Siber suçluların çalışma yöntemleri ve eylemlerinin ulaşabileceği boyutu ne kadar iyi anlarsak, onlarla o kadar etkili bir şekilde mücadele edebiliriz. Fidye yazılımı söz konusu olduğunda, herhangi bir suç grubunun başarısını ve karlılığını değerlendirmek genellikle kolay bir iş değildir. Güvenlik hizmeti sağlayıcıları genellikle bu tür saldırıları müşterilerini gözlemleyerek ve onlarla iletişim kurarak öğrenirler. Bu da aslında başarısız olan girişimleri seçebilmeye meyilli olduğumuz anlamına gelir. Bu arada, fidye yazılımı kurbanları -özellikle ödeme yapanlar- ise sessiz kalma eğilimindedir.
Bunun sonucu olarak başarılı saldırılarla ilgili elimizdeki güvenilir veriler de azdır. Fakat, 2020 Uzaktan Kaos İletişim Kongresi’nde (RC3) bir araştırma ekibi, siber suç etkinliklerini, kripto para ayak izleri üzerinden baştan sona analiz etmek için oldukça ilginç bir yöntem sundu.
Çalışmayı 2016 ve 2017 yıllarında Princeton, New York, Kaliforniya ve San Diego Üniversitesi’ndeki analistlerin yanı sıra Google ve Chainalysis çalışanları yürüttü. Ve birkaç yıl geçmesine rağmen bu yöntem uygulanabilirliğini koruyor.
Araştırma yöntemi
Suçlular kazandıkları paranın takip edilmesinden korkuyor, ki modern siber suçlar, pratikte düzenlenmemiş ve anonimlik sağlayan kripto para birimlerini -özellikle Bitcoin- tercih ediyor. Dahası kripto para birimleri herkes tarafından kullanılabiliyor ve yapılan işlemler de iptal edilemiyor.
Bununla birlikte, Bitcoin’in başka bir ilgili özelliğinden de bahsetmek gerekli; tüm Bitcoin işlemleri halka açıktır. Bu, finansal akışların izini sürmenin ve siber suçlar ekonomisinin iç işleyişinin ölçeğine göz atmanın mümkün olduğu anlamına gelir. Araştırmacıların yaptığı da tam olarak buydu.
Saldırganların tümü olmasa da bazıları, her kurban için tek bir Bitcoin cüzdan adresi oluşturuyorlar. Bu sebeple araştırmacılar işe, fidye ödemeleri için kullanılan bu cüzdanları toplayarak başladılar. Virüsle ilgili halka açık paylaşımlarda bazı adresler buldular -ki birçok kurban çevrimiçi fidye mesajının ekran görüntülerini yayınladı- ve bunlar dışındakileri de test cihazlarında fidye yazılımı çalıştırarak elde ettiler.
Daha sonra, araştırmacılar cüzdana aktarılan kripto para biriminin gidişatını izlediler. Bu da, bazı durumlarda kendi kendilerine mikro Bitcoin ödemeleri yapmalarını gerektirdi. Bitcoin’in birkaç cüzdandaki meblağın tek bir cüzdana aktarıldığı paylaşılmıştır harcama özelliği, siber suçluların birden fazla kurbandan gelen fidye ödemelerini konsolide etmesini sağlıyordu. Ancak böyle bir işlem, işin arkasındaki ismin birden fazla cüzdanın anahtarına sahip olmasını gerektiriyor. Sonuç olarak, bu tür işlemlerin izlenmesi, mağdurlar listesini genişletmeyi ve aynı anda fonların transfer edildiği merkezi cüzdanın adresini bulmayı mümkün kılar.
Cüzdanlardaki finansal akışları iki yıllık bir süre boyunca inceleyen araştırmacılar, siber suçluların gelirleri ve fonları aklamak için kullanılan yöntemler hakkında böylelikle fikir edindiler.
Temel çıkarımlar
Araştırmacıların temel bulgusu, iki yıllık bir dilim içinde 19.750 kurbanın, en yaygın beş fidye yazılımı türü operatörlerine yaklaşık 16 milyon dolar transfer etmesi yönündeydi. Kuşkusuz tüm işlemleri izlemiş olmaları pek olası olmadığından, rakam tam olarak doğru değil. Ancak birkaç yıl önce siber suç faaliyetlerinin ölçeğine ilişkin kabaca bir tahmin sağlıyor.
İlginç bir şekilde bu gelirin yaklaşık %90’ı, o zamanların en aktif iki fidye yazılımı tehdidi olan Locky ve Cerber ailelerinden geliyordu. Dahası, kötü şöhretli WannaCry yüz bin dolardan fazla kazanmadı, ki birçok uzman WannaCry’i kötü amaçlı fidye yazılımı olarak değil de, bir veri silici olarak sınıflandırıyor.
Siber suçluların bu gelirin ne kadarını aldıklarını ve nasıl yaptıklarını araştırmak ise çok daha ilginçti. Bunun için araştırmacılar, siber suçluların cüzdanlarından hangilerinin, bilindik çevrimiçi dijital döviz bozdurma işlemlerinde kullanılan cüzdanlarla ortak işlemlerde kullanıldığını görmek üzere, transfer analizlerinde kullandıkları aynı yöntemi kullandılar. Elbette tüm işlemler bu şekilde izlenemiyor ancak bu yöntem, siber suçluların en çok BTC-e.com ve BitMixer.io aracılığıyla para çektiklerini tespit etmelerini sağlamaya yetti. Yetkililer daha sonra her iki borsa pazarını da tahmin edeceğiniz üzere yasa dışı para aklama nedeniyle kapattı.
Ne yazık ki, RC3 web sitesinde video sunumun tam versiyonu yok, ancak raporun tam metnini yine de bulabilirsiniz.
Fidye yazılımlarına karşı nasıl korunabilirsiniz?
Fidye yazılımından elde edilen büyük kazançlar, siber suçluların her zamankinden daha atılgan davranmasına sebep oluyor. Bir gün modern Robin Hood kılığında hayır kurumlarına yatırım yaparken, diğer gün ağlarına daha çok kurban düşürmek için reklam kampanyaları finanse edecek hale gelebiliyorlar. Bu çalışmada araştırmacılar, finansal akışları durduracak ve siber suçluların zihinlerinde yeni fidye yazılımlarının karlılığı konusunda şüphe uyandıracak kilit noktaları bulmaya çalıştılar.
Siber suçla mücadelede gerçekten etkili olan tek yöntem ise bulaşmayı önlemek. Bu nedenle, aşağıdaki kurallara sıkı sıkıya bağlı kalmanızı öneririz:
- Sosyal mühendislik tekniklerini tanımaları için çalışanlarınızı eğitin. Birkaç ender durum dışında, saldırganlar genellikle kullanıcılara kötü amaçlı bir belge veya bağlantı göndererek bilgisayarlara erişmeye çalışacaktır.
- Tüm yazılımları, özellikle işletim sistemlerini düzenli olarak güncelleyin. Çoğu zaman, fidye yazılımı ve dağıtım araçları bilindik ancak henüz yamalanmamış güvenlik açıklarından yararlanır.
- Tercihen hem bilinen, hem de henüz tespit edilmemiş tehditlerle başa çıkabilen, yerleşik anti-ransomware teknolojisi sunan güvenlik çözümleri kullanın.
- Verileri düzenli olarak yedekleyin, tercihen yedekleri yerel ağa kalıcı olarak bağlı olmayan ayrı bir ortamda depolayın.