Alman şirketleri neredeyse her gün bilgisayar korsanlarının hedefi oluyor. Saldırganların başarılı olması durumunda zamana karşı bir oyun başlar. WELT, Darknet'teki pazarlara ilişkin nadir bilgiler sağlıyor ve polis uzmanlarının hangi ipuçlarına şiddetle karşı olduklarını ortaya koyuyor.
Baden-Württemberg'deki orta ölçekli bir aile şirketinin genel müdürü Thomas Horn için zifiri karanlık bir gün. Cep telefonu sabahın erken saatlerinden beri durmadan çalıyor. Hattın diğer ucundaki çalışanları heyecanla şirket bilgisayarlarında hiçbir programın açılamayacağını, bunun bir siber saldırı olduğunu anlatıyor.
Horn ofise giderken kafasında ödeme temerrütlerini düşünüyor ve benzer olaylarla ilgili okuduğu gazete makalelerini hatırlıyor. Bilgisayarında aynı metin belgesinin tüm klasörlere dağılmış olduğunu görür. Yalnızca karanlık ağdaki Tor tarayıcısı aracılığıyla açılabilen sohbet penceresine bir bağlantı var.
“Merhaba?” yazıyor.
“Müşteri Hizmetlerine hoş geldiniz. Şu anda ağınızdan topladığımız verilerin listesini derliyoruz. Şimdilik, bizimle çalışmanın bu sorunu hızlı ve uygun maliyetli bir şekilde çözmenin en iyi yolu olduğunu bilmelisiniz. Lütfen sabırlı olun,” kibarca İngilizce olarak geri geliyor. Ve ardından: “Bizimle pazarlık yapma yetkiniz var mı?”
Thomas Horn, şirketi ve açıklanan senaryo kurgusaldır ancak Almanya'da her hafta birkaç kez meydana gelen vakalara dayanmaktadır. Sanayi derneği Bitkom'a göre Alman şirketleri geçen yıl siber saldırılardan 202 milyar avro zarar gördü. Federal Bilgi Güvenliği Dairesi (BSI), sızıntı sitelerini gerekçe göstererek 2025 yılı için toplam 298 fidye yazılımı saldırısı sayıyor. Bu, bir davetsiz misafirin verilere erişimi ve tüm bilgisayar sisteminin kullanımını engellemek için kullanabileceği kötü amaçlı yazılım içeren saldırıları ifade eder.
Bunlar nadiren basına yansıyor; örneğin yakın zamanda Berlin'deki bir termik santralde olduğu gibi, önemli sivil altyapı etkilendiğinde.
Saldırganların bir sisteme nasıl girebildiğini anlamak genellikle zordur. Bazen aylardır BT altyapısında bulunuyorlar, dosyaları kopyalıyorlar ve duruma ilişkin genel bir bakış elde ediyorlar. Sonuçta merkezi sistem verilerini şifreleyerek her türlü işi imkansız hale getiriyorlar.
SECUINFRA CEO'su Ramon Weil, “Şantajcılar genellikle ikili veya üçlü gasp modeliyle çalışıyor” diyor. Alman siber güvenlik şirketi, şirketlere dijital güvenlik konusunda danışmanlık yapıyor ve güvenlik açıklarını analiz ediyor.
İlk olarak şirketin verileri artık erişilemeyecek şekilde şifrelenir. İkincisi, müşteri bilgileri veya şirket patentleri gibi verileri karanlık ağda yayınlamakla tehdit ediyorlar. Üçüncü adımda ise bölgedeki iş ortaklarına, saldırıya uğrayan şirket üzerindeki baskıyı artırmak amacıyla hassas verileri yayınlamaları yönünde şantaj yapılıyor.
Şifrelemeyi tersine çevirmek için şirketin bir tür fidye ödemesi gerekiyor. Bu gerçekleşene kadar şirketler sıklıkla durma noktasına gelir. Weil, “Bir ömür boyu yapılan çalışmalar bir hafta içinde silinebilir” diyor.
İstismar edilen güvenlik açıklarına ilişkin bilgiler genellikle Darknet'te, örneğin Rusya Pazarları gibi özel forumlar aracılığıyla satılmaktadır. SECUINFRA'da “Falcon” adlı bir ekip trendleri ve yeni teklifleri takip ediyor. Oraya bakmak isteyen herkesin genellikle kripto para miktarı şeklinde bir depozito yatırması gerekiyor.
Söz konusu forumlar, insanların evlilik sorunları, hip-hop veya politika hakkında konuştuğu forumlara benziyor ancak biraz daha gölgeli. Bir web sitesinde, az giyimli bir kadın forum logosunun üzerinde duruyor ve çevrimiçi kumarhanelerin veya Telegram gruplarının reklamları, muhtemelen saldırıya uğramış şifrelerin satıldığı gönderilerin solunda ve sağında yanıp sönüyor. Bir diğer popüler site ise logo renklerinde erotik portal “Pornhub”ı taklit ediyor.
Bu forumları sadece suçluların pazar yeri olarak düşünmemelisiniz. Burada da kullanıcılar dünyadaki olayları tartışıyor, mem gönderiyor veya internetten arkadaşlar ediniyor. Ton, kara mizahtan kabaya kadar değişir ve siber uzmanların bile her zaman anlayamadığı kısaltmalarla karakterize edilir.
Bu forumların açıkça organize edilmiş kısımları iş ile ilgilidir. Teklifler “Botsvana Devlet Sağlık Portalı” veya “En İyi 10 Küresel Havacılık ve Uzay Firması – 20 Milyar Gelir” gibi satırlarla başlıklandırılmıştır.
Bunlar genellikle yerel güvenlik yetkililerinden gelen veriler, Steam oyun alışverişi kullanıcılarından alınan şifre koleksiyonları veya Alman orta ölçekli şirketlere erişim iddialarıdır. Bir şirkete erişim – sözde “ilk erişim” – şirketin büyüklüğüne ve erişim türüne bağlı olarak birkaç yüz dolardan beş rakamlı tutarlara kadar satılıyor. Küçük bir yara genellikle bilgisayar korsanının bazen kendi başına çalışmaya devam etmek zorunda kaldığı BT altyapısına nüfuz etmek için yeterlidir. Bazı insanlar diğer suçluların şanslarını denememesi için güvenlik açığını arkalarında kapatırlar.
***
Bu arada, hayali makine mühendisliği şirketimizde artık hiç kimse inşaat talimatlarına, patentlere ve hatta e-postalara bile erişemiyor. Artık iki gün geçti ve yönetim tüm çalışanları eve gönderdi. İç ve dış iletişimi sürdürmek için yalnızca küçük bir kriz ekibi ve yönetimden oluşan çekirdek bir ekip kaldı. Basından ilk sorular geliyor. Profesyonel bir müzakereci şu anda saldırganlarla iletişim kuruyor ve saldırganlar kibarca fidye talebinde bulunuyor: Bitcoin olarak transfer edilmek üzere 200.000 dolar.
Böylesine profesyonel bir müzakereci, örneğin, eski bir KSK memuru olan Oliver Schneider'dir; daha sonra kendi kriz danışmanlık şirketi “RiskWorkers”ı kurmadan önce sözde kaçırılma müdahale danışmanı olarak dünya çapındaki adam kaçıranlarla pazarlık yapmıştır.
“Şantajcılar kendilerini bir çeşit güvenlik testçisi olarak göstermeyi seviyorlar” diyor. “Kendilerini daha az suçlu, daha çok ihtiyaç anında yardımcı olarak görüyorlar. Sonuçta sistemi yeniden çalışır hale getiriyorlar.” Mağdurun iyi bir yedeklemesi yoksa, genellikle pazarlık yapmaktan başka seçenek kalmaz. “Polis sık sık insanlardan şantaj yapanlarla hiçbir koşulda iletişim kurmamalarını istiyor. Ben bu yaklaşımı tamamen yanlış buluyorum.” Mesajları görmezden gelen herkes genellikle hassas müşteri verilerini daha sonra karanlık ağda bulur. Bu aynı zamanda sohbet yoluyla zaman kazanmak ve konuştuğunuz kişiyi tanımakla da ilgilidir.
“Şantaj grupları McDonald's modeline göre çalışıyor. Bunlar Akira veya Blockbit gibi büyük fidye yazılımı gruplarının bayrağı altında dolaşan franchise sahipleri. Sohbetin diğer ucundaki insanlar bunu satın aldı ve artık kendi hesapları için çalışıyor.” Bu nedenle, şantaj tarafında bir anlaşma yapılması yönündeki baskı farklılık göstermektedir.
Taktiklerden biri saldırıya uğrayan kişinin diğer tarafa her şeyin o kadar da kötü olmadığını anlamasını sağlamaktır. Bazen saldırganı sadece bir “yem” ile tatmin edebilirsiniz. “Lagos'taki iki saldırgan için 100.000 dolarlık bir fidye teklifi çok fazla. Böyle bir şeyi bir kenara atmaları pek mümkün değil.”
Bilgisayar korsanı grubunun itibarı yeterince yüksekse, bir anlaşma durumunda şifre çözme yazılımı alacağınıza neredeyse her zaman güvenebilirsiniz. Saldırganlar, iş modellerinin gelecekte de çalışmaya devam edebilmesi için “iyi bir itibarı” korumakla ilgileniyorlar.
***
Genel müdürümüz şimdi ana bankadan altı haneli bir miktar sipariş etti ve bunu Bitcoin'e dönüştürdü. Para şantajcılara ulaştığında, sohbette onlara şirketin kendisini gelecekte nasıl daha iyi koruyabileceğine dair tavsiyelerin yer aldığı bir “güvenlik raporu” ile teşekkür ettiler. Bir daha denemeyeceklerine de söz veriyorlar. Saldırmazlık paktı, satın alınan “ürün paketinin” bir parçasıydı.
Daha sonra şifre çözme yazılımı verileri tekrar serbest bırakır.
Derin nefes almanın bir anlamı yok. Bir sonraki sızıntı Darknet'te alıcısını bekliyor olabilir.
Bir yanıt yazın