McAfee araştırmacıları; zararlı kripto madencilik yazılımları trendini, Windows 10 Cortana açıklarını, blockchain saldırı vektörlerini, mobil fatura dolandırıcılığı uygulamalarını ve açıkların silah olarak kullanılabilme özelliklerini analiz etti.
Cihazlardan bulut bilişime kadar geniş bir alanda hizmet sunan siber güvenlik şirketi McAfee, bugün McAfee Labs Tehdit Raporu:Eylül 2018’i yayımladı. Raporda 2018’in ikinci çeyreğinde yeni siber tehditlerdeki artış ve eğilimler inceleniyor.
McAfee Labs, 2017’nin 4. çeyreğinde artmaya başlayan zararlı kripto madencilik yazılımlarının 2018’in ilk yarısı boyunca büyümeyi sürdürdüğünü tespit etti. McAfee ayrıca, 2017’de yaşanan WannaCry ve NotPetya saldırılarında kullanılan açıkların yeni zararlı yazılım sürümleriyle değerlendirilmeye devam ettiğini belirledi.
Fidye yazılımlarına göre daha nadir görülse de zararlı kripto madencilik yazılımları tehdit alanında hızla adını söz ettirir hale geldi. 2017’nin dördüncü çeyreğinde yaklaşık 400 bin adet artmasının üzerine, yeni zararlı kripto madencilik yazılımı örnekleri 2018’in ilk çeyreğinde inanılmaz şekilde yüzde 629 oranında artarak 2,9 milyon adede ulaşmıştı. Bu eğilim 2. çeyrekte de devam etti. Toplam örnek sayısı, 2,5 milyondan fazla yeni örnekle yüzde 86 oranında arttı. McAfee Labs, fidye yazılımları gibi eski zararlı yazılımlara madencilik özellikleri eklendiğini dahi tespit etti.
Bazı durumlarda ise kripto madencilik ile daha geniş bir yelpazedeki potansiyel kurbanlar yerine belirli grupların hedef alındığı görüldü. Zararlı bir kripto madencilik yazılımı grubu, popüler oyunları iyileştirdiğini iddia eden bir “mod” gibi görünerek bir Rus forumundaki oyuncuları hedef aldı. Oyuncular, bilgisayar kaynaklarını kendi kârı için kullanan zararlı yazılımı indirmeleri için kandırıldı.
Zararlı kripto madencilik yazılımları öncelikle bilgisayarları hedef alsa da kurbanlar arasında diğer cihazlar da bulunuyor. Örneğin, Çin ve Kore’de ADB.Miner adlı zararlı yazılım ile Android telefonlar suçlular için Monero kripto para birimi üretiminde kullanıldı.
“Birkaç sene önce internet router’larının, video kayıt cihazlarının ve diğer Nesnelerin İnterneti araçlarının kripto madencilik için kullanılacağını düşünmezdik. Çünkü bu cihazların işlemcileri bu tür bir üretim için yetersizdi.” diyen McAfee Gelişmiş Tehdit Araştırma Baş Uzmanı ve Kıdemli Baş Mühendisi Christiaan Beek, sözlerini şöyle sürdürdü: “Bu tür online cihazların ulaştığı dev hacim ve zayıf parola kullanma eğilimi, kripto madencilik faaliyetleri için çok çekici bir platform meydana getiriyor.Bu tip IoT cihazlarından oluşan 100.000 adet botnet’e sahip bir siber suçlu olsaydım yeni ve kârlı bir gelir akışı sağlamaya yetecek kadar kripto parayı neredeyse maliyetsiz bir şekilde üretebilirdim.”
Açıklardan Yararlanan Zararlı Yazılım
WannaCry ve NotPetya saldırılarının üzerinden bir yıl sonra, yazılım açıklarından yararlanmak için özel olarak tasarlanan yeni zararlı yazılım örneklerinin sayısı 2. çeyrekte yüzde 151 oranında arttı. McAfee bu iki yüksek profilli tehdidin kullandığı yöntemlerin farklı amaçlarla yeni zararlı yazılım gruplarında kullanıldığını tespit etti. Tamamen yeni tehditler ortaya çıkarmak için yeni keşfedilen açıklardan benzer şekilde yararlanılıyor.
“WannaCry ve NotPetya, siber suçlulara zararlı yazılımların açıklardan yararlanarak sistemde yer edinebilmek amacıyla kullanılabileceğini ve ağlar arasında hızla yayılabileceğini gösteren güçlü bir örnek oldu.” diyen Beek, ardından şunları söyledi: “Saldırıları başlatmak için yamaları aylar hatta yıllardır bulunan ve tarihi 2014’e kadar uzanan birçok açığın kullanıldığını görmek şaşırtıcı.Bu durum ne yazık ki hem kullanıcıların hem de kurumların açıkları yamalar çıkar çıkmaz kapatma konusunda daha iyi bir iş çıkarmaları gerektiğini gösteriyor.”
Windows 10 Cortana Açıkları
McAfee Labs ve Gelişmiş Tehdit Araştırma ekibi Windows 10’un sesli asistanı Cortana’da bir açık keşfetti. Microsoft’un kapatmak için Haziran ayında bir yama yayımladığı açık, saldırganların Windows 10 kullanılan tamamen güncel bir makinenin (Haziran yaması öncesi RS3 ve RS4) kilit ekranından kod çalıştırmasına izin verebiliyordu. McAfee, Microsoft tarafından birleştirilerek CVE-2018-8140 şeklinde temsil edilen üç araştırma vektörü üzerine eğildi. McAfee, sorumlu açıklama politikasının bir parçası olarak bu açığı Nisan ayında Microsoft’a bildirdi.
Google Play’de Fatura Dolandırıcılığı
McAfee Mobil Araştırma ekibi, Google Play’deki en az 15 uygulamada yeni bir fatura dolandırıcılığı faaliyeti belirledi. Bu yeni dolandırıcılık faaliyeti, siber suçluların Google Play gibi yasal mağazalardaki uygulamaları kullanarak kurbanlardan para çalmanın yeni yollarını bulmaya devam ettiğini gösteriyor. Dolandırıcılık faaliyetlerinin ardındaki AsiaHitGroup Gang adlı grup, 2016’nın sonuna doğru çoğu Tayland ve Malezya’daki en az 20.000 kurbandan popüler uygulamaların kopyalarını indirdikleri için para almaya çalışan sahte kurulum uygulaması Sonvpay.A’yı yaymalarından bu yana aktif olarak çalışıyor.Bu olaydan bir yıl sonra, Kasım 2017’de ise Google Play’de Sonvpay.B saldırısı tespit edilmişti. Sonvpay.B, kurbanın hangi ülkede olduğunu IP adresinin konumundan belirleyip, hiçbir şeyden haberi olmayan kullanıcılardan para çalma potansiyelini artırmak için Rus kurbanları da fatura dolandırıcılığına ekliyordu.
Blockchain Güvenliğine Yönelik Tehditler
McAfee Gelişmiş Tehdit Araştırma ekibi, kullanıcılara ve blockchain teknolojilerini uygulayanlara yönelik en büyük güvenlik tehditlerini tanımladı. Araştırmacıların yaptığı analizde kimlik avı, zararlı yazılım ve uygulama açıklarının en önde gelen saldırı vektörleri olduğu belirlendi.
2018 2. Çeyrek Tehdit Aktiviteleri
McAfee Labs 2018’in 2. çeyreğinde her saniyede beş yeni tehdit tespit etti. Bunlar arasında, en yeni başarılı teknolojileri ve taktikleri, hedeflerin savunmasını aşmak için daha da geliştiren dikkate değer teknik özelliklerin kullanıldığı yeni tehditler de yer aldı.
Toplam fidye yazılımı örneği sayısı artmaya devam ediyor. Bu sayı son dört çeyrekte yüzde 57 büyüdü. Yeni fidye yazılımı aileleri geçtiğimiz çeyreklere göre daha az ortaya çıksa da McAfee varolan fidye yazılımı ailelerinin yeni sürümlerinin görüldüğünü belirtti. Örneğin McAfee yalnızca 2. çeyrekte, Scarab fidye yazılımı ailesinin bir düzine yeni sürümünü tespit etti. Bu yeni sürümler, ailenin 2017 ortasında ilk kez ortaya çıkmasından bu yana belirlenen sürümlerinin toplam sayısının yarısından fazlasını oluşturuyor.
Mobil zararlı yazılımlar. Yeni mobil zararlı yazılım örneklerinin sayısı 2. çeyrekte yüzde 27 arttı. Bu çeyrek, üst üste artış yaşanan ikinci çeyrek oldu. Güney Amerika’daki McAfee müşterileri %14 ile en fazla etkilenen grup oldu. Son dört çeyrekte toplam mobil zararlı yazılım sayısı yüzde 42 arttı.
JavaScript zararlı yazılımları. Yeni örneklerdeki yüzde 204’lük artış, siber suçluların yeni nesil JavaScript zararlı yazılımlarına geçtiğini gösteriyor. Son üç çeyrekte önemli oranda azalan JavaScript zararlı yazılımları, 7 milyon yeni örnekle rekor kırdı. Birinci çeyrekte bu yazılımların sayısı yaklaşık 2 milyondu.
LNK zararlı yazılımı. PowerShell, geçmiş çeyreklerde dosyasız zararlı yazılım geliştiricileri arasında etkin olsa da yeni örneklerin artış oranı yüzde 5’e düştü. Ancak, yeni LNK zararlı yazılımları büyümeye devam ediyor. Siber suçlular zararlı PowerShell komut dizinleri ve diğer zararlı yazılımlarını gizlice dağıtmak için .lnk kısayollarını her geçen gün daha sık kullanmaya başladı. Bu kategorideki toplam örneklerin sayısı son dört çeyrekte yüzde 489 oranında arttı.
Spam botnet’leri. Gamut adlı spam botnet’i 2. çeyrekte diğerlerinin hepsini geride bıraktı. Kanada Gelir İdaresi’ne yönelik kimlik avı saldırılarında bu botnet büyük oranda kullanıldı. Son dönemde öne çıkan saldırılar ise para sızdırma yöntemleri için sıklıkla kullanılan sahte iş teklifleri ile ilgili oldu.