Dark Web'te kurumsal veriler 2 bin 100 dolara satılıyor

Siber saldırılar sırasında şirketlerden çalınan hassas veriler genellikle Dark Web pazarlarında ve forumlarında satışa çıkıyor. Hizmet odaklı iş modeli olarak siber suçun yükselişiyle birlikte Kaspersky araştırmacıları yalnızca kurumsal verilerin değil, aynı zamanda saldırıyı organize etmek için kurumsal ağlara yapılacak erişimin de satılığa çıktığını keşfetti. Her yıl düzenlenen Kaspersky Siber Güvenlik Haftasonu etkinliğinde paylaşılan bilgilere göre, küresel olarak kurumsal sistemlere erişim için ortalama maliyet 2 bin ile 4 bin ABD Doları arasında değişiyor. META'da kurumsal altyapıya erişim için ortalama fiyat 2.100 ABD dolarına karşılık geliyor. Bu, saldırının işletmeye vereceği olası zarara kıyasla hayli ucuz bir rakam. Bu tür hizmetler, yılda on milyonlarca dolara ulaşan karlara imza atan fidye yazılımı operatörlerinin öncelikli ilgi alanını oluşturuyor.

Dark Web, siber suçlular tarafından kullanılan forumlar, anlık mesajlaşma programları, Tor web siteleri, bloglar, Pastebin gibi web siteleri ve diğer benzer farklı kaynakları tanımlamak için kullanılan yaygın bir terim. Dark Web aynı zamanda saldırı hazırlığından para çekmeye kadar her türlü ihtiyaç için çok işlevli bir platforma ve pazar yerine dönüştü.

Saldırganlar kurumsal verilere nasıl erişiyor

Bunun ilk yolunu ağdaki güvenlik açıklarından yararlanmak oluşturuyor. Bunlar sistem açıklarına sahip yamasız yazılımlar, web uygulamalarındaki güvenlik açıkları, yanlış yapılandırılmış hizmetler veya sıfır gün güvenlik açıkları olabiliyor.

Diğer bir yol da oltalama saldırıları. En yaygın oltalama senaryoları arasında iş ortaklarından gelen sahte ticari yazışmalar, çevrimiçi toplantılar veya belgelere dair sahte bağlantılar ve COVID ile ilgili e-postalar yer alıyor.

Son olarak, kişisel veya kurumsal kullanıcı cihazlarına veri hırsızı yazılım bulaştırılarak da erişim elde edilebiliyor. Kullanıcılar cihazlarında çalışmaya devam ederken veriler çalınıyor, çalınan veriler komuta kontrol sunucularına aktarılıyor, dosyalar halinde paketleniyor ve Dark Web forumlarında satışa sunuluyor. Türkiye'de 2021-2022'de 1 milyon 422 bin 942 kullanıcının hesabı bu şekilde çalındı.

Dark Web'de erişim satma

Saldırgan kuruluşun altyapısına eriştikten sonra, bu erişimi fidye yazılımı operatörleri gibi diğer siber suçlulara satabiliyor. Potansiyel kurbanların sistemlerine erişimin bedeli, daha sonra verilebilecek olası zararla karşılaştırıldığında nispeten ucuz kalıyor. Bir şirketin sistemlerine erişimin ortalama maliyeti 2 bin ila 4 bin ABD Doları arasında. İlk erişimin maliyeti, kurbanların gelirine ve fiyatına bağlı olarak brelirleniyor. Küresel erişim satışına yönelik tüm tekliflerin %42'si 1.000 ABD Dolarından daha ucuz. Yöntemler arasında en popüler olanı Uzak Masaüstü Protokolü (RDP) aracılığıyla sunulan ilk erişimiler (%75). Diğer türler arasında sanal ağ bilgi işlem hizmetleri, web shell, Citrix erişimi veya SQL enjeksiyonu yoluyla erişimi yer alıyor.

META bölgesindeki şirketler, kurumsal altyapıya erişim satışıyla ilgili dünya çapındaki tüm tekliflerin %8'ini oluştururken, erişimler de nispeten yüksek bir fiyata satılıyor. En pahalı teklif 25 bin ABD Doları olarak gerçekleşirken, META ortalaması 2.100 dolar oldu (Türkiye ortalaması 1.200 dolar). En pahalı teklifler Suudi Arabistan ve BAE'den şirketlere yapıldı (5.000 dolardan başlayan fiyatlarla). Ortalama geliri 500 milyon dolar olan META'daki 100'den fazla işletmeye erişim, son 2 yılda Darknet üzerinde satışa sunuldu.

Kaspersky Güvenlik Servisleri Analiz Lideri Yuliya Novikova, şunları söylüyor: "Geçmişte Dark Web'i kontrol etmek imkansız gibi görünse de şimdi durum değişiyor. İşletmeler, dolandırıcıların kendi verileri üzerinden Dark Web’de kâr elde etmelerine daha az fırsat vermek üzere harekete geçebilirler. Kurumlar verilerini şifreleyerek, çalışanları yanlışlıkla siber suçlulara erişim vermekten nasıl kaçınacakları konusunda eğitim vererek, güçlü veri güvenliği uygulamalarıyla verilerini çalınmaya karşı korumalıdır. Dark Web izleme, siber güvenlik personeli - CTI analistleri, SOC analistleri ve diğerleri - için bir tehdit istihbaratı veri kaynağı olarak düşünülmelidir. Bu yaklaşım şirkete erişim satma tekliflerinin açığa çıkması gibi güvenlik olaylarına anında müdahale edilmesine ve veri ihlallerinin önlenmesine yardımcı olacaktır. Kaspersky Tehdit İstihbaratı portalında sunulan Dijital Ayak İzi İstihbaratı, dünya çapında bir dizi doğrulanmış kaynaktan gelen içgörülere erişim sağlayarak şirketlerin siber saldırıların etkisini azaltmasına ve potansiyel tehditleri olay haline gelmeden önce belirlemesine olanak tanıyor.”