Hizmet olarak fidye yazılımı (RaaS) grupları LockBit ve ALPHV (aka BlackCat), diğerlerinin yanı sıra, veri sızıntısı sitelerini hedef alan ve kesintilere ve kesintilere neden olan dağıtılmış hizmet reddi (DDoS) saldırılarının odak noktası olmuştur.
Saldırılar 20 Ağustos’tan beri Cisco Talos tarafından izleniyor ve Quantum, LV, Hive, Everest, BianLian, Yanluowang, Snatch ve Lorenz dahil olmak üzere çok çeşitli diğer RaaS gruplarını içeriyor.
Araştırmacılar, LockBit çetesinin teknik destek kolu “LockBitSupp” tarafından yapılan forum gönderilerinin, saldırıların grubun faaliyetleri üzerinde önemli bir etkisi olduğunu ve yaklaşık 1000 sunucunun saniyede 400’e yakın istekle sızıntı sitesini hedeflediğini belirtti.
“Yukarıda bahsedilen grupların çoğu hala bağlantı sorunlarından etkileniyor ve sık sık bağlantı kesilmesi ve erişilemeyen ana bilgisayarlar dahil olmak üzere veri sızıntısı sitelerinde çeşitli aralıklı kesintilerle karşı karşıya kalmaya devam ediyor; ” bir Talos blog yazısı açıkladı bu hafta.
Gruplar, Quantum grubu örneğinde olduğu gibi, bazı siteler web trafiğini başka bir yere yönlendirirken, diğerleri DDoS korumalarını güçlendirerek farklı şekillerde yanıt verdi.
Blog yazısı yazarları, “Bu faaliyetin, bu bağlı kuruluşların ve operatörlerin yeni mağdur bilgilerini herkese açık olarak yayınlama yeteneğini kesintiye uğratmaya ve engellemeye devam ettiği göz önüne alındığında, çeşitli grupların kendilerine sunulan kaynaklara bağlı olarak farklı yanıtlar verdiğini görmeye devam edeceğiz” dedi. .
Kapanışlar, Hedeflenen Gruplara Dinlenme Zamanı Sağlar
Qualys’in baş tehdit istihbarat analisti Aubrey Perin, RaaS sızıntı sitelerine bir DDoS saldırısı olması durumunda, suç çetesi faaliyetinin kurbanlarının açıkça fayda sağlayacağını söylüyor. Perin, raporun bu saldırıların fidye yazılımı operasyonlarını durdurmada ne kadar etkili olduğunu gösterdiğini ve kesintilerin savunucuların araştırmak için değerli zamanlarına izin verdiğini belirtti.
Perin, “Sızıntı siteleri kapatılırsa, mağdurun altyapısı açıklanamaz” diyor. “Bu tür saldırıların amacı çetelerin faaliyetlerini kesintiye uğratmaktır” diye ekledi, eğer çeteler kurban bilgilerini listeleyemezse, o zaman gasp taktikleri çok daha zor ve bazı durumlarda iyi huylu hale geliyor.
Ancak Perin, günümüzün kötü aktörlerinin giderek daha sofistike hale geldiğini ve hatalardan anında ders aldıklarını, bu nedenle oldukça hızlı bir şekilde geçici çözümler bulabileceklerini ekliyor.
Perin, “Daha olgun çeteler, DDoS saldırıları için hızlı bir şekilde yeniden organize olma ve daha karmaşık karşı önlemleri başlatma çevikliklerini örnekledi” diye açıklıyor. İlk fidye yazılımı yazarlarının “sprey-ve-dua” yöntemlerini kullandıkları yerde Perin, günümüzün kötü aktörlerinin her biri kendi “özel sosunu” uygulayarak fidye yazılımı saldırılarını profesyonel operasyonlar olarak yürüttüğüne dikkat çekiyor.
Perin, “Organizasyonların her birinin kendi stratejileri ve takip ettikleri protokolleri vardır ve RaaS farklı değildir. Her çete en iyi olanı bulur, strateji geliştirir ve uygular” diyor. “Her çetenin operasyonları diğer çetelerin operasyonlarına özgüdür.”
Bu nedenle Perin, belirli bir çetelerin çalışma programı ve stratejisi hakkında daha derin bir anlayışa sahip olmadan, operasyonları üzerindeki gerçek etkiyi bilmenin neredeyse imkansız olduğunu söylüyor.
Perin, “Bununla birlikte, bu saldırıların kesinlikle itibarlarını zedeleme gücü var” dedi.
Rakip Gasp Grupları, Devlet Kurumları Yararlanabilir
DDoS çabalarının arkasında kimin olduğuna gelince, CISO ve Digital Shadows strateji başkan yardımcısı Rick Holland, rakip gasp ekiplerinin ve devlet kurumlarının veri sızıntısı sitelerine yönelik saldırılardan iki olası yararlanıcı olduğunu söylüyor.
“Hırsızlar arasında namus yoktur ve birbirini hedef alan grupların tarihi vardır” diyor. “Hükümet tarafında, ABD Siber Komutanlığı Komutanı General [Paul] Nakasone, geçen yıl fidye yazılım gruplarını hedef aldığını kabul etti, bu nedenle ABD hükümetinin düşmanları bozmak için çabalarını sürdürdüğünü varsaymak mantıklı olacaktır.”
Holland, şantajcıların tıpkı meşru işletmeler gibi sitelerinin esnekliğini düşünmeleri gerektiğini söylüyor.
“Fidye yazılımı kurbanlarının oyuncularla etkileşim kurmasının başka yolları da var” diye açıklıyor. “RaaS temsilcileri forumlarda mevcut ve mağdur müzakereleri çeşitli mesajlaşma uygulamaları aracılığıyla hala çevrimdışına alınabilir.”
LARES Consulting COO’su Andrew Hay, hedeflenen çetelerin bu sorunla muhtemelen aktif olarak mücadele ettiğini ekliyor.
“Tehdit gruplarının, tıpkı herhangi bir kuruluşun operasyonel kalması gibi, kullanılabilirliği sürdürmek için sunucularını ve hizmetlerini daha dağıtılmış bir altyapıya taşıdığını göreceğiz” diyor.
Hay’in bakış açısından, rapor, RaaS veri sızıntısı sitelerine yönelik saldırıların yakın zamanda ortadan kalkmayacağını ve bunun bağlı kuruluşlar için bir tür yeraltı rekabetine yol açabileceğini öne sürüyor.
“En iyi olmana gerek yok, sadece diğer adamdan daha iyi ya da daha ulaşılabilir olmalısın” diyor.