Fidye yazılımı saldırganlarıyla pazarlık yapması gereken siber güvenlik uzmanları artık fidye yazılımı saldırılarını kolaylaştırmakla suçlanıyor. Amerika Birleşik Devletleri Adalet Bakanlığı, bir siber güvenlik müzakere firmasının iki çalışanı ve bir suç ortağı hakkında fidye yazılımı hacklemek ve dağıtmakla suçlandığını duyurdu.
Kişiler, fidye yazılımlarından etkilenen kuruluşlar adına siber suçlularla müzakere etme konusunda uzmanlaşmış bir şirket olan DigitalMint için çalışıyordu. Daha önce başka bir şirkette olay müdahale yöneticisi olan üçüncü bir şüpheli, plana katılmakla suçlanıyor. İddianamede, şüphelilerin firmaları hacklediği, gizli kurumsal verileri çaldığı ve ALPHV/BlackCat olarak bilinen grup tarafından geliştirilen fidye yazılımlarını kurbanlara şantaj yapmak için kullandığı iddia ediliyor.
Suçlamalara göre DigitalMint çalışanları, kurban ağlarına sızarak, hassas bilgiler elde ederek ve ardından aynı hedeflere karşı fidye yazılımı başlatarak güvenilir rollerini kötüye kullandılar. Savcılar bunu, kuruluşların siber güvenlik ortaklarına duyduğu güvene ciddi bir ihanet olarak tanımlıyor. Adalet Bakanlığı, davranışın müzakere hizmetleri kisvesi altında “yetkisiz bilgisayar korsanlığı, veri hırsızlığı ve fidye yazılımı dağıtımını” içerdiğini kaydetti.
Bu dava, savunma danışmanları veya müzakereciler olarak konumlandırılan aktörlerin saldırı operasyonlarına karışması nedeniyle rahatsız edici bir eğilimi vurgulamaktadır. Fidye yazılımı saldırganlarıyla pazarlık yapmak için üçüncü taraf firmalarla çalışan kuruluşların bağımlılıklarını ve kontrollerini yeniden değerlendirmeleri gerekebilir. Savunmacı ve saldırganın ikili rolü, siber güvenlik tedarik zincirinde güven ve gözetim çerçevelerini karmaşık hale getirir.
Fidye yazılımı müzakeresi doğası gereği yüksek risklidir. Aracılar aracılığıyla saldırganlarla etkileşime giren kurbanlar genellikle hasarı en aza indirmeyi, şifrelenmiş sistemleri kurtarmayı ve veri sızıntılarını önlemeyi umarlar. Ancak müzakere eden taraf saldırı zincirinde suç ortağı olduğunda, bu bir çıkar çatışması yaratır ve yeni riskler ortaya çıkarır. Güvenilir arabulucularla ilgili geleneksel varsayımlar artık her zaman geçerli değil.
İddianamede mağdur kuruluşların sayısı veya iddia edilen planın neden olduğu toplam kayıplar açıklanmıyor. Bununla birlikte, kullanılan fidye yazılımı çeşidi BlackCat/ALPHV’nin büyük av avcılığı kampanyalarında üretken bir araç olduğunu vurguluyor. Analistler, grubun multimilyon dolarlık ödemeleri zorla aldığını ve taleplerin ödenmemesi halinde verilerin açığa çıkmasıyla tehdit ettiğini takip etti.
Fidye yazılımı olaylarında müzakere hizmetlerine güvenen kuruluşlar için çeşitli ihtiyati adımlar ortaya çıkıyor. İlk olarak, müzakere firmalarına ilişkin durum tespiti, bağımsızlık, erişim izinleri ve olay müdahale geçmişlerine ilişkin değerlendirmeleri içermelidir. İkinci olarak, sözleşmeye dayalı ve teknik kontroller, müzakerecinin hassas ortamlara erişimini, rolleri açıkça tanımlanana ve sınırlandırılana kadar sınırlamalıdır. Üçüncüsü, olay müdahale planları, müzakere hizmetlerinin kendilerinin tehlikeye girebileceği senaryoları dikkate almalıdır.
Daha geniş bir bağlamda, müzakere firmalarının gelişen rolü, fidye yazılımı ekosistemlerinin nasıl giderek daha karmaşık hale geldiğini yansıtıyor. Saldırganlar yalnızca verileri şifreleyip ödeme talep etmiyor. Artık ilk erişimi elde etmek, yanal hareket etmek ve gasp kampanyaları başlatmak için güvenilir ortaklara, içeriden kişilere veya savunucu gibi davranan dış aktörlere güvenebilirler. Bu, organizasyonel riski, olay müdahalesi ve müzakereden oluşan aracı tedarik zincirini içerecek şekilde ilk müdahalenin ötesine taşır.
Savunucular, bir fidye yazılımı olayına karışan tüm tarafların, yalnızca düşmanın değil, aynı zamanda müdahale ekipleri ve müzakereciler ağının görünürlüğünü güçlendirmeye odaklanmalıdır. Bu, müzakere firmalarının kimlik bilgilerinin doğrulanmasını, faaliyetlerinin gerçek zamanlı olarak izlenmesini ve müzakereyi erişim ve iyileştirme rollerinden ayıran olay yönetişim yapılarının sürdürülmesini içerir.
DOJ suçlamaları, fidye yazılımı müzakere sektöründe düzenleyici inceleme ve profesyonel standartlara duyulan ihtiyacın altını çiziyor. Aracılarla müzakere etmenin rolü daha resmi hale geldikçe lisanslama, gözetim ve etik ile ilgili sorular ortaya çıkabilir. Dava, hükümetlerin ve endüstrinin daha geniş olay-müdahale pazarını nasıl düzenlediği konusunda bir emsal teşkil edebilir.
Fidye yazılımı büyük bir tehdit olmaya devam ediyor, ancak bu gelişme tehdit yüzeyinin bir kısmını güvenilir hizmetler alanına kaydırıyor. Kuruluşlar, müzakere hizmetlerini, ayrıcalıklı erişime sahip diğer satıcılarla aynı düzeyde inceleme ve güvenlik gerektiren olay-müdahale ekosisteminin bir parçası olarak ele almalıdır. Bunun yapılmaması, bir yardım kaynağını bir tehdit vektörüne dönüştürebilir.