Kasım ayında, uluslararası bir görev gücünün Emotet’in sunucularını ve altyapısını kapatmasından 10 ay sonra, botnet tekrar çevrimiçi oldu.
Ayın ikinci yarısında bir dizi İspanyolca mesajla kötü amaçlı yazılım yayan yeni Emotet, Ocak ayında kaldırılan önceki sürümden farklı iletişim şifrelemesi ve ek komutlar kullanan iki botnetten oluşuyordu. Kaldırma sırasında, tehdit, dünya çapındaki kuruluşlara yönelik saldırıların %7’sini oluşturuyordu ve genellikle saldırganlar tarafından ele geçirilen 1,6 milyon makineye kötü amaçlı yazılım veya fidye yazılımı dağıttı.
Emotet’in canlanması, birçok botnet yayından kaldırma işleminin kalıcı olmadığını gösteriyor. Tehdit istihbarat firması Team Cymru’nun bir üyesi olan David Monnier, 2020’de TrickBot’un yeniden canlanmasının yanı sıra Emotet’in yeniden canlanmasının endüstrinin ve devlet kurumlarının taktiğin yeniden gözden geçirilmesi veya revize edilmesi gerekip gerekmediğine dikkatle bakması gerektiğini gösterdiğini söylüyor.
“Her şeyde olduğu gibi, sormamız gereken son derece geçerli bir soru: İstediğiniz sonuçları almıyorsanız, [you] onun yerine farklı bir şey mi yapıyoruz?” diyor. “İyi mi oluyoruz yoksa bu mu? [the movie] ‘Kunduz Festivali’?”
Geçici Kesintiler
On yıldan fazla bir süre önce Microsoft, özel şirketlerin botnet’leri ortadan kaldırmasına izin vermek için yasal önlemler kullanmaya öncülük etti. Daha sonra bir dizi yayından kaldırma işleminden daha fazlası, şimdi genellikle kolluk kuvvetleri ve özel sektör ortaklarını içeren çok kuruluşlu çabalar, genellikle botnet altyapılarını yalnızca geçici olarak bozar. Örneğin, Trickbot’un operatörleri, ilk yayından kaldırmanın ardından birkaç hafta içinde ağı canlandırmaya başladı.
Emotet’in durumunda, yayından kaldırma 10 aylık bir ara verdi ve bu süre zarfında botnet operatörleri, enfeksiyon ve yük zincirinin parçaları için artan siber suç hizmetlerinin kullanımından uzaklaşmak gibi değişiklikler yaptı, diyor Scott Scheferman. Bir aygıt yazılımı ve donanım güvenliği firması olan Eclypsium’da baş siber stratejisti.
“Bu aktörlerin çok dayanıklı ve çok parası var. Sonuç olarak, kolayca uyum sağlayabilirler” diyor. “Dağıtım üçlüsüne, bir Trickbot yükleyicisine ve fidye yazılımı düşüşüne geri dönüyorlar. Her şeyi bir hizmet olarak kullanmak yerine merkezi olarak kendi içlerine çekiyorlar.”
Savunucular için temel sorun, altyapı kesintiye uğrayabilirken, saldırıların arkasındaki kişilerin – genellikle liberal siber suç yasalarına sahip suç ortağı ülkeler tarafından korunan – özgür olmaları ve kötü niyetli dağıtım ağlarını yeniden inşa etmek için çalışmaya devam edebilmeleridir. Amerika Birleşik Devletleri ve diğer ülkeler, genel olarak siber suçları ve özellikle de fidye yazılımlarını azaltmak için daha agresif önlemlere odaklansa da, siber suçlar birçok grup için operasyonlarını kısmak için çok karlı.
Tehdit istihbarat firması Intel 471’in istihbarat şefi Michael DeBolt, “Üretken hale gelen bu sofistike aktörlerin çoğu – Emotet grupları ve REvil grupları – gerçekten Batı’nın onlara dokunamayacağı yerlerde faaliyet gösteriyorlar” diyor. , bu tür olumsuzlukların aktiviteyi değerli kılmadığını da sözlerine ekledi. “Yine de daha yüksek bir düzeyden, karmaşık gruplara yönelik bozulma çabaları, yalnızca kolluk kuvvetlerinin değil, aynı zamanda özel sektör gruplarının da hedefi olmalıdır.”
Belirli aktörlerin altyapısını ortadan kaldırmanın yanı sıra, kurşun geçirmez barındırma gibi kritik suç altyapısını belirlemeye ve bozmaya odaklanmanın da daha uzun vadeli faydalar sağlayabileceğini ekliyor. Örneğin 2011’de araştırmacılar, spam reklamı yapılan ürünlerin satış gelirlerinin %95’inin yaklaşık bir düzine banka tarafından işlendiğini ve bu da mali yetkililerin geniş bir suç grubunu engellemesine izin verdiğini keşfetti.
Savunucuların ve hükümet yetkililerinin mevcut siber suç ortamında benzer temel taşları belirlemesi gerekiyor.
DeBolt, “Bunun sonucu, siber suçluların iş yapmak için ihtiyaç duyduğu zamanı, parayı ve çabayı artırabilecek sorunlu noktaları gerçekten belirlemektir” diyor. “Bir sunucu ya da arka uç altyapısı belirlersek ve onu indirirsek, görüyoruz, harika, yılanın kafasını tamamen kesmiyor, ama biraz geri çekilmelerine ve rejiglerine neden oluyor ve işte zamanı geldi. , para ve onlar için çaba.”
Tutarlı Çaba
Bazı yayından kaldırma çabaları başarıya yol açtı. GameOver Zeus ve Trickbot gibi diğer kötü amaçlı yazılımlar için bir dağıtım platformu görevi gören Necurs botnet’in kaldırılması büyük ölçüde işe yaramış gibi görünüyor. Sessiz kalan ve daha önce geri dönen botnet, Microsoft ve Bitsight’ın öncülük ettiği bir yayından kaldırmanın ardından Mart 2020’de büyük ölçüde ortadan kalktı.
Yine de, birçok saldırgan bu tür eylemlerden ders alır ve geri döner, taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) geliştirir. Neyse ki, Team Cymru’dan Monnier, savunucuların ve kolluk kuvvetlerinin de yayından kaldırma çabalarında daha verimli hale geldiğini söylüyor. Şu anda denge saldırganların lehine gibi görünse de, kesinti çabalarının savunucuların başarması için daha az zaman alması ve saldırganların toparlanması için daha fazla zaman ve çaba göstermesi durumunda, sunucuları ve altyapıyı – geçici olsa da – çökertmek buna değecektir, diyor.
Eski ABD Deniz Kuvvetleri, bu çabaları kesintiye uğratabilecek gümüş bir kurşun veya tek bir olay olması gerekmediğini, ancak tutarlı bir çabanın gruplar üzerindeki baskıyı sürdüreceğini ve siber suçları daha az karlı hale getireceğini söylüyor.
Monnier, “Deniz Piyadeleri’nde bir sözümüz var: Disiplinin acısı ile pişmanlığın acısı arasında bir seçeneğiniz var” diyor. “Aynı yaklaşımı, aynı azmi izlemeliyiz. İşlerini onlar için zorlaştırdığımız sürece yapmalıyız.”