Sıfırıncı gün açıklarından yaygın fidye yazılımlarına – 2017’nin ikinci çeyreğinde gelişmiş tehditler
Sıfırıncı gün açıklarından yaygın fidye yazılımlarına – 2017’nin ikinci çeyreğinde gelişmiş tehditler
2017 yılının ikinci çeyreği sofistike tehditlerin sayısında ve gelişiminde artışlara sahne oldu. Bunların arasında 3 adet sıfırıncı gün açığından faydalanma vakası ve daha önce benzeri görülmemiş olan iki saldırı vardı: WannaCry ve ExPetr. Uzmanların analizlerine göre bu iki fidye yazılımının kodu, bu derece yetenekli siber korsanlardan beklenmeyecek bir şekilde, yazılımlar tamamen hazır olmadan sızdırılarak kullanıldı. Bu vakalarla ve diğer yeni trendlerle ilgili birçok detay, Kaspersky Lab’ın en son üç aylık tehdit istihbaratı raporunda yayınlandı.
Nisan ve Haziran ayları arasındaki dönemde, Rusça, İngilizce, Korece ve Çince konuşan siber suçlular tarafından düzenlenenler başta olmak üzere, hedefli saldırılar özelinde kayda değer gelişmeler oldu. Söz konusu gelişmelerin şirketlerin BT güvenliği üzerinde geniş ölçüde etkileri bulunuyor: her an ve dünyanın her yerinde faaliyet gösteren sofistike zararlı yazılımlar, ticari şirketler kadar kar amacı gütmeyen kuruluşların da siber savaşta zarar görme riskini artırıyor. İddialara göre bir ulus devlet tarafından desteklenen ve dünya çapında birçok şirketi ve kuruluşu vuran WannaCry ve ExPetr salgınları, yeni ve tehlikeli bir akımın ilk örnekleri oldu.
2017’nin ikinci çeyreğiyle ilgili en çarpıcı verilerden bazıları şöyle:
Sofacy ve Turla tehditlerinin arkasındaki isimler olan ve Rusça konuşan failler, üç adet Windows sıfırıncı gün açığından faydalanıyor. Sofacy ya da diğer adlarıyla APT28 veya FancyBear, söz konusu açıklardan faydalanarak, aralarında devlet kurumlarının ve politik kuruluşların bulunduğu bir dizi Avrupalı hedefe saldırdı. Faillerin ayrıca bir takım deneysel araçlar kullandığı görüldü. Bunun en dikkat çekici örneği, Fransa’daki seçimler öncesinde Fransız bir siyasi parti üyesinin hedeflendiği saldırıydı.
Gray Lambert – Kaspersky Lab, bir hayli sofistike ve İngilizce konuşan bir siber casusluk yazılımı ailesi olan Lamberts grubu özelinde, şimdiye kadar görülmüş olan en gelişmiş araç takımını analiz etti. Analizler sonucunda iki yeni zararlı yazılım ailesi keşfedildi.
WannaCry (12 Mayıs) ve ExPetr (27 Haziran) – Birbirlerinden farklı olsalar ve farklı hedefler seçseler de, bu iki yazılım da birer fidye yazılımı olarak verimsizdi. WannaCry örneğinde, yazılımın küresel yayılımı ve gündeme oturması, dikkatleri saldırganların Bitcoin hesabına çekti ve fidyeleri nakte çevirmelerini zorlaştırdı. Bu da akıllara WannaCry saldırısının asıl amacının zarar vermek olduğu düşüncesini getirdi. Kaspersky Lab uzmanları, WannaCry ile Lazarus grubu arasında bir çok yeni bağ keşfetti. Zarar verme amacıyla fidye yazılımı kılığına giren yazılım akımı ExPetr saldırılarında yeniden görüldü.
Ukrayna, Rusya ve diğer Avrupa ülkelerinde şirketleri hedefleyen ExPetr de bir fidye yazılımı gibi görünüyordu ama amacının tamamen zarar vermek olduğu anlaşıldı. ExPetr saldırılarının arkasındaki motivasyon hala bilinmiyor. Kaspersky Lab uzmanları, zayıf kanıtlarla da olsa, işin arkasında Black Energy adlı failin olduğunu düşünüyor.
Kaspersky Lab Küresel Araştırma ve Analiz Ekibi’nde Kıdemli Güvenlik Araştırmacısı olarak görev yapan Juan Andres Guerrero-Saade, şöyle diyor: “Gerçek anlamda küresel bir tehdit istihbaratının, hassas ve kritik ağları koruyan görevlilere önemli ölçüde destek olduğunu uzun bir süredir vurguluyoruz. İnternetin sağlığını önemsemeyen ve çok hevesli saldırganların gelişimine şahit oluyoruz. Diğer yanda da önemli kuruluşlarda ve şirketlerde görev yapan ve sağlıklı işleyen bir internete ihtiyaç duyan insanlar var. Siber casusluk, sabotaj ve suç kontrolden çıkarken, müdafilerin birlik içerisinde olması ve tehditlere karşı daha iyi korunabilmek adına en yeni bilgileri paylaşması daha da önemli bir hale geliyor.”
İkinci Çeyrek APT Trendleri raporu, Kaspersky Lab’ın normal şartlarda sadece aboneleriyle paylaştığı tehdit istihbaratı raporlarının bulgularını özetliyor. Kaspersky Lab’ın Küresel Araştırma ve Analiz Ekibi, aboneleri için 2017’nin ikinci çeyreği boyunca, Tehdit Göstergeleri (IOC) ve adli bilişimin yanı sıra zararlı yazılım avında yardımcı olan YARA kurallarını içeren 23 özel rapor hazırladı.