Hizmet olarak fidye yazılımı iş modeli, Colonial Pipeline saldırısının ardından darbe aldı

Siber suç çeteleri, fidye yazılımı saldırılarını destekleyen bağlı kuruluş programları için ortaklar bulmakta zorlanıyor.

Soyut Kötü Amaçlı Yazılım Ransomware virüsü, ikili bit kırmızı arka planda tuş takımı ile dosyaları şifreledi. Vektör çizim siber suç ve siber güvenlik kavramı.

Resim: iStockphoto/güzel sahne

Sürekli artan dalgayı durdurmanın en iyi yolu fidye yazılımı saldırılar, bu siber suçların arkasındaki mali teşviki ortadan kaldırmaktır. Yanıt Colonial Pipeline fidye yazılımı saldırısı bunu yapmanın ilk adımı olabilir. Hem hükümetler hem de hacker forumları, fidye yazılımı çetelerinin bir hizmet olarak fidye yazılımı (RaaS) modelini kullanmasını zorlaştırdı. Bu ölçeklenebilir iş modeli birkaç grup gerektirir: şifreleme yazılımı yazacak mühendisler, hedefleri bulup uzlaşmak için ağ sızma uzmanları ve maksimum ödemeyi sağlamak için profesyonel müzakereciler.

Flashpoint'te kıdemli bir analist olan Bryan Oliver, Koloni Boru Hattı saldırısının ardından hükümetlerden tepki fidye yazılımı gruplarının ortak bulmasını zorlaştırdı.

Oliver, "Hükümetin eyleminin ana sonucu, en üst düzey yeraltı Rus forumlarından fidye yazılımı grup alımının yasaklanması oldu." Dedi.

Oliver, bu değişikliğin fidye yazılımı saldırılarını yakın zamanda sona erdirmeyeceğini, ancak hizmet olarak fidye yazılımı modelini daha az karlı hale getirdiği için önemli bir adım olduğunu söyledi.

"İstismar ve XSS forumları bu fidye yazılımı grupları için işe alım zeminiydi ve bunlara erişimi kaybetmek, yeni ortaklara erişimi kaybetmek anlamına geliyor" dedi.

Oliver, bu forumların yöneticilerinin de Karanlık taraf Mayıs ayı ortasında kolektif ve yaklaşık 1 milyon dolarlık depozitolarını DarkSide tarafından ödenmediğini iddia eden DarkSide "ortaklarına" dağıttı.

"O zamandan beri fidye yazılımı alımıyla ilgili forumlarından gönderileri de kaldırdılar" dedi.

Guardicore'un Kuzey Amerika araştırma başkan yardımcısı Amit Serper, ABD ve diğer ulusal hükümetlerin kötü aktörlere karşı mücadelelerini hızlandırmasıyla fidye yazılımı saldırılarında bir değişiklik görmeyi umduğunu söyledi.

"ABD hükümetinin Colonial tarafından ödenen fonların bir kısmına el koymayı başarması, ilginç bir emsal teşkil ediyor" dedi. "Hükümetler kripto para işlemlerini 'anonimleştirmeyi' başarabilir ve çalınan fonlara el koyabilirse, fidye yazılımı saldırıları aniden finansal olarak sürdürülemez hale gelir."

GÖRMEK: Fidye yazılımı saldırısının kuruluşunuza zarar verebileceği birçok yol (Teknik Cumhuriyeti)

FYEO'nun CTO'su Thomas Olofsson, fidye yazılımı kuruluşlarının, Colonial Pipeline saldırısına verilen yanıtın bir sonucu olarak, biraz daha kendi kendini yönetiyor gibi göründüğünü söyledi.

"Birkaç grup, 'Özellikle bir pandemi sırasında sağlık hizmetlerini hedeflemek istemiyoruz, bu yüzden bu hedeflere fidye yazılımı yüklemek için lisansımızı alamayacaksınız' dedi.

FYEO, fidye yazılımı alanında önemli oyuncular olan yaklaşık 13 grubu izliyor. Olofsson ayrıca, Colonial Pipeline saldırısından sonra DarkSide fidye yazılımı grubuna olanlara yanıt olarak fidye yazılımı gruplarının artık bir saldırıya başlamadan önce hedefleri araştırdığını söyledi.

"Bu fidye yazılımı grupları bir sonraki hedef olmak istemiyor" dedi. "Bankalara ve büyük şirketlere saldıran Robin Hood'lar olarak görülmek istiyorlar."

Olofsson, DarkSide grubunun büyük bir petrol şirketini vurduklarını düşündüklerini ve saldırının son kullanıcıları nasıl etkileyeceğini düşünmediklerini söyledi.

"Küçük adama vurursan, iyi görünmüyor çünkü kendin hedef oluyorsun" dedi.

Flashpoint'ten Oliver, REvil gibi bazı fidye yazılımı gruplarının buna RaaS'ın aksine "özel modda" çalışacaklarını iddia ederek yanıt verdiğini, ancak diğerlerinin bunu sonlandırmış olabileceğini söyledi.

"O zamandan beri başka gruplar da ortaya çıktı, örneğin Keder ve Prometheus, ancak nispeten güvenli bir ortamda oldukça yetenekli tehdit aktörlerinden oluşan bir havuzdan işe alma yeteneği olmadan, fidye yazılımları muhtemelen daha az dinamik ve etkili olacaktır" dedi.

Oloffson, kötü aktörlerin de en yaygın hedeflerini düşük meyveden kime saldıracakları konusunda daha seçici olmaya değiştirdiğini söyledi.

"Eskiden rastgele ana bilgisayarlara bulaşan bir botnetti, ancak kötü aktörler artık bir e-posta dizisine girmek için sahte alanlar kurmak ve güvenilir kanallar aracılığıyla insanlara bulaşmak gibi daha fazla çaba harcıyor" dedi.

Olofsson, siber savunmanın geçen yıl daha güçlü olduğunu ancak saldırganların hala bir adım önde olduğunu söyledi.

"Grupların yedeklere saldırması ve merkezi altyapıyı da hedeflemesi daha yaygın hale geliyor" dedi. "Yedekle başlıyorlar ve ardından ana bilgisayarı şifreliyorlar."

Olofsson, şirketlerin saldırılara karşı savunmak için birden fazla ağ geçidi kullanmak ve her şeyin aynı ağa bağlı olmaması gibi katmanlı bir yaklaşım kullanması gerektiğini söyledi. Ayrıca VPN yoğunlaştırıcılar aracılığıyla gelen saldırıları da gördü.

"Güvenlik ekipleri internette nelerin erişilebilir olduğunu izlemeli ve herhangi bir VPN yoğunlaştırıcı veya internetten erişilebilen şeyler olmadığından emin olmalı, çünkü bağlı olan her şey günde en az 10 kez taranıyor" dedi.

Ayrıca bkz.

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*