Siber taarruzlar sırasında şirketlerden çalınan hassas datalar ekseriyetle Dark Web pazarlarında ve forumlarında satışa çıkıyor. Hizmet odaklı iş modeli olarak siber hatanın yükselişiyle birlikte Kaspersky araştırmacıları sırf kurumsal dataların değil, tıpkı vakitte saldırıyı organize etmek için kurumsal ağlara yapılacak erişimin de satılığa çıktığını keşfetti.
Her yıl düzenlenen Kaspersky Siber Güvenlik Haftasonu etkinliğinde paylaşılan bilgilere nazaran, global olarak kurumsal sistemlere erişim için ortalama maliyet 2 bin ile 4 bin ABD Doları ortasında değişiyor. META’da kurumsal altyapıya erişim için ortalama fiyat 2.100 ABD dolarına karşılık geliyor. Bu, taarruzun işletmeye vereceği muhtemel ziyana kıyasla oldukça ucuz bir sayı. Bu cins hizmetler, yılda on milyonlarca dolara ulaşan karlara imza atan fidye yazılımı operatörlerinin öncelikli ilgi alanını oluşturuyor.
Dark Web, siber hatalılar tarafından kullanılan forumlar, anlık iletileşme programları, Tor web siteleri, bloglar, Pastebin üzere web siteleri ve başka emsal farklı kaynakları tanımlamak için kullanılan yaygın bir terim. Dark Web tıpkı vakitte hücum hazırlığından para çekmeye kadar her türlü gereksinim için çok fonksiyonlu bir platforma ve pazar yerine dönüştü.
Saldırganlar kurumsal bilgilere nasıl erişiyor
Bunun birinci yolunu ağdaki güvenlik açıklarından yararlanmak oluşturuyor. Bunlar sistem açıklarına sahip yamasız yazılımlar, web uygulamalarındaki güvenlik açıkları, yanlış yapılandırılmış hizmetler yahut sıfır gün güvenlik açıkları olabiliyor.
Diğer bir yol da oltalama hücumları. En yaygın oltalama senaryoları ortasında iş ortaklarından gelen düzmece ticari yazışmalar, çevrimiçi toplantılar yahut evraklara dair uydurma temaslar ve COVID ile ilgili e-postalar yer alıyor.
Son olarak, ferdî yahut kurumsal kullanıcı aygıtlarına bilgi hırsızı yazılım bulaştırılarak da erişim elde edilebiliyor. Kullanıcılar aygıtlarında çalışmaya devam ederken bilgiler çalınıyor, çalınan bilgiler komuta denetim sunucularına aktarılıyor, evraklar halinde paketleniyor ve Dark Web forumlarında satışa sunuluyor. Türkiye’de 2021-2022’de 1 milyon 422 bin 942 kullanıcının hesabı bu formda çalındı.
Dark Web’de erişim satma
Saldırgan kuruluşun altyapısına eriştikten sonra, bu erişimi fidye yazılımı operatörleri üzere öteki siber hatalılara satabiliyor. Potansiyel kurbanların sistemlerine erişimin bedeli, daha sonra verilebilecek mümkün ziyanla karşılaştırıldığında nispeten ucuz kalıyor. Bir şirketin sistemlerine erişimin ortalama maliyeti 2 bin ila 4 bin ABD Doları ortasında. Birinci erişimin maliyeti, kurbanların gelirine ve fiyatına bağlı olarak brelirleniyor. Global erişim satışına yönelik tüm tekliflerin 42’si 1.000 ABD Dolarından daha ucuz. Metotlar ortasında en tanınan olanı Uzak Masaüstü Protokolü (RDP) aracılığıyla sunulan birinci erişimiler (75). Öteki cinsler ortasında sanal ağ bilgi süreç hizmetleri, web shell, Citrix erişimi yahut SQL enjeksiyonu yoluyla erişimi yer alıyor.
META bölgesindeki şirketler, kurumsal altyapıya erişim satışıyla ilgili dünya çapındaki tüm tekliflerin 8’ini oluştururken, erişimler de nispeten yüksek bir fiyata satılıyor. En değerli teklif 25 bin ABD Doları olarak gerçekleşirken, META ortalaması 2.100 dolar oldu (Türkiye ortalaması 1.200 dolar). En kıymetli teklifler Suudi Arabistan ve BAE’den şirketlere yapıldı (5.000 dolardan başlayan fiyatlarla). Ortalama geliri 500 milyon dolar olan META’daki 100’den fazla işletmeye erişim, son 2 yılda Darknet üzerinde satışa sunuldu.
Kaspersky Güvenlik Servisleri Tahlil Başkanı Yuliya Novikova, şunları söylüyor: “Geçmişte Dark Web’i denetim etmek imkansız üzere görünse de artık durum değişiyor. İşletmeler, dolandırıcıların kendi bilgileri üzerinden Dark Web’de kâr elde etmelerine daha az fırsat vermek üzere harekete geçebilirler. Kurumlar bilgilerini şifreleyerek, çalışanları kazara siber hatalılara erişim vermekten nasıl kaçınacakları konusunda eğitim vererek, güçlü data güvenliği uygulamalarıyla bilgilerini çalınmaya karşı korumalıdır.
Dark Web izleme, siber güvenlik çalışanı – CTI analistleri, SOC analistleri ve başkaları – için bir tehdit istihbaratı bilgi kaynağı olarak düşünülmelidir. Bu yaklaşım şirkete erişim satma tekliflerinin açığa çıkması üzere güvenlik olaylarına anında müdahale edilmesine ve bilgi ihlallerinin önlenmesine yardımcı olacaktır. Kaspersky Tehdit İstihbaratı portalında sunulan Dijital Ayak İzi İstihbaratı, dünya çapında bir dizi doğrulanmış kaynaktan gelen içgörülere erişim sağlayarak şirketlerin siber taarruzların tesirini azaltmasına ve potansiyel tehditleri olay haline gelmeden evvel belirlemesine imkan tanıyor.”
Kaynak: (BYZHA) – Beyaz Haber Ajansı
