Bireysel Saldırıcılar
Başlangıçta, fidye yazılımı saldırıları genellikle tek tek kişiler veya çok küçük gruplar tarafından gerçekleştiriliyordu. Bu saldırılar, günümüzdeki saldırılardan daha az karmaşıktı ve genellikle operasyonel koordinasyon gerektirmeyen otomatik şifrelemeye odaklanıyordu. Saldırganların ana amacı, fidye yazılımını geliştirmek ve yaymaktı. Hangi grupların tekil bireyler olarak başladığı ve ne kadar süre böyle kaldıkları konusunda kesin bilgi bulunmamaktadır. Birçok tehdit aktörünün muhtemelen küçük gruplar olarak başladığı görülüyor, çünkü operasyonlar genellikle fazla çalışma ve koordinasyon gerektiriyordu. Bu nedenle, zamanla tüm aktörlerin bir küçük grup organizasyonuna ihtiyaç duyduğu anlaşılmaktadır.
Grup Tehdit Aktörleri
Geleneksel fidye yazılımı iş modeli, artık tek bir grup tehdit aktörünün operasyonun tüm aşamalarını paylaşan, bölen ve koordine eden birden fazla kişiden oluştuğu bir yapıyı ifade eder. Bu aşamalar, hedef seçimi, hedefin güvenlik açıklarının analizi, saldırıların gerçekleştirilmesi, kötü amaçlı yazılım ve enfeksiyon, dosya şifreleme anahtarlarının koordine edilmesi, fidye ödemesinin müzakere edilmesi ve gelirin alınmasını içerir. Aynı grup genellikle tüm araçlarını geliştirir, ödeme sistemini kurar ve başarılı saldırılar için gerekli açıkları veya bilgileri satın alır. Hizmet olarak fidye yazılımı gibi yeni fırsatlar ortaya çıkmış olsa da, bu iş modeli hâlâ en yaygın kurumsal tercih olarak kalmaktadır.
Fidye Yazılımı-Hizmet Olarak
Hizmet Olarak Fidye Yazılımı (RaaS), tehdit aktörlerinin yazılım platformlarını saldırılar gerçekleştirmeleri için harici bağlı kuruluşlara sunduğu bir iş modelidir. Bağlı kuruluş pazarları, siber suç organizasyonları içinde iyi bilinmektedir. Bu program, bir tehdit aktörü grubu (RaaS operatörü) tarafından yürütülür ve kötü amaçlı yazılım ile ödeme platformunu kullanan harici bağlı kuruluşları içerir. RaaS modeli, muhtemelen önemli miktarda para kazandıktan sonra geliştirilen kötü amaçlı yazılım platformunu, elde edilen verileri, virüs bulaşan hedefleri ve alandaki uzmanlığı paylaşma fırsatının ortaya çıkması nedeniyle başarılı olan grup tehdit aktörü türündeki iş modelinin bir sonucu olarak ortaya çıkmıştır.
RaaS operatörleri fidye yazılımını geliştirir ve bağlı kuruluşların kullanımı için bir yazılım platformu sağlar. RaaS iştirakleri, fidye yazılımı saldırılarını gerçekleştirir, ödeme müzakerelerini yürütür ve fidyeyi toplar. Ayrıca, saldırıları gerçekleştirmek için gereken ek istismarları veya bilgileri satın alır.
Bu tür bir iş modeli, RaaS operatörlerine birden fazla gelir akışı sağlar. Bir gelir kaynağı, bağlı kuruluşlara yapılan fidye ödemelerinin yüzdesidir; bu oran genellikle %10-20 veya daha fazla olabilir. Diğer gelir kaynakları, hedeflere ilişkin verileri satmak, bağlı kuruluşların platforma erişmek için ödediği aylık abonelikler veya diğer tehdit aktörlerine danışmanlık yapmaktır.
RaaS, fidye yazılımı saldırıları gerçekleştirmek için giriş seviyesi engelini düşürmüştür. Saldırganların artık kendi fidye yazılımlarını nasıl yazacaklarını bilmelerine gerek yoktur; yalnızca bir saldırının nasıl gerçekleştirileceğini bilmeleri yeterlidir. RaaS operatörleri, fidye yazılımını ve çalışacak platformu sağlayacaktır. Bu durum, herkesin saldırı gerçekleştirme ve hedef olma olasılığını artırır. Ayrıca, RaaS platformları, bir bağlı kuruluş olarak çalışırken saldırganın kim olduğunu nadiren bilindiğinden, siber suç operasyonlarına yeni bir anonimlik düzeyi getirir. Bir bağlı kuruluş olarak fidye yazılımına giriş yapmak, kar etmek ve bazı tehdit aktörlerinde daha önce görüldüğü gibi hızla emekli olmak, artık hiç olmadığı kadar kolaydır.
Veri Aracılığı
Veri Aracılığı, yeni bir iş modeli olarak ortaya çıkmaktadır. Bu modelde, tehdit aktörleri çalınan verileri en yüksek teklifi verene satarak ek avantajlar elde eder. Ayrıca, hedefe erişim sağlandığında, bu erişim diğer tehdit aktörlerine ek istismar için yeniden satılabilir.
Başarılı Bir Fidye Yazılımı İşinin Anahtarı Olarak - Notoriety
Fidye yazılımı talepleri genellikle finansal olarak motive edilmiştir. Bu işte başarılı olmak için fidye yazılımının şifre çözmenin işe yarayacağını garanti etmesi gerekir. Tehdit aktörleri genellikle, örnek dosyaların şifresini çözmek gibi, şifre çözmenin çalıştığını gösteren mekanizmalara sahip olurlar.
Fidye yazılımı operatörlerinin belirli bir kötü şöhrete sahip olmaları gerekir; aksi takdirde kurbanlar fidyeyi ödemeyecektir. Fidye yazılımı gruplarının itibarı, sözlerini ne kadar iyi tuttuklarına bağlıdır. Birçok saldırgan, ödeme yapıldıktan sonra şirketleri web sitelerinden kaldıracaklarına, çalınan verileri sileceklerine ve verileri halka sızdırmayacaklarına söz verir. Ancak bir rapor, fidyeyi ödeyen şirketlerin %18'inin verilerini sızdırdığını ve fidye ödeyen kurbanların %35'inin verilerini alamadığını göstermektedir.
Kötü şöhreti ve itibarı ölçmek neredeyse imkansızdır, ancak 2021 raporu, fidye yazılımı olaylarını bildiren katılımcıların %60'ının saldırganlarla gerçekten pazarlık yaptığını ve kurbanların tehdit aktörlerini değerli muhataplar olarak algıladığını göstermiştir.
Fidye yazılımı tehdit aktörleri bazı durumlarda sözlerini tutmuş gibi görünse de, bir fidye ödemesinin tehdit aktörleri tarafından çözümlere ve geri çekilme operasyonlarına yol açacağının hiçbir garantisi yoktur. Bu nedenle, siber suçlularla pazarlık yapılması önerilmez. Fidye yazılımı vakalarında, kolluk kuvvetleri ve ulusal siber güvenlik yetkilileriyle iletişime geçilmesi tavsiye edilen bir yaklaşımdır.
Ayrıca, fidye yazılımı aktörlerinin ve tüm ekosistemin güvenini doğrudan etkileyen operasyonel sorunlar bulunmaktadır. Fidye yazılımı tehdit aktörlerinin çalışması için altyapıya ihtiyaçları vardır; ancak web sitelerinin güncellenmemesi, halka açık sızıntıların süresinin dolması, verilerin mevcut olmaması ve web sitelerinin çökmesi gibi nedenlerle bu altyapı genellikle güvenilmezdir. Bir fidye yazılımı saldırısının gerçekten olup olmadığını ve dosyaların gerçekten çalınıp çalınmadığını teyit etmek zor olduğundan, bu istikrarsızlık mağdurlar arasında belirsizlik yaratır. Bu nedenle, mağdurların yetkililerle tekrar iletişime geçmeleri önemlidir.
