Yeraltı ekonomisi patlıyor – artan ve gelişen bir fidye yazılımı sektörü tarafından teşvik ediliyor. Dark Web’de artık çok çeşitli profesyonel fidye yazılımı ürün ve hizmetlerinin çeşitli fiyat noktalarında bulunabileceği yüzlerce gelişen pazaryeri var.
Venafi ve Forensic Pathways’den araştırmacılar, Kasım 2021 ile Mart 2022 arasında forumlar ve pazar yerleri dahil olmak üzere yaklaşık 35 milyon Dark Web URL’sini analiz etti ve fidye yazılımı türleri, fidye yazılımı kaynak kodu, derleme ve özel geliştirme hizmetleri ve tam kapsamlı listelerle dolu 475 web sayfasını ortaya çıkardı. hizmet olarak fidye yazılımı (RaaS) teklifleri.
Çok Sayıda Fidye Yazılımı Aracı
Araştırmacılar, sayfalarda satılık olarak listelenen 30 farklı fidye yazılımı ailesi belirledi ve DarkSide/BlackCat, Babuk, Egregor ve GoldenEye gibi daha önce yüksek profilli hedeflere yönelik saldırılarla ilişkilendirilen iyi bilinen varyantlar için reklamlar buldu. Bu kanıtlanmış saldırı araçlarının fiyatları, daha az bilinen varyantlardan önemli ölçüde daha yüksek olma eğilimindeydi.
Örneğin, Colonial Pipeline saldırısında kullanılan fidye yazılımı olan DarkSide’ın özelleştirilmiş bir sürümü, 0,99 ABD doları gibi düşük bir fiyatla mevcut olan bazı varyantlarla karşılaştırıldığında 1,262 ABD Doları olarak fiyatlandırıldı. Bu arada Babuk fidye yazılımının kaynak kodu 950 dolardan listelenirken, Paradise varyantınınki 593 dolara satıldı.
Başkan Yardımcısı Kevin Bocek, “Muhtemelen diğer bilgisayar korsanları, açık kaynaklı bir çözüm kullanan ve onu şirketlerinin ihtiyaçlarına göre değiştiren bir geliştiriciye benzer şekilde, onu değiştirmek ve kendi varyasyonlarını oluşturmak için fidye yazılımı kaynak kodu satın alacaklardır” diyor. Venafi’de güvenlik stratejisi ve tehdit istihbaratı.
Bocek, tehdit aktörlerinin geçen yıl Washington DC polis departmanına yapılan bir saldırıda kullanılan Babuk gibi varyantlarla elde ettiği başarının kaynak kodunu daha çekici hale getirdiğini söylüyor. “Böylece bir tehdit aktörünün neden kendi fidye yazılımı varyantını geliştirmek için bu türü temel olarak kullanmak istediğini anlayabilirsiniz.”
Deneyim Gerekmiyor
Venafi araştırmacıları, birçok durumda, adım adım öğreticiler de dahil olmak üzere bu pazar yerleri aracılığıyla sunulan araç ve hizmetlerin minimal teknik becerilere sahip saldırganlara izin vermek için tasarlanmıştır ve kendi seçtikleri kurbanlara karşı fidye yazılımı saldırıları başlatma deneyimi.
Bocek, “Araştırma, fidye yazılımı türlerinin doğrudan Dark Web’den satın alınabileceğini, ancak bazı ‘satıcıların’ teknik destek gibi ek hizmetler ve fidye yazılımı saldırıları için öldürülemeyen işlemler gibi ücretli eklentiler ve öğreticiler sunduğunu ortaya çıkardı” diyor. .
Diğer satıcılar, ilk erişim hizmetlerinin fidye yazılımı aktörleri arasında, hedef ağda bir yer edinmek için artan kullanımının olduğunu bildirdi. İlk erişim aracıları (IAB’ler), daha önce güvenliği ihlal edilmiş bir ağa erişimi diğer tehdit aktörlerine satan tehdit aktörleridir.
İlk Erişim Komisyoncuları Yeraltı Ekonomisinde Gelişiyor
Intel471 tarafından bu yılın başlarında yapılan bir araştırma, büyüyen bağ fidye yazılımı aktörleri ve IAB’ler arasında. Bu alandaki en aktif oyuncular arasında, yılın ilk çeyreğinde 1.195’e kadar güvenliği ihlal edilmiş ağa erişim sunduğu görülen bir tehdit aktörü olan Jüpiter; ve aynı zaman diliminde satılık 1.300’den fazla erişim kimlik bilgilerini listeleyen Neptune.
Intel471’in bu hizmetleri kullanırken tespit ettiği fidye yazılımı operatörleri arasında Avaddon, Pysa/Mespinoza ve BlackCat bulunuyor.
Genellikle erişim, güvenliği ihlal edilmiş Citrix, Microsoft Remote Desktop ve Pulse Secure VPN kimlik bilgileri aracılığıyla sağlanır. Dark Web’deki çeşitli ürün ve hizmetlerin fiyatlarını takip eden Trustwave’in SpiderLabs’i, VPN kimlik bilgilerini yer altı forumlarındaki en pahalı kayıtlar olarak tanımlıyor. Satıcıya göre, VPN erişimi fiyatları 5.000 dolara kadar çıkabilir – ve daha da yüksek – organizasyonun türüne ve sağladığı erişime bağlı olarak.
Bocek, “Son birkaç yıldır olduğu gibi bir fidye yazılımı saldırısının devam ettiğini görmeyi bekliyorum,” diyor Bocek, “Makine kimliklerinin kötüye kullanılması, fidye yazılımlarının tek tek sistemlere bulaşmaktan bulut gibi tüm hizmetleri ele geçirmeye doğru ilerlediğini de görecek.” hizmet veya bir IoT cihazları ağı.”
Parçalanmış Bir Manzara
Bu arada, bu hafta yayınlanan başka bir araştırma – Check Point tarafından yıl ortası tehdit raporu – fidye yazılımı ortamının genel olarak algılanandan çok daha fazla oyuncuyla dolu olduğunu gösteriyor. Check Point araştırmacıları, şirketin olay müdahale görevlerinden elde edilen verileri analiz etti ve Conti, Hive ve Phobos gibi bazı fidye yazılımı varyantlarının diğer varyantlardan daha yaygın olmasına rağmen, saldırıların çoğunluğunu hesaba katmadıklarını buldu. Aslında, Check Point mühendislerinin yanıt verdiği fidye yazılımı olaylarının %72’si, daha önce yalnızca bir kez karşılaştıkları bir varyantı içeriyordu.
“Bu, bazı varsayımların aksine, fidye yazılımı ortamının yalnızca birkaç büyük grubun egemenliğinde olmadığını, aslında bir parçalanmış ekosistem Rapora göre, daha büyük gruplar kadar iyi tanıtılmayan birden fazla küçük oyuncuyla” dedi.
Check Point – Venafi gibi – fidye yazılımlarının son birkaç yıldır olduğu gibi kurumsal veri güvenliği için en büyük riski sunmaya devam ettiğini belirtti. Güvenlik sağlayıcısının raporu, Conti grubunun bu yılın başlarında Kosta Rika’ya (ve ardından Peru’ya) yönelik fidye yazılımı saldırıları gibi kampanyaları, tehdit aktörlerinin finansal kazanç peşinde koşarak hedeflemelerini ne kadar önemli ölçüde genişlettiğinin örnekleri olarak vurguladı.
Büyük Fidye Yazılım Balıklarının Karnı Şişebilir
Daha büyük fidye yazılımı gruplarının birçoğu, yüzlerce bilgisayar korsanı istihdam ettikleri, yüz milyonlarca dolar gelir elde ettikleri ve Ar-Ge ekipleri, kalite güvence programları ve uzman müzakereciler gibi şeylere yatırım yapabilecekleri bir noktaya geldi. Check Point, giderek daha büyük fidye yazılımı gruplarının ulus-devlet aktör yetenekleri edinmeye başladığı konusunda uyarıyor.
Check Point, aynı zamanda, bu tür grupların hükümetlerden ve kolluk kuvvetlerinden toplamaya başladığı yaygın ilginin, muhtemelen onları bir hukuk profilini sürdürmeye teşvik edeceğini söylüyor. Örneğin, ABD hükümeti bir teklifte bulundu. 10 milyon dolarlık ödül Conti üyelerinin belirlenmesine ve/veya yakalanmasına yol açan bilgiler için ve Conti kullanarak yakalanan gruplar için 5 milyon dolar. Sıcaklığın, Conti grubunun bu yılın başlarında operasyonları durdurma kararına katkıda bulunduğu düşünülüyor.
Check Point raporunda “Conti fidye yazılımı grubundan bir ders alınacak” diyor. “Boyutu ve gücü çok fazla dikkat çekti ve çöküşü oldu. İleride, radarın altına daha kolay girebilmeleri için birkaç büyük grup yerine çok sayıda küçük-orta grup olacağına inanıyoruz.”