Fidye yazılımları milyarlarca dolarlık bir endüstri haline geldi ve işinin kabaca %15’i Wizard Spider adlı tek bir grup aracılığıyla yapılıyor. Rus hükümetiyle yakın çalıştığı ve FBI ve Interpol tarafından soruşturma altında olduğu düşünülen bu grup, bilinen 400’den fazla saldırıda “Conti” fidye yazılımı türünü kullandı. Medya gruptan “Conti Ransomware Gang” olarak bahsederken, grup kendisini bir çete olarak görmüyor. Grup, bir iş olarak görülmeyi tercih eder.
Patlayan Bir İşletme
Büyüdükçe ve daha karlı hale geldikçe, Sihirbaz Örümcek gibi suç grupları genellikle meşru iş uygulamalarını taklit eder. Kurban örgütleri “müşteri” olarak yeniden adlandırılıyor, gasp girişimleri “pazarlık” haline geliyor ve suç ortaklarına “bağlı kuruluşlar” adı veriliyor. Dark Web’deki özel sitelerinde bir “basın bültenleri” koleksiyonu bile var.
Grubun “iş modeli”, bağımsız bağlı kuruluşları fidye yazılımının nasıl dağıtılacağı konusunda eğitmeyi ve ardından kârdan %30’luk bir kesinti yapmayı içeriyor. Bununla birlikte, tam kâr, bağlı kuruluşlarına değil, Wizard Spider’a açıklandığından, bu yüzde normalde çok daha yüksektir.
Düşük ücretli bir üye, Ağustos 2021’de çetenin uygulamalarından haberdar oldu ve kaynaklarını sızdırmaya başladı ve protesto amacıyla “enayileri işe alıyorlar ve parayı kendi aralarında paylaştıklarını” ilan etti.
Bu arada ABD hükümeti, Wizard Spider gibi grupları engellemek için önlemler aldı; Bu yıldan itibaren, fidye yazılımı işlemlerini kolaylaştıran kripto para birimi borsalarına yaptırımlar uygulayacak.
Ancak bu aksilikler, kârı artmaya devam eden Sihirbaz Örümcek’i rahatsız etmedi. Konvansiyonel siber savunmalar, grubun saldırı tekniklerindeki yeniliklerine ayak uydurmakta sürekli başarısız oldu ve bu nedenle onları kullanan kuruluşlar, Sihirbaz Örümcek’in hedef pazarında sıkı bir şekilde kalmaya devam ediyor.
Sihirbaz Örümcek Nasıl İçeri Girer?
Grubun son hedeflerinden biri ABD’de bir nakliye şirketiydi. Şirketin saldırıya açık kalması için tek bir Microsoft düzeltme eki ve bunun sonucunda ProxyShell güvenlik açıkları gerekti. Bu, daha önce kimlik avı saldırılarına ve güvenlik duvarı açıklarına dayanan Wizard Spider için nispeten yeni bir istismardır.
İlk ihlalden iki hafta sonra, Finlandiya’da, zararsız görünen bir SSL istemcisi kullanılarak olağandışı bir uç noktaya nadir bağlantılar yapıldı. Uç noktanın o zamanlar istihbarat araçlarını tehdit ettiği bilinmiyordu, bu da kurallar ve imza tabanlı güvenlik araçlarının neyi tespit edeceğini bilmediği anlamına geliyordu.
Conti News ile Halka Açılmak
Fidyeyi ödemeyi reddederseniz, Wizard Spider yalnızca sizden en önemli dosyalarınızı almakla kalmayacak, aynı zamanda grup da onları sızdıracak ve özel “Conti News” web sitesini kullanarak yayınlayacak veya doğrudan rakiplerinize satacaktır. Bu çifte gasp fidye yazılımı ve Conti çetesinin en sevdiği yeni satış taktiği.
Nakliye şirketinin durumunda, dört gün boyunca üç terabaytlık şirket verisi yüklendi ve ardından hızla şifrelendi. Şifreleme neredeyse gece yarısı başladı, bu da insan güvenlik ekiplerinin bir yanıt organize etmek için müsait olmadığı anlamına geliyordu – fidye yazılımı “iş” asla çalışma saatlerine saygı göstermez. Ertesi sabah, şirket bir fidye notu ile karşılandı.
Şirket, Darktrace’in güvenlik AI aracını kullanarak saldırının noktalarını araştırıp birleştirmeyi başardı. Güvenlik aracının doğal dildeki raporu, farklı olayları uyumlu bir saldırı anlatımına dönüştürüyor
Fidye Yazılım Saldırganları Siber İstihbarattan Nasıl Kaçar?
Tehdit aktörlerinin saldırılarının altyapısını değiştirmesi çok kolaydır ve bu durumda yeni bir uç nokta kadar basit bir şey tehdit istihbaratını yenmek için yeterliydi. Sihirbaz Örümcek bu şekilde gelişmeye devam ediyor ve bu, hükümet yaptırımlarının ve içeriden kaçan kişilerin temelde çözemediği bir sorun.
Kuruluşların yeni bir yaklaşımla meseleleri kendi ellerine almaları gerekiyor. Normal iş operasyonlarının neye benzediğini öğrenen yapay zeka kullanılarak, bir fidye yazılımı saldırısından kaçınılmaz olarak kaynaklanan anormal davranışlar, daha önce hiç görülmemiş saldırı yöntemleri kullanılsa bile her aşamada tespit edilebilir.
Hızlı hareket eden siber saldırıların ve güvenlik ekipleri ofis dışındayken kasıtlı olarak saldıran tehdit aktörlerinin olduğu bir çağda, yapay zeka teknolojileri, normal işleri kesintiye uğratmadan tehditleri kontrol altına almak için hedefe yönelik eylemlerde bulunmak için gerekli hale geldi.
Sızıntılar veya mevzuat Sihirbaz Örümcek’i çökertecek olsaydı, diğer gruplar piyasadaki boşluğu doldurmak için ayağa kalkardı. Sonuç olarak, fidye yazılımı durdurulacaksa kârsız hale getirilmelidir. Bunu yapmanın bir yolu, insan analistlerinden haftalar önce, saldırılarının her aşamasında fidye yazılımı saldırılarını durdurmak için AI kullanmaktır.
