Siber gasp çeteleri, jeopolitik stratejinin bir parçası olarak dünyanın yalnızca belirli bölgelerini hedef alıyor

Mayıs 2021'in başlarında, ABD'nin doğu kıyısındaki en büyük özel yakıt boru hatlarından biri olan Colonial Pipeline, hedeflenen verilerin şifresini çözmek için fidye yazılımı talep eden kötü niyetli saldırganlar tarafından saldırıya uğradı. Bu saldırı yakıt arzını felç etti ve vatandaşlar arasında gaz arzını depolamak için paniğe neden oldu.

Son zamanlarda büyük şirketlere bir dizi saldırı gerçekleştiğinden, fidye yazılımı saldırısı günümüzde nadir değildir. Asıl mesele, saldırganların Rusya'dan geldiği bilindiği için bu saldırının ABD ve Rusya arasında diplomatik bir krize dönüşmesiydi ve genel görüş, Rus hükümetinin bu siber saldırıları koruduğu yönündeydi.

Rus Arabellek

Rusya'nın kötü şöhretli bilgisayar korsanlarından biri olan DarkSide, ya kendileri yaparak ya da başkalarına fidye yazılımı korsanlığı araçları satarak birçok fidye yazılımı saldırısına karıştı. Bu, bir web sitesi ve yardım masasına sahip profesyonel bir gruptur ve fidye parası pazarlığı yapmak için iletişim kanalını kurbanlara açık tutar. Bu grup, Rus dilinde kurulmuş herhangi bir bilgisayar sistemine saldırmaktan kaçınıyor ve geçmiş performans kayıtları, Rusya ile dostane ilişkilere sahip eski sovyet devletlerini veya İngiliz Milletler Topluluğu ülkelerini hedef almadığını gösteriyor. Aslında, kötü amaçlı yazılımını yüklemediği sabit kodlanmış ülkelere sahiptir. Örneğin, Rusça-419 veya Ukraynaca-422 gibi ülkeler kodlanmıştır. Bu kodlama, kötü amaçlı yazılım bir sistemi hedeflediğinde, bu kodların varlığını kontrol etmeleri için yapılır. Bulunursa, çıkarlar ve yüklenmezler.

Ancak bu yaklaşım kusursuz değildir çünkü bu kodların veya Rus dilinin kullanımının bir Windows bilgisayarını Darkside kötü amaçlı yazılımlarından güvenli bir şekilde koruyacağının garantisi yoktur. Darkside'ın yakın zamanda ABD'nin en büyük sığır eti üreticisi olan JBS'ye saldıran başka bir fidye yazılımı saldırganı olan REvil ile de bağlantılı olma olasılığı yüksek. Bu, her iki grubun da Suriye gibi dost ülkeleri herhangi bir saldırıdan uzak tutmasından açıkça görülmektedir. JBS'nin REvil'i ifşa etmesinden sonra Darkside, bitcoin'lerine ve sunucularına el konulduğu için kapandığını ve iki grup arasındaki bağlantıyı gösterdiğini duyurdu.

Covid pandemisi siber saldırganların aktif hale gelmesine neden oldu. Çoğu sistem, ev sistemleri için yetersiz siber güvenlikle evden çalışan mühendisler ve sistemler nedeniyle savunmasız hale geldi.

Siber güvenlik firması KrebsOnSecurity'ye göre, Rusya kaynaklı kötü amaçlı yazılımlar, sanal klavyelerin Rusça veya Ukraynaca yüklü olduğu bir bilgisayara yüklenmiyor. Bu, kötü amaçlı yazılımların genellikle sistemin ait olduğu ülkeleri umursamadığı için bu dillerden herhangi birinin bir sistemde tutulmasının koruma sağlayacağı anlamına gelmez. Bu nedenle, sistemin derinlemesine siber savunmasını benimsemek ve riskli çevrimiçi davranışlardan kaçınmak ihtiyatlıdır.

Fidye yazılımı saldırganlarının çalışma şekli, büyük şirketleri hedef almaktır. Daha önce, veri hırsızlığının ana hedef olduğu BT veya bankacılık sistemleriyle sınırlıydı. İleriye dönük olarak, bu kötü niyetli faaliyet bir adım önde gitti ve perakende gıda tedarik zincirlerini ve ardından yakıt boru hattını hedef almaya başladı. Sistemin bozulmasına ve her yerde paniğe neden olan kritik emtiaların tedarik zinciri lojistiği için hayati önem taşıyan verileri şifrelediler.

Yüzleşme

Rusya ile ABD arasındaki söz savaşı kızıştı. ABD, Rusya'yı, Rusya dışına yönlendirildikleri sürece faaliyetlerine göz yumarak bilgisayar korsanları için koruyucu bir sığınak olarak hareket etmekle suçladı. ABD ve müttefikleri, Colonial Pipeline ve ABD'ye yönelik son zamanlardaki yüksek profilli fidye yazılımı saldırılarıyla bağlantılı siber suçlu grupları DarkSide ve REvil için Rusya'nın üs olarak göründüğüne inanıyor. Brezilya merkezli dünyanın en büyük et tedarikçisi JBS'nin operasyonları.

Devlet dışı aktörlerden gelen bu tür saldırılar bir savaş eylemi olarak yorumlanabilse de, saldırganlar çabucak yer almadıklarını veya jeopolitikaya dalmak istemediklerini söylediler. Temel amaçları para kazanmaktı. DarkSide ve diğer bağlı kuruluşları, Ukrayna ve Rusya dahil olmak üzere birçok dost Doğu Avrupa ülkesinde ortaklarının bilgisayarlara kötü amaçlı yazılım yüklemelerini yasakladı. Bu strateji, yerel makamların incelemesini ve müdahalesini en aza indirme niyetiyle başlangıcından beri oradadır.

Rus makamları, ülke içindeki herhangi biri mağdur olarak resmi bir şikayette bulunmadıkça, genellikle bilgisayar korsanlarından birine karşı bir siber suç soruşturması yürütmez. Bu, bilgisayar korsanlarının hiçbir bağlı kuruluşun kendi ülkelerinde kurban üretememesini ve DarkSide gibi saldırganların Rusya'daki hukuk kurumlarından kaçınması için kolay bir çıkış yolu oluşturmasını sağlar.

Saldırılara karşı koruma önlemleri

Anti-virüs ve güvenlik firmaları, Windows kayıt defterine girdiler eklemenin, sistemin bir sanal makine (VM) olarak çalıştığını belirttiğini düşünüyor. Bu, kötü amaçlı yazılımlarını sanal bir ortamda çalıştığını algılarsa yüklemeyi sonlandıracak şekilde yapılandıran kötü amaçlı yazılım yazarlarını caydırabilir. Birçok kuruluş zaten sanal ortamlara geçti. Şu anda gördüğümüz fidye yazılımı bile sanal makinelerde çalışıyor.

Diğer yol, kuruluşları BDT ülke listesinden bir dile sahip eklemek veya kötü amaçlı yazılım tarafından kontrol edilen belirli Windows kayıt defteri anahtarlarına Rusça dil referansı eklemektir. Komut dosyası, bir Windows PC'nin, Microsoft'tan eklenen komut dosyası kitaplıklarını gerçekten indirmeden yüklü bir Rus klavyesi varmış gibi görünmesini sağlar.

Belirli bir kayıt defteri girdisini Rusça için kısa bir biçim olan 'RU' olarak değiştirmek veya bir Kiril klavyesi yüklemek, kötü amaçlı yazılımları sistemin Rusça olduğuna ve bu nedenle hedef alınmaması gerektiğine ikna etmek için yeterli olabilir. Bu teknik olarak Rus kötü amaçlı yazılımlarına karşı bir 'aşı' olarak kabul edilebilir, ancak kusursuz değildir. Birçok kişi kısa vadede kendilerini koruyabilecek bu yöntemi kullanıyor. O zaman seçim, uzun vadede sıkışmayı hissedecek olan bilgisayar korsanlarında. Rusya'da yasal korumalarını kaybetme riskini mi almak isteyip istemediklerini veya bir şikayet olması durumunda devam edip gelirlerini kaybetme riskini almak isteyip istemediklerini seçmek zorundalar.

Çözüm

Son saldırının yarattığı gürültü, DarkSide'ın operasyonlarını kapatmanın tek amaçlarının para kazanmak olduğunu ve toplumsal karışıklıklara yol açmamak olduğunu söylemesine yol açtı. Ayrıca, suç ortaklarının hedeflenen kuruluşlara gelecekte yapılacak herhangi bir saldırının sosyal sonuçları olup olmayacağını kontrol etmelerini sağlamayı taahhüt ettiler. Bu ifadenin kendisi belirsizdir, çünkü yandan dükkânı kapattıklarını söylüyorlar. Öte yandan, ortaklarının hedef seçip seçmesini isterler. Bu, DarkSide gibi siber dehaların, ortalık sakinleştiğinde bir süre sonra yeni bir kimlik altında yeniden ortaya çıkacağını gösteriyor.