Fidye yazılımı son yedi yılın en yaygın Hizmet Olarak Malware (MaaS) örneği olduğunu ortaya koyan yeni bir çalışma yayınlandı. Çalışma, dark web ve diğer kaynaklar üzerinden dağıtılan 97 kötü amaçlı yazılım ailesi üzerinde yapılan araştırmaya dayanıyor.
Hizmet olarak Kötü Amaçlı Yazılım (MaaS), siber saldırıları gerçekleştirmek için yazılım kiralamayı içeren yasadışı bir iş modelini simgeliyor. Genel olarak bu tür hizmetlerde müşterilere saldırıyı kontrol edebilecekleri kişisel bir hesap ve teknik destek sunuluyor. Bu da siber suçluların ihtiyaç duyduğu ilk uzmanlık eşiğini düşürüyor.
Güvenlik uzmanları, en popüler türleri belirlemek için çeşitli kötü amaçlı yazılım ailelerinin satışlarının yanı sıra darknet ve MaaS ile ilgili diğer kaynaklardaki yazışmaları, tartışmaları, gönderileri ve reklamları inceledi.
Bunun sonucunda fidye yazılımı veya verileri şifreleyen ve şifre çözme için ödeme talep eden kötü amaçlı yazılımların ilk sırada yer aldığı ortaya çıktı. Bu yazılımlar 2015-2022 yılları arasında MaaS modeli altında dağıtılan tüm ailelerin %58’ini oluşturuyor. Fidye yazılımı popülaritesi, diğer kötü amaçlı yazılım türlerine göre daha kısa sürede daha yüksek kâr elde etme kabiliyetiyle ilişkili görünüyor.
Siber suçlular Hizmet Olarak Fidye Yazılımı (RaaS) ücretsiz olarak abone olabiliyor. Programa ortak olduklarında, saldırı gerçekleştikten sonra hizmet için ödeme yapıyorlar. Ödeme miktarı, kurbanlar tarafından ödenen fidyenin yüzdesine göre belirleniyor ve genellikle fidyenin %10 ila %40’ı arasında değişiyor. Bununla birlikte programa girmek çok da kolay değil ve bazı sıkı gereklilikleri yerine getirmeyi gerektiriyor.
Bilgi hırsızları, analize konu olan dönemde hizmet olarak dağıtılan kötü amaçlı yazılım ailelerinin %24’ünü oluşturuyordu. Bunlar kimlik bilgileri, şifreler, banka kartları ve hesapları, tarayıcı geçmişi, kripto cüzdan verileri ve daha fazlası gibi verileri çalmak için tasarlanmış kötü amaçlı programlardan oluşuyor.
Infostealer tarafından sunulan hizmetler abonelik modeliyle ödeniyor ve aylık 100 ila 300 ABD doları arasında fiyatlandırılıyor. Örneğin Şubat 2023’ün başlarında kullanımdan kaldırılan Raccoon Stealer aylık 275 ABD doları veya haftalık 150 ABD doları karşılığında satın alınabiliyordu.
Rakibi RedLine’ın aylık fiyatı 150 ABD dolarına karışık geliyor ve operatörleri tarafından Darknet’te yayınlanan bilgilere göre 900 ABD doları karşılığında ömür boyu lisans satın alma seçeneği de mevcut. Saldırganlar ayrıca ekstra ücret karşılığında ek hizmetlerden de faydalanabiliyor.
MaaS bileşenleri
MaaS platformlarını işleten siber suçlular genellikle operatör olarak adlandırılırken, bu hizmetleri satın alanlar ise iştirakçi olarak isimlendiriliyor.
İştirakçiler operatörlerle bir anlaşma yaptıktan sonra, bağlı kuruluşlar komuta ve kontrol (C2) panelleri, benzersiz kötü amaçlı yazılım örneklerinin hızlı bir şekilde oluşturulmasına yönelik programlar, kötü amaçlı yazılım ve arayüz yükseltmeleri, destek, talimatlar ve barındırma gibi MaaS’ın gerekli tüm bileşenlerine erişim elde ediyorlar.
Paneller, saldırganların virüs bulaşmış makinelerin faaliyetlerini kontrol ve koordine etmelerini sağlayan önemli bir bileşeni oluşturuyor. Bu sayede örneğin siber suçlular veri sızdırabiliyor, kurbanla pazarlık yapabiliyor, destek hizmetleriyle iletişime geçebiliyor, benzersiz kötü amaçlı yazılım örnekleri oluşturabiliyor ve bunlardan çok daha fazlasını yapabiliyor.
Infostealers gibi bazı MaaS türleri, iştirakçilerin kendi ekiplerini oluşturmalarına olanak tanıyor. Bu gibi ekiplerin üyelerine tacir deniyor. Bunlar karı artırmak ve iştiraklerden faiz, ikramiye ve diğer ödemeleri almak için kötü amaçlı yazılım dağıtan siber suçlulardan oluşuyor.
Tacirlerin komuta kontrol paneline veya diğer araçlara erişimi bulunmuyor. Tek amaçları kötü amaçlı yazılımın yayılmasını artırmaktan ibaret. Çoğu zaman bunu YouTube hesapları ve diğer web sitelerindeki yasal programları hacklemek için ellerindeki örnekleri gizleyerek başarıyorlar.