Conti ve Hive fidye yazılımı operatörleri ile kurbanları arasındaki 40’tan fazla konuşmayı kapsayan dört aylık sohbet günlüklerinin analizi, grupların iç işleyişine ve müzakere tekniklerine dair bir fikir verdi.
Bir değiş tokuşta, Conti Ekibinin fidye talebini 50 milyon dolardan şaşırtıcı bir şekilde 1 milyon dolara, %98’lik bir düşüşle önemli ölçüde azalttığı söyleniyor, bu da çok daha düşük bir miktara razı olmaya istekli olduğunu gösteriyor.
Cisco Talos, “Hem Conti hem de Hive, fidye taleplerini azaltmak için hızlıdır ve müzakereler boyunca rutin olarak birçok kez önemli indirimler sunar.” dedim The Hacker News ile paylaşılan bir raporda. “Bu, yaygın inanışa rağmen, fidye yazılımı saldırısının kurbanlarının aslında önemli bir müzakere gücüne sahip olduğunu gösteriyor.”
Conti ve Hive, tehdit ortamındaki en yaygın fidye yazılımı türleri arasında yer alıyor ve Ekim ile Aralık 2021 arasındaki üç aylık dönemde tespit edilen saldırıların kümülatif olarak %29,1’ini oluşturuyor.
Sohbet günlüklerinin gözden geçirilmesinden elde edilen önemli bir çıkarım, iki grup arasındaki iletişim tarzlarındaki zıtlıktır. Conti’nin kurbanlarla yaptığı konuşmalar profesyonel ve kurbanları fidye ödemeye ikna etmek için farklı ikna taktiklerinin kullanılmasıyla göze çarparken, Hive “çok daha kısa, daha doğrudan” gayri resmi bir yaklaşım benimsiyor.
Tatiller ve özel indirimler sunmanın yanı sıra, Conti’nin gelecekteki saldırıları önlemek için “BT desteği” sunduğu ve kurbanlarına, etkilenen varlıkların ağlarını güvence altına almak için atabilecekleri bir dizi adımı listeleyen bir güvenlik raporu gönderdiği biliniyor.
Ek olarak, finansal olarak motive olan grup, bir veri sızıntısının bir sonucu olarak ortaya çıkan itibar kaybı ve yasal sorunlar konusunda mağdurları uyararak ve çalınan bilgileri rakipler ve diğer paydaşlarla paylaşmakla tehdit ederek korkutma taktiklerini kullandı.
“Kurban ağlarını şifreledikten sonra, fidye yazılımı tehdidi aktörleri, (1) çalınan hassas bilgileri herkese açık olarak yayınlamak, (2) kurbanın internet erişimini kesmek ve/veya (3) kurbanın ortaklarını, hissedarlarını veya olayla ilgili tedarikçiler,” CISA not alınmış bu yılın başlarında bir danışma belgesinde.
Diğer bir ayrım noktası, Conti’nin son ödeme tarihlerine ilişkin esnekliğidir. Talos araştırmacısı Kendall McKay, “Bu davranışlar, Conti operatörlerinin eninde sonunda hiç ödeme yapmamak yerine bir miktar ödeme yapmayı tercih eden son derece fırsatçı siber suçlular olduğunu gösteriyor” dedi.
Hive’ın ise kurbanın belirtilen tarihe kadar ödemeyi yapmaması durumunda fidye taleplerini hızla artırdığı gözlemlendi.
Ayrıca Hive’ın şifreleme işlemi sırasında doğruluktan çok hıza vurgu yapması, onu ana anahtarın kurtarılmasına izin veren kriptografik hatalara karşı savunmasız hale getirmesi de dikkate değerdir.
McKay, “Birçok siber suçlu gibi, Conti ve Hive, genellikle bilinen güvenlik açıklarından yararlanmayı da içeren mümkün olan en kolay ve en hızlı yollarla kurbanları tehlikeye atmaya çalışan fırsatçı aktörlerdir.” Dedi. “Bu, tüm kuruluşlara güçlü bir yama yönetim sistemi uygulama ve tüm sistemleri güncel tutma konusunda bir hatırlatmadır.”