Fidye yazılımı operatörlerinin dosyaları yerinde şifrelemekten memnun olduğu ve kurbanlarından şifre çözme anahtarı için az ya da çok ihtiyatlı bir şekilde para talep ettiği günler geride kaldı. Şu anda yaygın olarak bulduğumuz şey, genellikle Double-Extortion (veya bizim deyimimizle: Cyber Extortion veya Cy-X) olarak adlandırılan, çalınan verileri sızdırma tehdidiyle birlikte şifrelemedir. Bu, ‘kurbanı utandırma’ sızıntı siteleri aracılığıyla bazı cezai eylemleri gözlemleyebildiğimiz ve analiz edebildiğimiz benzersiz bir siber suç biçimidir.
Ocak 2020’den bu yana, bu sitelerde yer alan mağdurları kaydetmek ve belgelemek için bu sitelerin mümkün olduğunca çoğunu belirlemeye kendimizi adadık. Çeşitli Cy-X operatörlerinden ve pazar sitelerinden alınan verileri kendi araştırmamızı, analiz etmeyi ve zenginleştirmeyi ekleyerek, bu özel perspektiften mağdurolojiye doğrudan içgörü sağlayabiliriz.
Analiz ettiğimiz şeyin suça dair sınırlı bir bakış açısı olduğu konusunda net olmalıyız. Bununla birlikte, sızıntı tehditlerinin analizinden toplanan veriler son derece öğreticidir.
Bir Cy-X sızıntı sitesinde güvenliği ihlal edilmiş bir organizasyonun listelenmesinden ‘sızıntı tehdidi’ olarak bahsedeceğiz. Aşağıdaki çizelgelerin çoğunda göreceğiniz rakamlar, son iki yılda tespit edip takip edebildiğimiz Cy-X gruplarının soğan sitelerindeki bu tür bireysel tehditlerin sayılarını gösterir.
Sızıntı tehditlerinde patlama
Gözlemlediğimiz ortamın kaprislerine rağmen, benzersiz sızıntıların sayısı, bu suçun ölçeği ve zaman içindeki genel eğilimleri için güvenilir bir vekil görevi görüyor. 2020’nin ilk çeyreğinden 2021’in üçüncü çeyreğine kadar sızıntı tehditlerinde neredeyse altı kat artış gözlemledik.
Kaynak: Orange Cyberdefense Security Navigator 2022 |
Paranın olduğu yerde grev: Ülkelere göre sızıntı tehditleri
Kurbanların faaliyet gösterdiği ülkelere bir göz atalım.
Kaynak: Orange Cyberdefense Security Navigator 2022 |
Yukarıdaki grafikte, veri setimizde yer alan ilk 10 ülke için ülke başına 2020 ve 2021 sızıntı tehdidi sayılarını gösteriyoruz. Ayrıca en zengin 12 ülke için tahmini Gayri Safi Yurtiçi Hasıla’yı (GSYİH) gösteriyoruz[1].
En çok mağdur olan ülkeler, veri setimizde nispeten sabit kaldı. Genel bir kural olarak, bir ülkenin veri setimizdeki sıralaması, o ülkenin göreli GSYİH’sini takip eder. Bir ülkenin ekonomisi ne kadar büyükse, o kadar fazla kurban olması muhtemeldir. Gerçekten de, ilk on Cy-X kurbanı ülkeden sekizi, dünyanın ilk 10 ekonomisi arasında yer alıyor.
Buradan çıkardığımız sonuç, bir ülkedeki göreceli kurban sayısının o ülkedeki çevrimiçi işletme sayısının bir fonksiyonu olduğudur. Bu, Cy-X aktörlerinin zaman zaman belirli ülkelerdeki veya bölgelerdeki hedeflere kasıtlı olarak saldırmadıklarını kesin olarak kanıtlamaz. Ayrıca, yüksek GSYİH’li bir ülkedeki bir işletmenin, düşük GSYİH’li bir ülkedeki bir kurbandan daha fazla saldırıya uğrama olasılığının daha yüksek olduğunu söylemek de değildir (çünkü, o ülkede daha fazla işletme ifşa edildiğinde, olasılıklar eşit değildir).
Bize göre, bu verilerden çıkarılacak sonuç, hemen hemen her ülkedeki işletmelerin tehlikeye atıldığı ve gasp edildiğidir. Mantıksal olarak, bir ülke ne kadar çok işletmeye sahipse, o kadar çok kurban göreceğiz.
Kuralın istisnaları
Bunu söyledikten sonra, Cy-X kurbanları listemizde alt sıralarda yer alan büyük GSYİH’li ülkelerin karşı örnekleri olarak Hindistan, Japonya, Çin ve Rusya’yı yukarıdaki çizelgeye dahil etme özgürlüğünü aldık.
2021 GSYİH’si 2,72 trilyon dolar olarak tahmin edilen Hindistan ve 13,4 trilyon dolar olan Çin’in yeterince temsil edilmediği görülüyor ve bunun birkaç nedeni olabilir. Örneğin Hindistan’ın büyük bir nüfusu ve buna bağlı olarak büyük bir GSYİH’sı var, ancak kişi başına düşen GSYİH daha düşük ve ekonomi genellikle daha az modernize ve dijital görünüyor, bu da hedeflenecek daha az çevrimiçi işletme anlamına geliyor. Suçlular, Hintli işletmelerin dolar bazlı fidyelerini ödeyebileceklerinden veya ödeyeceklerinden şüphe duyabilirler. Dil de bir rol oynayabilir – İngilizce iletişim kurmayan işletmelerin yerini belirlemek, anlamak, gezinmek ve anlaşmak daha zordur ve kullanıcılarının metalaştırılmış sosyal mühendislik araçlarını kullanarak sömürülmesi daha zordur.
Japonya, kuralımızın bir başka bariz istisnası olarak, oldukça modern bir ekonomiye sahiptir, ancak suçlulara Çin ve Hindistan ile aynı dil ve kültür engellerine sahip olacak ve bu nedenle muhtemelen kurban verilerimizdeki düşük yaygınlığı hesaba katacaktır.
Buradaki sonuç, Cy-X’in İngilizce’den İngiliz olmayan ekonomilere doğru hareket ettiği, ancak şimdilik yavaş olduğudur. Bu muhtemelen, yeni aktörler tarafından körüklenen mağdurlara yönelik artan talebin mantıklı bir sonucudur, ancak aynı zamanda, aktörleri kendilerinin ve yan kuruluşlarının kimi sömürdüğü konusunda daha temkinli hale getiren ABD’den artan siyasi sinyallerin bir sonucu olabilir.
Sebepler ne olursa olsun, buradaki sonuç, kurbanların hemen hemen her ülkede bulunduğu ve şimdiye kadar nispeten etkilenmemiş görünen ülkelerin, bunun böyle kalacağını ümit edememeleri gerektiğidir.
Tek beden herkese uyar: ‘Büyük oyun avına’ dair kanıt yok
Aşağıdaki çizelgede, ilk 5 aktörle eşlenen veri setimizde iş büyüklüğüne göre kurbanların sayısını gösteriyoruz. Organizasyon boyutlarını küçük (1000 veya daha az çalışan), orta (1000-10.000) ve büyük (10.000+) olarak tanımlıyoruz.
Kaynak: Orange Cyberdefense Security Navigator 2022 |
Gösterildiği gibi, 1.000’den az çalışanı olan işletmeler, tüm sızıntıların neredeyse %75’inin onlardan kaynaklandığı, en sık olarak tehlikeye atılıyor ve tehdit ediliyor. Son iki yılda sektöre, ülkeye ve aktöre göre sızıntı tehdidi verilerimizde bu modeli tutarlı bir şekilde gördük.
Bu modelin en açık açıklaması yine suçluların ayrım gözetmeksizin saldırdığı, ancak dünyada daha fazla küçük işletme olduğudur. Küçük işletmelerin de kendilerini savunmak veya saldırılardan kurtulmak için daha az beceri ve teknik kaynağa sahip olmaları muhtemeldir.
Bu, her işletmenin hedef alınmayı bekleyebileceğini ve bir sızıntı sitesi kurbanı olmanın birincil karar verme faktörünün, işletmenin saldırılara dayanma ve uzlaşmadan kurtulma yeteneği olduğunu bir kez daha göstermektedir.
Şunu da belirtmekte fayda var ki, burada araştırdığımız suç hırsızlık değil şantaj olduğundan, bizi ilgilendiren verinin suçlu için değeri değil, etkilenen dijital varlığın kurban için değeridir.
Dijital değerli varlıklara sahip herhangi bir işletme bu nedenle kurban olabilir. Verilerin ne küçük boyutu ne de algılanan ‘alakasızlığı’ önemli bir koruma sağlamaz veya ‘radarın altında uçar’.
Bu sadece analizden bir alıntıdır. Tehdit aktörleri veya en çok hedeflenen sektörler (ve bir sürü başka ilginç araştırma konusu) gibi daha fazla ayrıntı şurada bulunabilir: Güvenlik Gezgini. Orange Cyberdefense web sitesinde indirilebilir, o yüzden bir göz atın. Buna değer!
Not – Bu makale oldu yazılı ve katkıda bulunan ile Carl Morris, öncülük etmek güvenlik araştırmacı, ve charl kamyonet der Walt, kafa nın-nin güvenlik Araştırma, nın-nin Portakal Siber savunma.