Fidye yazılımı, siber suçluların kripto para hesaplarına servet akıtır. Ama bütün kömür nereye gidiyor? Lüksün kucağında bir hayat mı? Sophos tarafından yapılan araştırma, daha fazla saldırı için çok para yatırıldığını gösteriyor. Ödeme yapan herkes, kendisine yönelik bir sonraki saldırıyı da finanse eder.
Fidye yazılımı saldırılarının kurbanlarının el konulan verilerinin mülkiyetini geri alacakları varsayımıyla şantajcılara ödediği milyonlarca Bitcoin & Co. gerçekte nereye gidiyor? En azından bir kez bir önsezi vardı: Ukrayna'da Clop fidye yazılımı grubuyla bağlantılı şüphelilerin tutuklanması sırasında, kanıt olarak toplanan etkileyici bir araba etiketi koleksiyonu vardı ve çekicilerde bulunan çok sayıda lüks araba yüklendi ve bunlara el konuldu.
Daha fazla saldırı için yeniden yatırım yapın
Ancak, herhangi bir iyi şirket gibi, siber suçlular da kârın belirli bir yüzdesini "operasyonlara" geri yatırırlar. Ve genel olarak siber suç işinin genişlemesi de kazanılan doları kullanmak için popüler bir iş modelidir. Bu nedenle, geçen yıl REvil grubunun verilen hizmetler için ön ödeme olarak bir siber suç forumuna XNUMX milyon dolar değerinde bitcoin bağışlaması şaşırtıcı değil. Ancak bu eylem, forum üyelerine sunulan paranın sadece bir vaatten daha fazlası olduğunu kanıtlamaya hizmet etti: zaten başarılı "başvuranlar" için harcanması zorunlu bir yatırımdı.
RAT, LPE, RCE - büyüteç altında siber suç jargonu
Bu siber suç pazarındaki teklifler, orijinal çözüm için 10 $'a kadar Windows 150.000 için dosyasız yazılımdan, multi-milyon dolarlık bir bütçeyle RCE dahil sıfır gün açıklarından yararlanmalara ve "En temiz RAT'leri satın alacağım" gibi tekliflere kadar çok gizemli geliyor. .” Siber suç forumlarındaki teknik terimlerin listesi uzundur, en önemlileri aşağıda kısaca açıklanmıştır:
RAT = Uzaktan Erişim Truva Atı
Botlar veya zombiler olarak da bilinirler. RAT'ler, dolandırıcıların bilgisayarın kontrolünü ele geçirmesine izin veren yetkisiz erişim boşlukları açar. Bazı RAT'ler, keylogging'i açan, ekran görüntüleri alan, ses ve video kaydeden veya hassas dosyaları kopyalayan açık uzaktan erişim komutları sağlar.
Ancak neredeyse tüm RATS'ların, RAT'leri otomatik olarak güncelleyebilen, ek veya rastgele kötü amaçlı yazılım indirip yükleyebilen veya orijinal RAT'ı hemen kapatabilen ve tüm kanıtları kaldırabilen özellikleri de vardır. Bir RAT'ın kendisini tamamen farklı bir kötü amaçlı yazılım türüne dönüştürme konusundaki muazzam yeteneği, tespit edilemeyen bir RAT'ın ortaya koyduğu risklerin neredeyse sınırsız olduğunu gösterir.
Dosyasız yazılım kayıt defterinde "yaşar"
Teknik olarak, kayıt defterinde (Windows'ta, işletim sistemi yapılandırmasının bulunduğu yer) "yaşayan" yazılım gerçekten dosyasız değildir, çünkü kayıt defterinin kendisi sabit sürücüdeki bir dosyada bulunur. Ancak Windows'un başlangıçta otomatik olarak başlattığı yazılımların çoğu, çalıştırılacak programı içeren bir dosya adı olarak kayıt defterinde listelenir. Bu nedenle, program kötü niyetli veya istenmeyen ise, düzenli bir sabit sürücü taraması kötü amaçlı yazılımı bulabilir ve kaldırabilir. Normal gidişat bu. Ancak, bazı kayıt defteri girdileri, Windows'un doğrudan kayıt defteri verilerinde kodlanmış olarak çalıştırmasını istediğiniz asıl komut dosyasını veya programı içerebilir. Bu şekilde depolanan tehditler, diskte kendi dosyalarını işgal etmez ve bu nedenle bulunmaları daha zordur.
LPE = Yerel Ayrıcalık Yükseltme
Dolandırıcılar bir LPE'de bilgisayara giremezler. Ancak: zaten sistemdeyseler, kendilerini normal bir kullanıcı hesabından daha fazla haklara sahip bir hesaba yükseltmek için bir LPE güvenlik açığını kullanabilirler. Bilgisayar korsanının favorisi, sistem yöneticisi ile neredeyse eşit düzeyde olan etki alanı yöneticisidir.
RCE = Uzaktan Kod Yürütme
Tam olarak ne diyorsa onu yapar: Saldırganlar bilgisayara girer ve kullanıcı adı/şifre girişi olmadan seçtikleri bir programı başlatır.
Sıfırıncı Gün İstismarları
Henüz düzeltme eki olmayan güvenlik açıkları
Sıfır tıklama saldırısı
Kullanıcı eylemi gerektirmeyen saldırılar. Teknoloji, sunucularda sıklıkla olduğu gibi, bilgisayar kilitli olduğunda veya hiç kimse oturum açmadığında bile çalışır.
Bir fidye yazılımı saldırısından sonra can alıcı soru: öde ya da ödeme
Saymak ya da saymamak, fidye yazılımıyla yapılan başarılı bir bilgisayar korsanı saldırısından sonraki soru budur. Ne yazık ki, hiçbir zaman fidye ödenmemesi gerekse de, kurbanın bir iş felaketini önlemek için tek şansı olabileceğinden, herkese uyan tek bir cevap yoktur. Ancak, Sophos Fidye Yazılımı Durumu Raporu 2021'de açıkça belirtildiği gibi, fidyeyi ödemek tam bir veri kurtarma garantisi olmaktan çok uzaktır. Fidyeyi ödeyenlerin yalnızca %8'i daha sonra tüm verilerini geri aldı. Sophos'ta kıdemli teknoloji uzmanı Paul Ducklin, "İyileşme sürecinden ve çabadan tasarruf etmek için fidye ödemenin başkalarına pek zarar vermeyeceğini kendi kendine söyleyen herkes daha iyi bilmeli," dedi. "Siber suçlularla iş yapmak ateşle oynamaktır ve aynı zamanda herkes haraç parasının yalnızca özel lükslere değil, aynı zamanda siber suç işinin büyümesini artıran yeni saldırılara ve teknolojilere de harcandığının farkında olmalıdır. bir bütün."
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.