Fidye yazılımı kazançlı bir suç girişimi olmasına rağmen, eğitim, sağlık gibi bazı sektörlerin etik nedenlerle listenin dışında tutulan hedefler olabileceğini düşünebilirsiniz. Ancak büyük bir fidye yazılımı oyuncuları olan FIN12 Hacker Takımı seçtikleri 5 kurbanlarından birisi sağlık sektörü.
Fidye yazılımının dağıtımı, doğrudan veri hırsızlığı, kripto hırsızlığı ve içeriden gelen tehditler gibi diğer suç türlerinden daha ağır basan potansiyel yıkıcı etkileri olan popüler ve üretken bir siber suç faaliyetidir.
Yalnızca bu yıl, fidye yazılımları, yaygın Microsoft Exchange Server bilgisayar korsanlığı çılgınlığı, ABD’de yakıt kıtlığına neden olan Koloni Boru Hattı saldırısı ve küresel et paketleyici JBS USA’ya ait sistemlerin tehlikeye girmesi nedeniyle tedarik zincirlerinin kesintiye uğraması gibi yüksek profilli vakalarda hasara yol açmak için kullanıldı.
KELA tarafından Ağustos ayında ilk erişim komisyoncusu (IAB) alanı üzerinde yürütülen araştırma, erişim sunan sağlık hizmetleriyle ilgili reklamların çok az sayıda olduğunu ve bu nedenle cenaze hizmetleri, hayır kurumları ve kritik hizmetlerin yanı sıra bu sektörün, fidye yazılımı grupları tarafından bölünebilir.
Ancak bu yıl, durumun her zaman böyle olmadığını gösteren İrlanda Sağlık Hizmetleri Yöneticisinin (HSE) fidye yazılımına düşmesi, kritik bakım hizmetlerinde haftalarca kesintiye neden olan bir güvenlik olayı sorunu yaşandı.
The Ponemon Institute ve Censinet tarafından yürütülen araştırmaya göre, bir fidye yazılımı salgını, önemli tıbbi kayıtlara, randevu ayrıntılarına, tedavi notlarına ve hasta verilerine erişimi kısıtlarsa, bu durum gecikmelere ve en kötü senaryoda ölüme sebep olabilir.
Perşembe günü Mandiant, siber güvenlik firması tarafından UNC1878’den yükseltilen FIN12’nin, yıllık ortalama geliri 6 milyar doların üzerinde olan kuruluşları hedefleyen finansal odaklı bir grup olduğunu söyledi. Tehdit grubunun kurbanlarının neredeyse tamamı en az 300 milyon dolar gelir elde ediyor.
Araştırmacılar, “Bu sayı, birkaç aşırı uç değer ve toplama yanlılığı tarafından şişirilebilir; ancak, FIN12 Hacker takımı genellikle ortalama fidye yazılımı ortaklığından daha büyük kuruluşları hedef alıyor gibi görünüyor” dediler.
ZDNet’e konuşan Mandiant’ın Baş Analisti Joshua Shilko, grubun kendisine “en büyük oyun avcıları arasında” bir yer kazandığını söyledi – Bunlar ise fidye ödemelerinde en büyük finansal ödülleri sunma olasılığı en yüksek olan hedeflere odaklanan operasyonlar .
Shilko, “Tüm önlemlerle FIN12, kimin yüksek değerli hedeflere odaklandığını takip ettiğimiz en üretken fidye yazılımı aktörü oldu.” Ayrıca “FIN12 kurbanlarının yıllık ortalama geliri milyarlarca dolardı. FIN12 aynı zamanda en sık gözlemlenen fidye yazılımı dağıtım aktörümüz.” dedi.
En az 2018’den beri aktif olan FIN12, eskiden yalnızca Kuzey Amerika’ya odaklanıyordu, ancak geçen yıl boyunca kurban aralığını Avrupa ve Asya Pasifik bölgesine kadar genişletti.
Tehdit aktörleri, çalışan kimlik bilgilerini, VPN erişimini veya istismar için olgunlaşmış bir yazılım güvenlik açığını bulma ayak işlerini ortadan kaldırmak için genellikle bir hedef sisteme ilk erişimi satın alınıyor.
“Fidye yazılımı operatörlerine ilk erişim sağlayan aktörler, genellikle kurban fidye ödemesini yaptıktan sonra fidyenin bir yüzdesi şeklinde ödeme alırlar, ancak aktörler de belirli bir fiyat karşılığında kurbanların ağlarına erişim satın alabilirler.
İlk erişim için ödenen yüzde muhtemelen çeşitli faktörlere bağlı olarak değişebilirken, FIN12’nin şüpheli bir ilk erişim sağlayıcısına fidye ödemesinin %30-35’ini ödediğine dair kanıtlar var.
Siber suçluların da ahlaki bir pusulası yok gibi görünüyor. Çünkü bu kurbanlarının %20’si sağlık sektörüne ait. Birçok hizmet olarak fidye yazılımı (RaaS) donanımı, hastanelerin hedef alınmasına izin vermiyor. Ancak başka yerlerdeki düşük talep nedeniyle FIN12’nin ilk erişimi satın almasının daha ucuz ve uygun olabilir.
Başkalarının sağlık hizmetini hedeflemeyi reddetmesinin, FIN12’nin bu sektörü hedeflemeye isteme arzusu ile doğrudan bir ilişkisi olduğunu düşünülmüyor. Bunun yerine FIN12, hastanelerin kritik sistemleri kurtarmak için aktörlerle müzakere etmek veya sorunu çözmek için haftalar harcamak yerine hızla fidye ödemeye daha istekli olduğunu düşünebilir. Sonuç olarak, sağladıkları hizmetlerin kritikliği yalnızca daha yüksek FIN12’nin kurbandan bir ödeme alma şansı, aynı zamanda daha hızlı bir ödeme sürecini oluşturuyor.
FIN12, siber suçlulara istismar ve kalıcılık araçları da dahil olmak üzere modüler seçenekler sunan bir botnet operasyonu olan Trickbot ile yakından bağlantılı. Altyapısı Microsoft tarafından kesintiye uğramasına rağmen, tehdit aktörleri son zamanlarda Kuzey Amerika’daki hukuk ve sigorta şirketlerine karşı kampanyalarla geri döndü.
Grubun ana hedefi, Ryuk fidye yazılımını dağıtmak. Ryuk, yalnızca fidye yazılımının tipik işlevlerini değil, aynı zamanda ek sistemleri yaymak ve virüs bulaştırmak için yeni solucan benzeri yetenekleri de içeren üretken ve tehlikeli bir kötü amaçlı yazılım türüdür.
FIN12’nin dilinin Rusça kökenli olduğundan şüpheleniyor ve şu anda tanımlanmış tüm Ryuk fidye yazılımı operatörleri bu dili konuşuyor. Ayrıca, FIN12 tarafından kullanılan ve Grimagent olarak adlandırılan şimdiye kadar herhangi bir başka tehdit grubuyla bağlantısı olmayan diğer kötü amaçlı yazılımlar da Rusça dosya ve bileşenler içeriyor.
FIN12 Hacker takımı ortalama fidye süresi, yıldan yıla artan hızıyla dört günün biraz altında olarak saptandı. Bazı durumlarda, başarılı bir fidye yazılımı kampanyası yalnızca iki buçuk günde yönetildi.
Gelecekte diğer arka kapıları test etmeleri ve hatta özel araçların geliştirilmesine sponsor olmaları mümkün olsa da, görünüşe göre, bellek yükleyicilerde; dövülebilir C2 profilleri kullanarak beacon faaliyetlerini gizleme ve ortak yüklerini bir dizi gizli bilgi ile gizleme modeline yerleştiler. Özellikle, aktörler bazen kamuya açık raporlamaya dayalı olarak değişiklikler yapıyor. Takımın ortaya konulan tüm raporlardan sonra değişiklik yapması hiç şaşırtıcı olmaz. Ancak, bu değişikliklerin daha büyük senaryoları yeniden düşünmek yerine büyük ölçüde algılamayı sınırlamaya odaklanacağı tahmin edilmektedir.
Fidye yazılımı nedir nasıl çözülür konulu yazımıza ulaşmak için tıklayabilirisiniz.