Siber suçlular Microsoft Office güvenlik açıkları, dosyasız PowerShell tehditleri, Locky “Lutikus” fidye yazılımı ve bankacılık süreçlerini hedefleyen Truva atı türleri (trojan) ile 2017 yılının üçüncü çeyreğinde saniyede dört yeni zararlı yazılım çeşidi üretti.
McAfee, yeni zararlı yazılımlar, fidye yazılımları ve diğer tehditlerin 2017 yılı üçüncü çeyreği merceğinde incelemeye alındığı McAfee Labs Aralık 2017 Tehdit Raporu’nu yayımladı. Saniyede dört yeni çeşit üreten zararlı yazılımların toplamda 57,6 milyon yeni çeşit ile tüm zamanların en yüksek seviyesine ulaştığını gözlemleyen McAfee Labs, ayrıca zararlı makrolar kullanan yeni dosyasız yazılımlara, Locky fidye yazılımının Lukitus adındaki yeni versiyonuna ve bankacılık odaklı Trickbot ve Emotet Truva Atlarının yeni çeşitlerine ışık tuttu. Raporda, Microsoft’un yazılımlarında yer alan ve 2017 yılının ilk çeyreğinde çıkarılan yamayla kapatılan güvenlik açıklarını hedef alan tehditlerin de hız kesmeden saldırılarını sürdürmesi dikkat çekti.
“Üçüncü çeyrek açıkça gösteriyor ki, saldırganların geliştirdiği tehditler PowerShell gibi platform teknolojilerinin dinamik ve yararlı yapısından, bireysel kimlik hırsızlığı mağdurlarının dikkatsizliğinden ve bilinen açıkları mevcut güvenlik güncellemeleriyle kapatmakta yetersiz kalan şirketlerden faydalanmaya devam ediyor,” diyen McAfee Baş Bilimcisi Raj Samani, açıklamasına şöyle devam etti: “Siber suçlular yeni geliştirilen inovasyonları ve uzun zamandır kullandığımız platformları bize karşı kullanmanın yollarını aramaya her zaman devam edecek. Ancak bizim yaşadığımız asıl zorluk, bireylerin ve şirketlerin kendi kendilerini tehdit altında bırakmaktan vazgeçmesini sağlamaktır.”
McAfee Labs Küresel Tehdit İstihbarat bulutu, dünyanın dört bir yanındaki yüz milyonlarca sensör aracılığıyla pek çok tehdit vektöründen gelen veriyi algılıyor. Bu tehdit verileri her çeyrek McAfee Labs tarafından siber tehdit dünyasının mevcut durumunu değerlendirmek için kullanılıyor. McAfee Gelişmiş Tehdit İstihbaratı, McAfee Labs için dünya genelinde gerçekleşen siber saldırıların derinlemesine analizini gerçekleştiriyor.
Bilinen Güvenlik Açıkları İstismar Ediliyor
Siber suçlular 2017’nin üçüncü çeyreğinde de CVE-2017-0199 gibi Microsoft Office güvenlik açıklarını istismar etmeyi sürdürdü. CVE-2017-0199 açığı, Microsoft Office ve WordPad’in içinde özel olarak hazırlanmış dosyalar aracılığıyla uzaktan kod çalıştırmaya olanak tanıyor. Pek çok siber saldırgan, bu saldırıyı gerçekleştirmek için GitHub’da bulunabilen bir araçtan faydalanıyor. Bu araç sayesinde karmaşık kurulumlara gerek kalmaksızın kolay yoldan bir arka kapı (backdoor) saldırısı meydana getirmek mümkün oluyor.
İkinci çeyrekte WannaCry ve NotPetya gibi çok büyük ölçekli fidye yazılımı saldırılarına neden olan EternalBlue açığı, bankacılık işlemlerini hedef alan Trickbot Truva atının yeni çeşitlerinde ekli bir kod olarak kullanılıyor. Microsoft’un EternalBlue açığını güvenlik yamalarıyla kapatma çabalarına karşın, yeni Trickbot’u yazanlar bu tekniğin halen işe yaradığını ispatlıyor. Üstelik yeni bu Trickbot çeşitleri, kripto para hırsızlığı ve yeni gönderim yöntemleriyle üçüncü çeyreğin en aktif bankacılık odaklı Truva atları olarak öne çıkıyor.
“Tespit edilip ‘ortalığa salınan’ ya da hacker topluluklarında paylaşılan güvenlik açıkları, onları istismar edecek karmaşık tehditleri geliştirmek isteyen kötü niyetli gruplar için bir kılavuz niteliği taşıyor,” diyen McAfee CTO’su Steve Grobman, “2017 yılı, böyle açıkların istismarı sonucunda planlanan WannaCry ve NotPetya fidye yazılımı saldırıları ve Equifax sızıntısı gibi çok daha büyük ölçekli olaylarla hatırlanacak. Teknoloji şirketleri, devletler ve büyük ölçekli kuruluşlar ancak siber güvenlik açıklarının tespit ve iyileştirmesine daha fazla yatırım yaparak, aynı açıkları istismar etmek için durmaksızın çalışan siber suçlulara karşı koyabilir,” değerlendirmesini yaptı.
Dosyasız Tehditler
PowerShell zararlı yazılımlarının yüzde 119 büyümesiyle dosyasız tehditler yılın üçüncü çeyreğinde de artan bir endişe unsuru olmayı sürdürdü. Bu kategoride öne çıkan Emotet bankacılık Truva atı, dünya genelinde büyük spam kampanyalarıyla yayıldı ve kullanıcıları belirli Microsoft Word dokümanlarını indirmeye yönlendirdi. Bu tuzağa düşen kullanıcılar, farkında olmadan bir PowerShell makrosunu aktif hâle getiriyor ve sisteme zararlı yazılım kurulmasına neden oluyor.
Temel güvenlik açıklarından ya da kullanıcı davranışlarından faydalanan pek çok siber saldırının aksine, dosyasız tehditlerin doğrudan kullandığımız sistemin yeteneklerini istismar ettiğini ifade eden McAfee Labs Başkan Vekili Vincent Weafer, “Saldırganlar PowerShell veya JavaScrips gibi güvenilir uygulamaları kullanıyor ya da sistem işletim araçlarına erişim sağlıyor. Böylece, en azından saldırının ilk aşamasında bilgisayarlara hiçbir işlem dosyası indirmeye gerek kalmaksızın sistemin kontrolünü ele geçirebiliyorlar,” dedi.
Lukitus Fidye Yazılımı
Fidye yazılımı alanındaki en önemli gelişmelerden biri, Locky fidye yazılımının yeni bir versiyonu olan Lukitus’un ortaya çıkması oldu. Bu fidye yazılımı, saldırının ilk 24 saatinde 23 milyondan fazla spam e-posta ile dağıtıldı. Kategori genelinde yeni fidye yazılımı çeşitlerinde yüzde 36’lık artış gözlenirken, toplam fidye yazılımı çeşidi son dört çeyrekte yüzde 44 artarak 12,3 milyona ulaştı.
DragonFly: Yeni Sektörel, Yeni Görevler
McAfee Gelişmiş Tehdit Araştırmaları ekibi DragonFly 2.0 adını taşıyan ve 2017’nin ilk aylarında enerji sektöründe keşfedilen zararlı yazılımın, ilaç, finansal servisler ve muhasebe gibi diğer sektörleri de hedef aldığını ortaya çıkardı. Güvenilir kuruluşlara aitmiş gibi görünen sahte e-postalarla başlatılan bu saldırılar, kullanıcıları linklere tıklayarak Truva atını indirmeye yönlendiriyor ve böylece saldırganlara ağ erişimi sağlıyor.
“DragonFly 2.0 saldırılarını gerçekleştiren eylemcilerin, hedefledikleri sektörün iç dinamikleri hakkında keşif yapma amacıyla bu yöntemlere başvurdukları biliniyor. Öncelikli hedefleri ise enerji ve ilaç sektörleri,” açıklamasını yapan McAfee Kıdemli Bilimcisi ve Baş Mühendisi Christian Beek, bu saldırılarla hedeflenen sektörlerde ele geçirilen fikri mülkiyet ve uzman analizlerinin muazzam ekonomik değere sahip olduğunu vurguluyor.
2017 Üçüncü Çeyreği Tehdit Faaliyetleri
Güvenlik olayları. McAfee Labs üçüncü çeyrekte halka açıklanan 263 güvenlik olayı hesapladı; bu sayı bir önceki çeyreğe oranla yüzde 15 düşüş demek oluyor. Üçüncü çeyrekte halka açıklanan güvenlik olaylarının yüzde 60’ından fazlası Kuzey ve Güney Amerika’da gerçekleşti.
Dikey sektör hedefleri. Üçüncü çeyrekte gerçekleşen olayların yüzde 40’ından fazlası sağlık ve kamu sektörlerini hedefledi.
- Kuzey Amerika. Sağlık sektörüne yönelik saldırılar, üçüncü çeyrekte dikey sektör saldırılarına öncülük etmeyi sürdürdü.
- Asya. Kamu sektörünü bu çeyrekte teknoloji ve bireysel saldırılar takip etti.
- Avrupa, Okyanusya ve Afrika. Kamu sektörü saldırıları üçüncü çeyreğin öncüsü oldu.
Saldırı vektörleri. Açıklanan saldırı vektörlerinde hesap ele geçirme ilk sırada yer alırken, onu sızıntılar, zararlı yazılımlar, DDoS ve hedefli saldırılar izledi.
Mobil zararlı yazılım. Toplam mobil zararlı yazılımlar 21,1 milyon çeşide ulaşarak büyümesini sürdürdü. Yeni mobil zararlı yazılımlar ikinci çeyreğe oranla yüzde 60 artış gösterirken, bu sıçramada Android ekran kilitleme fidye yazılımlarının hızlı yükselişi önemli rol oynadı.
Zararlı yazılımlar geneli. Yeni zararlı yazılım çeşitleri üçüncü çeyrekte yüzde 10 artarak 57,5 milyona ulaştı. Toplam zararlı yazılım çeşitleri son dört çeyrekte yüzde 27 artarak 781 milyona yükseldi.
Dosyasız zararlı yazılım. JavaScript zararlı yazılım büyümesi üçüncü çeyrekte %26 yavaşlasa da, PowerShell zararlı yazılımları %119 büyümeyle iki katı aştı.
Fidye yazılımı. Yeni fidye yazılım çeşitleri üçüncü çeyrekte yüzde 36 arttı. Toplam yeni fidye yazılımı çeşitleri son çeyrekte yüzde 14 artarak 12,2 milyon çeşide ulaştı.
Mac zararlı yazılımları. macOS zararlı yazılım çeşitleri üçüncü çeyrekte yüzde 7 arttı.
Macro zararlı yazılımlar. Toplam makro zararlı yazılımları üçüncü çeyrekte yüzde 8 artarak büyümesini sürdürdü.
Spam kampanyaları. Gamut botnet üçüncü çeyrekte de en baskın spam botnet’i olmayı sürdürürken, Necurs botnet’i az farkla ikinci sırada yer aldı. Necurs’un çeyrek boyunca “Status Invoice,” “Your Payment,” ve “Emailing: [Rastgele sayılar].JPG” gibi şablonlarla bazı Ykcol (Locky) fidye yazılım kampanyalarını yayımlaması, fidye yazılımı saldırılarının etkisini artırdı.