SİBER SUÇLULARIN YENİ ROTASI

Hizmet modeli olarak siber suçun yükselişiyle birlikte, saldırıyı organize etmek için gerekli bilgiler siber suçlular arasında talep görmeye başladı. Kaspersky uzmanları, forumlarda şirket ağlarına ilk erişim için bilgi satın almayı teklif eden yaklaşık 200 gönderiyi analiz etti.

Büyük bir şirketin sistemlerine erişimin ortalama maliyeti 2 bin ile 4 bin dolar arasında değişirken, bu hedeflenen işletmelerin uğrayabileceği potansiyel zarara kıyasla nispeten ucuz kalıyor. Bu tür hizmetler, yıllık karı 40 milyon dolara ulaşabilen fidye yazılımı operatörleri açısından büyük önem taşıyor. Bu ve diğer bulgular, "Kurumsal altyapıya erişimin maliyeti nedir?" başlıklı yeni Kaspersky raporunda yer alıyor. 

Kaspersky araştırması, yalnızca saldırı yoluyla elde edilen verilere değil, aynı zamanda saldırıyı organize etmek için gerekli olan veri ve hizmetlere (örneğin çok aşamalı bir saldırının belirli adımlarını gerçekleştirmek için gereken veriler gibi) Dark Web üzerinde yüksek bir talep olduğunu ortaya koydu.

Saldırganlar kuruluşun altyapısına erişim elde ettiğinde, bu erişimi fidye yazılımı operatörleri gibi diğer gelişmiş siber suçlulara satabiliyorlar. Bu tür saldırılar, hedeflenen kuruluşta önemli mali ve itibar kayıplarına yol açarken işin bir süre durmasına ve iş süreçlerinde aksamalara neden olabiliyor. Bu saldırılarla hem KOBİ'ler hem büyük işletmeler karşılaşabiliyor.

Kaspersky uzmanları, satılan kurumsal veri türlerini ve siber suçluların kuruluşun verilerinin fiyatını değerlendirmek için hangi kriterleri kullandığını belirlemek amacıyla şirketlerin ilk erişim bilgilerinin pazarlandığı Dark Web üzerindeki yaklaşık 200 gönderiyi analiz etti. Çoğu gönderi (%75) RDP (Uzak Masaüstü) erişimi satıyordu. Uzaktan barındırılan bir masaüstüne veya uygulamaya erişim sağlayan bu sistem, siber suçluların verileri kontrol eden bir şirket çalışanı gibi uzaktan ana bilgisayara ulaşarak şirket kaynaklarına bağlanmasına, erişmesine ve kontrol etmesine olanak tanıyor.

İlk erişim fiyatları birkaç yüz dolardan yüz binlerce dolara kadar değişen rakamlara sahip. Şaşırtıcı olmayacak bir şekilde, analiz edilen tekliflerin yüksek fiyatlarının temel belirleyicisi potansiyel kurbanın geliri oluyor. Fiyat gelirle birlikte büyürken, şirketin bulunduğu sektöre ve faaliyet gösterdiği bölgeye göre de farklılık gösterebiliyor.

Büyük işletme altyapılarına erişim genellikle 2 bin ila 4 bin ABD Doları arasında ve bunlar nispeten mütevazı rakamlar. Ancak maliyetin bir üst sınırı olmadığını belirtmek gerek. Örneğin 465 milyon dolar cirosu olan bir şirkete ait veriler 50 bin dolardan satılıyor.

Kuşkusuz ilk erişim fiyatının en önemli bileşenlerinden biri, alıcının bu erişimi kullanarak yapacağı saldırıdan potansiyel olarak kazanabileceği para miktarı. Bazı fidye yazılımı operatörleri, kurumsal ağa sızma fırsatı için binlerce, hatta on binlerce dolar ödemeye hazır. Bunların gerçekleştirdiği saldırılar genellikle hedeflenen şirkete milyonlarca dolara mal oluyor. Geçen yılın en üretken suç odakları, son üç yılda potansiyel olarak 5,2 milyar dolar gelir elde etmiş görünüyor.

Siber suçluların kurumsal verileri şifrelemenin yanı sıra bunları çaldığı da oluyor. Daha sonra çalınan verilerin bir kısmını saldırının kanıtı olarak bloglarında yayınlanabiliyor veya para ödenmediği durumlarda daha fazlasının yayınlanacağı şeklinde bir tehdit unsuru olarak da kullanılabiliyor.

Kaspersky Güvenlik Uzmanı Sergey Shcherbel şunları söylüyor: “Siber suçlular yalnızca teknik açıdan değil, aynı zamanda örgütlenmeleri açısından da evrim geçirdi. Günümüzde fidye yazılımı grupları, satış hizmetleri ve ürünleriyle daha çok gerçek sektörlere benziyor. Yeraltındaki siber suçluların yeni eğilimlerini ve taktiklerini tespit etmek için Dark Web forumlarını sürekli izliyoruz. Karanlık ağdaki kaynakların görünürlüğüne erişmek, tehdit istihbaratlarını zenginleştirmek isteyen şirketler için çok önemli. Planlanan saldırılar hakkında zamanında bilgi edinmek, güvenlik açıkları hakkındaki tartışmaların ve başarılı veri ihlallerinin sebeplerinin farkında olmak, saldırı alanlarının azaltılmasına ve uygun karşı eylemlerin gerçekleştirilmesine yardımcı olacaktır.”

Kaspersky Threat Intelligence portalına eklenen Dark Web araması, dünya çapında bir dizi doğrulanmış kaynaktan gelen iç görülere erişim sağlayarak şirketlerin siber saldırıların etkisini azaltmasına ve olası tehditleri vaka haline gelmeden önce belirlemesine olanak tanıyor.