medyaya yansıyor. Organizasyonunuzun ölçeği ne olursa olsun kendinizi bu tehlikelerden muaf sanmamalısınız. Zira fidye yazılımı saldırısı gerçekleştiren tek gruplar bunlar değil ve birçok özenti fidye çetesi KOBİ’leri hedefliyor.
Bu yazı Digital Report Dergisinin 15. sayısında yayınlanmıştır.
