ABD Adalet Bakanlığı, geçen Temmuz ayından bu yana ağa erişimi olduğunu ve saldırganlara ödeme yapmadan önce şifre çözme anahtarlarını elde edip kurbanlara ilettiğini söylüyor. Adalet Bakanlığı bu hafta, FBI ajanlarının kötü şöhretli bir fidye yazılım grubu olan ‘Hive’ı başarıyla çökerttiğini ve hedeflerin artık ödemeyi düşünmelerine gerek kalmayan 130 milyon dolar değerindeki fidye kampanyalarını önlediğini duyurdu. Hive grubunun dünya çapında 80’den fazla ülkede 1.500’den fazla kurbanı hedef almaktan sorumlu olduğunu iddia eden bakanlık, bu hafta Hive sunucularını, web sitelerini kapatmak için Alman ve Hollandalı yetkililerle birlikte çalışmadan önce aylarca grubun ağına sızdıklarını açıkladı. Başsavcı Yardımcısı Lisa Monaco düzenlediği basın toplantısında “Basitçe söylemek gerekirse, yasal yolları kullanarak hackerları hackledik” dedi.
FBI, Hive sunucularına gizlice girerek 300’den fazla şifre çözme anahtarını sessizce ele geçirebildiğini ve bunları verileri grup tarafından kilitlenen kurbanlara geri verebildiğini iddia ediyor. ABD Başsavcısı Merrick Garland yaptığı açıklamada FBI’ın son birkaç ay içinde bu şifre çözme anahtarlarını kullanarak 5 milyon dolar fidye istenen Teksas’taki bir okul bölgesinin, 3 milyon dolar istenen Louisiana’daki bir hastanenin ve 10 milyon dolar fidye istenen adı açıklanmayan bir gıda hizmetleri şirketinin kilidini açtığını söyledi. Monaco, “Hive’ı ters köşeye yatırdık ve iş modellerini çökerttik,” dedi. Hive, FBI tarafından ilk beş fidye yazılımı tehdidi arasında gösteriliyordu. Adalet Bakanlığı’na göre Hive, Haziran 2021’den bu yana kurbanlarından 100 milyon doların üzerinde fidye ödemesi aldı.
Hive’ın yaptığı; ‘RaaS’ modeli fidye yazılımı üretip satmak, daha sonra dışarı çıkıp dağıtmak için “bağlı kuruluşları” işe almak, Hive yöneticilerinin herhangi bir gelirden yüzde 20 pay alması ve çalınan verileri bir “HiveLeaks” sitesinde yayınlamasıdır. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) göre, bağlı kuruluşlar e-posta kimlik avı, FortiToken kimlik doğrulama açıklarından yararlanma ve yalnızca tek faktörlü oturum açma ile korunan şirket VPN’lerine ve uzak masaüstlerine (RDP kullanarak) erişim elde etme gibi yöntemler kullanıyor. Kasım ayında yayınlanan bir CISA uyarısı, saldırıların kendi Microsoft Exchange sunucularını çalıştıran işletmeleri ve kuruluşları nasıl hedef aldığını açıklıyor. İştiraklerine sağlanan kod, 2021’den beri yamalanmış olmasına rağmen, uygun hafifletmeler uygulanmadıysa genellikle savunmasız kalan CVE-2021-31207 gibi bilinen açıklardan yararlanıyor.
İçeri girdiklerinde, herhangi bir güvenlik yazılımını kapatmak, günlükleri silmek, verileri şifrelemek için kuruluşun kendi ağ yönetim protokollerini kullanmak ve elbette, şifrelenmiş dizinlerde kurbanları fidye talepleri üzerinde pazarlık yapmak için canlı bir sohbet paneline bağlayan bir ‘HOW_TO_DECRYPT.txt’ fidye notu bırakmaktır. Hive, 2021 yılında bir Apple tedarikçisinden ve dünyanın en büyük et tedarikçisinden MacBook şemalarının sızdırılmasından sorumlu olan ‘REvil’den bu yana federallerin çökerttiği en büyük fidye yazılımı grubudur. Aynı yılın başlarında ‘DarkSide’ gibi gruplar Colonial Pipeline’ın sistemlerine sızarak ulusal gaz fiyatlarının fırlamasına neden olduktan sonra 4,4 milyon dolarlık bir ödemeyi başarıyla aldılar. Bununla birlikte, kamuoyuna duyurulan en pahalı fidye yazılımı saldırısı, bilgisayar korsanlarına 40 milyon dolar ödeyen sigorta şirketi CNA Financial’dır.
FBI, Hive’ı izlediği sırada grubun önceki kurbanlarına ait 1.000’den fazla şifreleme anahtarı buldu ve FBI Direktörü Christopher Wray, tespit edilen kurbanların yalnızca yüzde 20’sinin yardım için FBI’a ulaştığını belirtti. Fidye yazılım saldırılarının pek çok kurbanı, bilgisayar korsanlarının tepkisinden ve kendilerini güvence altına alamadıkları, sektörlerinde incelemeye alınmaktan korktukları için FBI ile temasa geçmekten kaçınıyor. Ancak bilgisayar korsanlarına ödeme yapılmaya başlanması, fidye yazılım endüstrisinin bu işe devam etmesine yol açıyor. FBI, daha fazla kurbanı, taleplere boyun eğmek yerine öne çıkmaya ve kendileriyle çalışmaya ikna edebileceğini umuyor. Monaco, “Bir kurban öne çıktığında, çalınan fonların geri alınması ya da şifre çözücü anahtarların elde edilmesinde büyük fark yaratabilir,” dedi.
