Fidye yazılımları devletlerin kasasını mı dolduruyor?

Bir zamanlar siber suçlar ile devlete bağlı tehdit faaliyetleri arasındaki sınırı ayırt etmek oldukça kolaydı. Siber suçlular yalnızca kâr güdüsüyle hareket ediyordu. Devletteki muadilleri ise işverenlerinin jeopolitik hedeflerini ilerletmek için çoğunlukla siber casusluk kampanyaları ve ara sıra da yıkıcı saldırılar gerçekleştiriyordu. ESET’in son Tehdit Raporu’nda da belirtildiği gibi fidye yazılımları da dahil olmak üzere bu çizgi kaybolmaya başladı.

Siber uzayda bulanık çizgiler

2017 yılında, Kuzey Kore’ye bağlı ajanların ilk küresel fidye solucanı olan WannaCry’ı başlattığı düşünülüyor. Bu saldırı ancak bir güvenlik araştırmacısının kötü niyetli kodun içine gizlenmiş bir “öldürme anahtarını” bulup aktif hale getirmesiyle durdurulabildi. Aynı yıl, devlet destekli bilgisayar korsanları Ukraynalı hedeflere karşı NotPetya kampanyasını başlattı ancak bu durum da aslında araştırmacıların izini sürmek için fidye yazılımı olarak gizlenmiş yıkıcı bir kötü amaçlı yazılımdı. ESET, 2022 yılında Rus Sandworm grubunun  fidye yazılımını benzer bir şekilde, yani veri silici olarak kullandığını gözlemledi. Devlet destekli operasyonlar ile mali amaçlı suçlar arasındaki çizgi o zamandan beri bulanıklaşıyor. Birçok dark web satıcısı devlet aktörlerine istismarlar ve kötü amaçlı yazılımlar satarken bazı hükümetler belirli operasyonlara yardımcı olmaları için serbest çalışan hackerlar kiralıyor. Ancak bu eğilimler hızlanıyor gibi görünüyor. Özellikle yakın geçmişte, ESET ve diğer siber güvenlik şirketleri birkaç belirgin neden gözlemledi.

Fidye yazılımları devlet kasasına mı  gidiyor?

Devlet bilgisayar korsanları, fidye yazılımlarını devlet için bir para kazanma aracı olarak kasıtlı olarak kullanıyor. Bu durum en bariz şekilde tehdit gruplarının sofistike mega soygunlarla kripto para şirketlerini ve bankaları da hedef aldığı Kuzey Kore’de görülüyor. Aslında 2017 ile 2023 yılları arasında bu faaliyetten yaklaşık 3 milyar dolar yasa dışı kâr elde ettiklerine inanılıyor.

Mayıs 2024’te Microsoft, Pyongyang’a bağlı Moonstone Sleet’in önce hassas bilgileri çaldıktan sonra birkaç havacılık ve savunma kuruluşunun sonraki çalışmalarına “FakePenny” adlı özel fidye yazılımı dağıttığını gözlemledi. Bu davranış, “aktörün hem istihbarat toplama hem de erişiminden para kazanma hedefleri olduğunu gösteriyor” dendi. Kuzey Koreli grup Andariel’in, Play olarak bilinen fidye yazılımı grubuna ilk erişim ve/veya ortaklık hizmetleri sağladığından şüpheleniliyor. Bunun nedeni Play fidye yazılımının daha önce Andariel tarafından ele geçirilmiş bir ağda tespit edilmiş olmasıdır.

Ek iş olarak para kazanmak

Devletlerin fidye yazılım saldırılarına müdahil olmasının bir başka nedeni de hükümet hackerlarının ek iş yaparak para kazanmalarını sağlamak. Bunun bir örneği FBI tarafından tespit edilen “fidye ödemelerinin bir yüzdesi karşılığında şifreleme işlemlerini etkinleştirmek için doğrudan fidye yazılımı iştirakleriyle iş birliği yaptığı” İranlı grup Pioneer Kitten’dır.  NoEscape, Ransomhouse ve ALPHV ile yakın bir şekilde çalıştı. Yalnızca ilk erişimi sağlamakla kalmadı aynı zamanda kurban ağlarını kilitlemeye ve kurbanları gasp etme yolları üzerinde iş birliği yapmaya yardımcı oldu.

Müfettişlerin izini kaybettirmek

Devlet bağlantılı APT grupları da saldırıların gerçek amacını gizlemek için fidye yazılımı kullanıyor. Çin bağlantılı ChamelGang’in  Doğu Asya ve Hindistan’ın yanı sıra ABD, Rusya, Tayvan ve Japonya’daki kritik altyapı kuruluşlarını hedef alan çok sayıda kampanyada bunu yaptığına inanılıyor. CatB fidye yazılımını bu şekilde kullanmak sadece bu siber casusluk operasyonlarına kılıf sağlamakla kalmıyor aynı zamanda operatörlerin veri hırsızlığına kanıtları yok etmelerini de sağlıyor.

Bununla birlikte, düşmanınızın kimliğini bilmiyorsanız fidye yazılımı saldırılarının etkisini azaltmanın hâlâ yolları var. İşte en iyi 10 uygulama adımı:

• Güncellenmiş güvenlik eğitimi ve farkındalık programları ile sosyal mühendislikle mücadele edin,
• Hesapların uzun, güçlü ve benzersiz parolalar ve çok faktörlü kimlik doğrulama (MFA) ile korunduğundan emin olun,
• Saldırıların “patlama alanını” azaltmak ve yanal hareketi sınırlamak için ağları bölümlere ayırın,
• Şüpheli davranışları erkenden belirlemek için sürekli izleme (uç nokta algılama ve yanıtlama veya yönetilen algılama ve yanıtlama) uygulayın,
• Sürekli iyileştirme sağlamak için güvenlik kontrollerinin, politikalarının ve süreçlerinin etkinliğini düzenli olarak test edin,
• Gelişmiş güvenlik açığı ve yama yönetimi araçlarını uygulayın,
• Tüm hassas varlıkların masaüstü bilgisayarlar, sunucular ve dizüstü bilgisayarlar/mobil cihazlar da dahil olmak üzere saygın bir tedarikçiden alınan çok katmanlı güvenlik yazılımı ile korunduğundan emin olun,
• Güvenilir bir ortaktan tehdit istihbaratına yatırım yapın,
• En iyi uygulamalar doğrultusunda düzenli yedeklemeler gerçekleştirin,
• Etkili bir olay müdahale stratejisi geliştirin ve uygulayın.