Bu hafta , Uluslararası Polis Birliği’nin İrlanda Bölümü tarafından üç ayda bir yayınlanan (çevrimiçi ve fiziksel bir kopya olarak çıkan) IPA Dergisi’nin 50. sayısında yayınlanan makalemi sunuyorum.

İşte geliyor:

Fidye yazılımlarının tarihi ve evrimi: kuponlardan kripto para birimine

Son birkaç aydaki haber yayınlarını veya sosyal medya gönderilerini takip ettiyseniz, muhtemelen bu duruma karşı şimdiye kadar gerçekleştirilen en ciddi siber saldırının ne olduğuyla ilgili ana haberi kaçırmış olamazsınız – Conti fidye yazılımı enfeksiyonu SEÇ bilgisayar ağlarının son mayıs ayı.

Aynı zamanda, bu yıl Avrupa’da şimdiye kadarki en büyük siber güvenlikle ilgili haberlerden biriydi ve çok sayıda ulusal ve uluslararası tartışmaya yol açtı. Burada, bu tartışmaların bazıları devletin siber suçlulara ödeme yapıp yapmaması gerektiğine odaklandı. Bu siber saldırı, İrlanda’nın siber savunma yeteneklerinin yeterliliğine de keskin bir şekilde odaklandı.

Fidye yazılımı konusu bazı insanlar için yeniydi, ancak BT sistemlerine yönelik bu saldırı vektörü artık onlarca yıllık. Peki – fidye yazılımı tam olarak nedir ve nasıl ortaya çıktı?

Fidye Yazılımının Tanımı

Fidye yazılımı (veya “fidye yazılımı”), bir sabit sürücüdeki dosyalara sahte bir şifreleme algoritması uygulamak üzere tasarlanmış bir bilgisayar programıdır ve şifre çözme anahtarı karşılığında bir fidye ödenmediği sürece bu dosyalara yasal sahiplerinin erişmesini imkansız hale getirir.

Belgelenen ilk fidye yazılımı saldırısı vakası, İnternet modern şeklini almaya başlamadan yıllar önce gerçekleşti. 1989’da Dünya Sağlık Örgütü’nün AIDS konferansına katılanlara kötü niyetli bir program içeren disketler (şimdilerde kim hatırlıyor!) dağıtıldı.

Daha sonra AIDS truva atı olarak anılacak olan bu program, kendisini sabit sürücüye kopyaladı, bir süre hareketsiz kaldı ve ardından beklenmedik bir şekilde C sürücüsü sistem dosyalarını kilitledi. Bunların kilidini açmak için Panama’daki bir posta kutusuna 189 dolar göndermek gerekiyordu.

Bu saldırının arkasındaki kişinin Harvard eğitimli bir biyolog olduğu ortaya çıktı ve bu kişinin amacı belirsizdi – kimliği tespit edilip tutuklandı, ancak daha sonra zihinsel olarak yargılanmaya uygun olmadığı açıklandı.

Yeniliğine rağmen, AIDS truva atı, oldukça basit şifreleme kullanan temel yazılım olarak kabul edildi ve sonunda kırılarak, etkilenen dosyaların gaspçıya ödeme yapmadan kilidini açmayı mümkün kıldı.

GELİŞEN TEHDİT

Sonraki yıllarda, İnternet’in yaygınlaşmasıyla birlikte fidye yazılımları, ağ protokollerini kullanan bilgisayarlar arasında çoğalabilecek şekilde gelişti – artık disket veya fiziksel ortam dağıtmaya gerek kalmadı. Yine de “truva atı” özelliğini korudu – efsanevi Truva atı gibi, fidye yazılımı da iyi huylu, hatta yararlı, meşru yazılım gibi görünecekti.

2005 yılında, Liberty Reserve, erken e-ticaret platformu aracılığıyla fidye talep eden bir metin dosyasıyla birlikte daha karmaşık bir şifreleme kullanan bir truva atı olan Liberty Reserve ilk kurbanlarını vurdu. Bir yıl sonra, alışılmadık bir fidye ödeme sistemiyle Archiveus truva atı geldi – çevrimiçi bir eczaneden satın alma yoluyla.

Ardından, kullanıcının ekranını kötü niyetli bir açılır pencereyle kilitleyen ve Ukash kartları, PayPal mevduatları ve hatta Amazon kuponları aracılığıyla ödeme talep eden, bazıları diğerlerinden daha ilkel olan başka fidye yazılımı biçimleri geldi.

Bazı araştırmacılar bu tür yazılımları “korkutucu yazılım” olarak sınıflandırır – bazı durumlarda sistemi güvenli modda başlatarak veya herhangi bir veri kaybı olmadan geri yükleyerek kilitleme mekanizmasını atlamak nispeten kolaydı.

İrlandalı kullanıcılar, yasadışı içeriğe erişim için onları “para cezası” ödemeye korkutmaya çalışan “Garda Ukash virüsü” şeklinde bu saldırılardan paylarına düşeni aldılar.

Yukarıdaki tüm çalışma modları, fidye yazılımı operatörleri için kritik bir sorunu vurguladı: Suçlu davalarına sempati duymayan üçüncü taraf hizmetleri aracılığıyla ödemeleri şantaj ve işleme koyma yeteneğinin sınırlı olması. Bu, Bitcoin ve diğer kripto para birimlerinin artan popülaritesi ile yakında değişecekti.

YENİ ON YIL, YENİ TRENDLER

2011 ve 2012 yılları arasında, siber suçluların ve onların gaspçı yazılımlarının, internetin merkezi olmayan, sansüre dirençli bir dijital para birimi olan Bitcoin’e daha fazla güvendiğini gören gözlemlenebilir bir eğilim oluşmaya başladı. Bitcoin, sahibinin, herhangi bir aracıya ihtiyaç duymadan diğer kullanıcılarla özgürce işlem yapabilen kendi mali koruyucusu olmasına izin verir (her ne kadar Bitcoin’i fiat para birimiyle takas etmek hala bir üçüncü taraf hizmeti gerektirir).

Fidye yazılımı operatörleri ayrıca teknik oyunlarını da geliştirdiler – örneğin, 2013’te ağlara toplu saldırılara başlayan kötü şöhretli CryptoLocker veya TeslaCrypt, spam yaymak için kullanılabilecek binlerce kötü amaçlı yazılım bulaşmış bilgisayardan oluşan bir ağ olan devasa ‘botnet’lere dayanıyordu. veya kötü amaçlı yazılımların yanı sıra dünyanın herhangi bir yerindeki çevrimiçi sistemlere hizmet reddi saldırıları gerçekleştirin. Botnet’ler, fidye yazılımı operatörlerinin, kötü amaçlı yazılımlarını çoğaltmak için kullanılan yüz binlerce kötü amaçlı e-posta ve bağlantı gönderdikleri devasa organize kampanyalar yürütmesine izin verdi.

Botnet’lerin ortaya çıkması ve uygun şekilde organize edilmiş ve sürdürülen bir saldırı altyapısı, fidye yazılımı geliştiricileri için “hizmet olarak fidye yazılımı” (RaaS) çalışma biçiminin geliştirilmesine yol açtı. Bu yarı iş modeli, küresel büyük teknoloji kuruluşlarının sunduğu hizmetleri bir şekilde yansıtıyor – 50 – 100 $ arasında bir aylık abonelik ücreti karşılığında, teknik olarak daha az karmaşık bir siber suçlu, özel eğitim materyallerine erişimle birlikte kullanıma hazır bir fidye yazılımı seti satın alabilir. , kiralık çevrimiçi forumlar veya botnet’ler.

KÜRESEL BİR SORUN

Fidye yazılımları için bir diğer önemli kilometre taşı, 2017’nin başlarında gerçekleşen ilk küresel fidye yazılımı salgını olan WannaCry’dı. WannaCry, tüm dünyadaki eski ve yama uygulanmamış Windows sistemlerini hedef alarak, bireysel kullanıcılardan kurumlara ve hatta geleneksel altyapıların parçalarına saldırdı. trafik ışıkları sistemleri, klima kontrolörleri veya hastane ve bakım ekipmanları.

WannaCry ile fidye yazılımının önceki yinelemeleri arasındaki en büyük fark, savunmasız sistemleri otomatik olarak arama ve kendini onlara kopyalama yeteneğiydi. Saldırının kendisi sadece birkaç gün sürdü, ancak korkunç sonuçları oldu – dünya çapında birkaç yüz bin bilgisayar sistemine virüs bulaştı ve bunların çoğu resmi olarak rapor edilmedi. WannaCry’den bu yana fidye yazılımı küresel bir tehdit olmaya devam etti, ancak bir kez daha çalışma şeklini değiştirecekti.

Mevcut fidye yazılımı kampanyaları, siber suçluların kazançlı olarak tanımladığı ve fidyeyi ödeme olasılığı yüksek olan şirketlere ve büyük kurumlara yöneliktir. Conti, REvil, Maze, Lockbit ve diğer birkaç hain aktör, siber güvenlik araştırma şirketi Crowdstrike’ın “büyük oyun avcılığı” olarak tanımladığı şeye katılıyor.

Hizmet kesintileri ve itibar kaybı açısından kaybedecek çok şeyi olan hedeflerin peşinden giderler, bu nedenle yalnızca bir şifre çözme anahtarı elde etmek için değil, aynı zamanda verilerinin kamuya sızmasını önlemek için de ödeme yapabilirler. Bu taktiğe çifte gasp denir – fidye ödemesi sadece verilerin kilidini açmak için değil, aynı zamanda sızdırmamak için de talep edilir.

Fidyeyi ödeyen şirketler, özellikle GDPR’ye uymama nedeniyle potansiyel olarak önemli para cezaları ışığında, genellikle kayıplarını hesaplar ve daha az kötü olanı seçer.

SİBER TERÖRİZM OLARAK Fidye Yazılımı

Fidye yazılımı saldırılarının, özellikle büyük kesintilere ve insan yaşamının kaybına yol açması durumunda, yakında terör eylemleriyle aynı şekilde ele alınabileceğini gösteren birçok işaret var.

Sadece bu yıl, dünyanın her yerindeki hastanelere ve tıbbi tesislere yönelik fidye yazılımı saldırıları nedeniyle ölen birkaç tıbbi hasta vakası vardı.

HSE saldırısı, yakıt dağıtımında büyük gecikmelere neden olan ABD Koloni Boru Hattı’na yapılan felç edici saldırı ile aynı şekilde kolayca bir siber terör eylemi olarak kabul edilebilir. Bir siber saldırı sonucunda devlet hizmetleri veya kritik altyapı işlevini yerine getiremediğinde, artık düzenli, kâr amaçlı suç faaliyetlerinden bahsetmiyoruz.

Kesin olan bir şey var – işler ne yazık ki iyileşmeden önce daha da kötüleşecek. Fidye yazılımı çeteleri, parya Devletler tarafından barındırıldıkları ve onlara karşı koordineli, küresel bir tepki olmadığı sürece faaliyet göstermeye devam edecek.