Pek çok kuruluş ve startup için 2023 yılı finansal açıdan zor bir yıl oldu. Özellikle küçük ve orta ölçekli şirketler nakit akışında ve gelir artışında zorlanırken Amazon, Google, Facebook ve Apple gibi teknoloji devleriyse kârlılıklarını korumak adına çeşitli kesintiler ve işten çıkarmalar gerçekleştirdi. Öte yandan fidye yazılım ve online haraç çeteleriyse, son raporlara bakılırsa, kazanç açısından rekor kıran bir yıl geçirdi.
Geçtiğimiz yıl bilgisayar korsanları, kurbanları giderek daha fahiş fidye taleplerini ödemeye zorlamak için taktiklerini geliştirmeye devam ederek giderek daha acımasız geldiler. Taktiklerdeki ve hedeflerdeki bu artışa güvenlik harcamalarındaki düşüş ve hükümetlerin fidye ödemelerini yasaklamakta yetersiz kalması eklenince, 2023’ün fidye yazılım çeteleri için şimdiye kadarki en kazançlı yıl olmasına yol açtı.
Milyar dolarlık siber suç sektörü
Kripto adli tıp girişimi Chainalysis’in yeni verilerine göre, bilinen fidye yazılımı ödemeleri 2023’te 1 milyar doları aştı. Bu, şimdiye kadar gözlemlenen en yüksek rakam ve 2022’de izlenen bilinen fidye ödemelerinin neredeyse iki katı. Ancak Chainalysis, gerçek rakamın muhtemelen şimdiye kadar tanık olduğu 1,1 milyar dolarlık fidye ödemesinden çok daha yüksek olduğunu söyledi.
Yine de iyi bir haber var. 2023 yılı fidye yazılımı çeteleri için genel olarak iyi bir yıl olsa da, diğer hacker gözlemcileri yıl sonuna doğru ödemelerde bir düşüş gözlemledi. Bu düşüş, gelişmiş siber savunma ve dayanıklılığın yanı sıra, çoğu mağdur kuruluşun bilgisayar korsanlarının sözlerini tutacaklarına veya iddia ettikleri gibi çalınan verileri sileceklerine güvenmedikleri yönündeki artan bilince dayanıyor. Fidye yazılımı düzeltme şirketi Coveware’e göre “Bu durum mağdurlara daha iyi rehberlik edilmesine ve maddi olmayan güvenceler için daha az ödeme yapılmasına yol açtı.”
Rekor kıran fidyeler
Daha fazla fidye yazılımı kurbanı bilgisayar korsanlarının ceplerini doldurmayı reddederken, fidye yazılımı çeteleri hedefledikleri kurban sayısını artırarak kazançlarındaki bu düşüşü telafi ediyor.
Örneğin MOVEit kampanyasını ele alalım. Bu büyük saldırı, Rusya bağlantılı Clop fidye yazılımı çetesinin, 2.700’den fazla kurban kuruluşun sistemlerinden veri çalmak için yaygın olarak kullanılan MOVEit Transfer yazılımında daha önce hiç görülmemiş bir güvenlik açığını toplu olarak istismar etmesiyle yaşandı. Kurbanların birçoğunun hassas verilerin yayınlanmasını engellemek için hack grubuna ödeme yaptığı biliniyor.
Bu toplu saldırının fidye yazılım grubuna ne kadar para kazandırdığını tam olarak bilmek mümkün olmasa da, Chainalysis raporunda Clop’un MOVEit kampanyasının 100 milyon doların üzerinde fidye ödemesi topladığını ve bu toplu saldırının en yoğun olduğu Haziran ve Temmuz 2023’te alınan tüm fidye yazılım değerinin neredeyse yarısını oluşturduğunu söyledi.
Eylül ayında, kumarhane ve eğlence devi Caesars, Ağustos ayındaki bir siber saldırı sırasında çalınan müşteri verilerinin ifşa edilmesini önlemek için bilgisayar korsanlarına yaklaşık 15 milyon dolar ödedi. Bu milyonlarca dolarlık ödeme belki de fidye yazılımı aktörlerinin neden bu kadar çok para kazanmaya devam ettiğini göstermektedir: Caesars saldırısı haberlere neredeyse hiç yansımazken, otel devi MGM Resorts’a yapılan ve şu ana kadar şirkete 100 milyon dolara mal olan bir sonraki saldırı haftalarca manşetlerde yer aldı.
Tehditler artarken fidye ödemelerine yasak hala yok
Caesars gibi pek çok kuruluş için fidye talebini ödemek, bir halkla ilişkiler kabusundan kaçınmak için en kolay seçenek gibi görünüyor. Ancak fidye parası kurudukça, fidye yazılımı ve haraç çeteleri çıtayı yükseltiyor ve artan taktiklere ve aşırı tehditlere başvuruyor. Fidye yazılımlarının bilgisayar korsanları için kazançlı olmaya devam etmesinin bir başka nedeni de, tavsiye edilmemesine rağmen kuruluşların ödeme yapmasını engelleyen herhangi bir yasal düzenlemenin olmaması.
Fidyeyi ödemek ya da ödememek ise oldukça tartışmalı bir konu. Fidye yazılımı düzelticisi Coveware, ABD’de ya da mağduriyetin yüksek olduğu başka bir ülkede fidye ödeme yasağı getirilmesi halinde, şirketlerin bu olayları yetkililere bildirmekten vazgeçeceğini ve mağdurlar ile kolluk kuvvetleri arasındaki geçmiş işbirliğini tersine çevireceğini öne sürüyor. Şirket ayrıca fidye ödemelerinin yasaklanmasının, fidye yazılımı ödemelerini kolaylaştırmak için bir gecede büyük bir yasadışı pazarın oluşmasına yol açacağını öngörüyor.
Yani fidye ödemeyi yasaklamak, belki raporlanan vaka sayısını düşürebilir ancak bu pazara bir darbe vurması pek olası değil. Bu noktada tüm kurumsal hizmet sağlayıcılarında online güvenlik bilincinin artması ve masraf kesintisi yaparken güvenlikten feragat etmeme prensibinin benimsenmesi büyük önem taşıyor.