Kategori arşivi: Zararlı Yazılım

Dijital Güvenlik, İran, Zararlı Yazılım

Darkside fidye yazılımcıları, çaldıkları veriyi İran’da saklatacaklar

Yorum yapın

DarkSide fidye yazılımcıları, İran’da, kurbanlardan çalınan sızdırılmış verileri depolamak için  ‘dağıtılmış depolama sistemi’ oluşturacağını iddia etti.

Fidye yazılımı çetesi, ciddi olduklarını göstermek için, bir hacker forumuna 320 bin dolar yatırdı.

DarkSide: FİDYE YAZILIMININ ÜST SEVİYESİ

DarkSide, geliştiricilerin fidye yazılımını ve ödeme sitesini kodladıkları, şirketleri veya işletmeleri hacklemek ve şirket dosyalarını şifrelemek için kullandıkları bir fidye yazılımı ‘Ransomware-as-a-Service (RaaS)’ olarak çalıştırılıyor.

DarkSide özel bir işlem olduğu için, kendi fidye yazılımını dağıtmak isteyen hackerların öncelikle erişim için kabul edilmesi gerekiyor.

Bu anlaşmanın bir parçası olarak, DarkSide fidye yazılımı geliştiricileri yüzde 10 veya yüzde 25’lik bir kesinti ücreti almanın yanı sıra, şirketlerden alınan fidye ödemelerinin yüzde 75-90’ını alıyor.

RUSÇA KONUŞAN HACKER ARANIYOR

Geçtiğimiz günlerde siber güvenlik istihbarat firması Kela, DarkSide fidye yazılımı işleticilerinin BleepingComputer internet sitesi üzerinden Rusça konuşan hacker aradığını duyurdukları bir gönderiye rastladı.

Gönderide, ‘DarkSide’ın, kurbanlardan çalınan verileri sızdırmak ve depolamak için dağıtılmış depolama sistemi üzerine çalıştıkları’ ifade edildi.

Fidye yazılım saldırısına uğrayan kahve makinesi, evet, doğru okudunuz! 

“SÜRDÜRÜLEBİLİR DEPOLAMA SİSTEMİ” OLUŞTURACAKLAR

2019’un sonlarından bu yana, fidye yazılımı aracılığıyla dosyaların şifrelendiği ve ancak dosyaları şifreleyen hackerların o dosyalara bir daha erişebildiği bir sistem sayesinde kurbanlardan fidye isteyerek kazanç elde etmeyi hedefleyen hackerlara karşı siber güvenlik firmaları ve kolluk kuvvetleri veri sızdırılan siteleri kapatmaya çalışıyor.

Bu çalışmalara karşın DarkSide işleticileri ise başka bir plan uyguluyor. DarkSide işleticileri, kurbanlardan çaldıkları verileri 6 ay boyunca depolamak için İran’da dağıtılmış bir “Sürdürülebilir Depolama Sistemi” oluşturacaklarını ifade etti.

BİR SUNUCUYU ENGELLEMEK VERİLERİNİZİ SİLEMEYECEK

DarkSide işleticilerinin yaptığı açıklamada, “Bazı hedefler, onlardan indirdikleri çok sayıda veriyi yayınladıktan sonra hackerların ve diğer insanların TOR üzerinden uzun zaman boyunca indirilebileceğini düşünüyor. Biz de öyle düşünüyoruz bu yüzden bunu değiştireceğiz.” ifadeleri kullanıldı. Açıklamada “Halihazırda verileriniz için bir sürdürülebilir depolama sistemi üzerinde çalışıyoruz. Tüm verileriniz birden fazla sunucuda çoğaltılacak ve bir sunucuyu engellemek verilerinizi silemeyecek.” denildi.

Açıklamada ayrıca, “Daha önce verileri yayınlanmış olan şirketler de buraya yüklenecek, söz konusu şirketlerin verilerinin 6 ay boyunca depolanacağı da garanti edilecek. Böylelikle onların verilerini daha hızlı indirebilirsiniz.” ifadelerine yer verildi.

DarkSide işleticileri ise, “Özellikle İran veya ön planda olmayan cumhuriyetlerin sunucularını kullanacağız böylelikle onları engelleyemeyeceksiniz ve otomatik sistem ‘uygunluğu’ tespit edecek ve size indirme bir indirme linki verecek.” dedi.

DarkSide işleticilerinin ifadeleri, sizlerden çaldıkları verileri birçok sunucu arasında çoğaltacaklarını böylelikle bir sunucu engellendiğinde verileriniz diğer sunucularda erişilebilir olmaya devam edecek anlamına geliyor.

Fidye yazılımı pazarlığında ilginç diyaloglar: O parayla çalışanlarına McDonald’s ısmarla

HACKER FORUMUNA 320 BİN DOLAR YATIRDILAR

DarkSide işleticileri, kurban başına 400 bin dolar kazandıklarını iddia ettikleri faaliyetlerine katılacak yeni Rus üyelerini aradıklarını duyurdu.

İşe alım sürecinde ise, yeni üyeler bir görüşmeden geçecek. Görüşmede geliştiriciler, yeni üyelerin deneyim seviyeleri hakkında sorular soracak.

‘Darksupp’ olarak bilinen DarkSide işleticilerinden birinin hesabındaki 20 bitcoinin görüntüsü

Ryug, Egregor ve diğer fidye yazılımı işlemlerinden farklı olarak DarkSide, tıp, eğitim, kar amacı gütmeyen kuruluşlar ve hükümetlere saldırmayacaklarını bildirdi. DarkSide işleticilerinin bu sözlerini tutup tutmayacağı henüz bilinmiyor.

DarkSide işleticileri, ABD’deki büyük şirketlere erişimi olan hackerlara da 400 bin dolar harcamaya istekliler. DarkSide çetesi, iddialarının gerçekçi olduğunu göstermek için foruma bugünün değerleriyle yaklaşık 320 bin dolar değerinde 20 bitcoin yatırdı.

Yatırılan bitcoinler daha sonra yazılım, hizmet veya bilgi satın almaları için diğer üyelere de aktarılabilir. Bu zenginlik gösterisi ise REvil’in Eylül ayında aynı foruma 1 milyon dolarlık bitcoin yatırdığı işe alım kampanyasına benziyor.

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Zararlı Yazılım

IoT cihazlarına yönelik saldırılarda şoke edici artış

Yorum yapın

Kaspersky Lab IoT raporuna göre, 2018’in ilk yarısında IoT cihazları 120 binden fazla zararlı yazılım sürümüyle saldırıya uğradı. Bu sayı, 2017’nin tamamında görülen IoT zararlı yazılımlarının üç katından daha fazla. Kaspersky Lab, akıllı cihazları hedef alan zararlı yazılım ailelerinde görülen bu büyük artışın tehlikeli bir eğilimin devamı olduğu konusunda uyarıyor. 2017’de de akıllı cihazları hedef alan zararlı yazılım sürümlerinin sayısı 2016’ya kıyasla 10 kat artmıştı.

Akıllı cihazlar olarak da bilinen IoT (Internet of Things – Nesnelerin İnterneti) cihazları pazarı ve bu cihazların günlük yaşantımızdaki yeri büyük bir hızla büyüyor. Siber suçlular da bu alandaki finansal fırsatları görüyor ve saldırılarını artırıp farklılaştırıyorlar. IoT cihazlarını seven tüketiciler için asıl tehlike, hiç beklenmeyen anlarda çıkan tehditlerin zararsız görünen bu cihazları yasa dışı faaliyetler için güçlü makinelere dönüştürebilmesi. Bunlara zararlı kripto para madenciliği, DDoS saldırıları veya cihazların gizlice botnet faaliyetlerine katılması örnek gösterilebilir.

Bu tehlikelerin farkında olan Kaspersky Lab uzmanları, farklı kaynaklardan topladıkları verileri düzenli olarak inceliyor. Bu kaynaklar arasında, siber suçluların dikkatini çekip faaliyetlerini analiz etmek için kullanılan bilgi toplama cihazları da yer alıyor Bu kaynaklardan elde edilen en güncel veriler şok edici. 2018’in ilk yarısında, IoT cihazlarını hedef alan ve araştırmacıların tespit ettiği zararlı yazılım sürümlerinin sayısı 2017’nin tamamında görülenden üç kat daha fazla oldu.

2016-2018 döneminde, IoT cihazlarına yönelik Kaspersky Lab koleksiyonundaki zararlı yazılım sayısı

İstatistikler, IoT zararlı yazılımlarının yayılmak için en sık kullandığı yöntemin hala parolalara kaba kuvvet uygulanması, yani çeşitli parola kombinasyonlarının art arda denenmesi, olduğunu gösteriyor. Tespit edilen saldırıların %93’ünde bu yöntemin kullanıldığı görüldü. Kalan vakaların çoğunda ise IoT cihazlarına erişim, bilinen açıklardan yararlanılarak elde edildi.

Kaspersky Lab’in bilgi toplama cihazlarına açık ara en fazla saldırıda bulunan cihazlar router’lar oldu. Sanal cihazlarımıza yönelik kaydedilen saldırı denemelerinin %60’ı router’lar üzerinden geldi. Geri kalan ele geçirilmiş IoT cihazları arasında DVR cihazlarından yazıcılara kadar birçok farklı teknoloji yer alıyor. Bilgi toplama cihazları, 33 adet saldırının çamaşır makinelerinden geldiğini tespit etti.

Zararlı yazılım bulaşma riskini azaltmak için kullanıcılara şunlar tavsiye ediliyor:

  • Kullandığınız aygıt yazılımlarının güncellemelerini ilk fırsatta kurun. Bir açık bulunduğunda güncellemelerde yer alan yamalarla onarılabilir.
  • Ön yüklü gelen parolaları her zaman değiştirin. Büyük ve küçük harf, rakam ve semboller içeren karmaşık parolalar kullanın.
  • IoT cihazlarınızı açıklara ve bulaşmalara karşı kontrol etmek için Kaspersky Smart Home ve IoT Scanner çözümlerini kullanın.
  • Değişik davranışlar sergilediğini düşündüğünüz cihazları yeniden başlatın. Bu, mevcut zararlı yazılımlardan kurtulmanıza yardımcı olabilir fakat yeniden bulaşma riskini azaltmaz.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Zararlı Yazılım

Bu virüs IoT cihazı yeniden ayarlansa bile silinmiyor

1 Yorum

Siber güvenlik araştırmacıları; IoT cihazları ile router, modem gibi cihazlara bulaştığında yeniden ayarlama işleminden bile etkilenmeyen ilk botnet yazılımını tespit etti. Bugüne kadar akıllı cihazlar ile modem ve router gibi aletler resetlenerek IoT’leri hedef alan zararlı yazılımlardan kurtulabiliyordu.

Bitdefender’ın açıklamasına gçre, “Hide and Seek” (HNS) adı verilen yeni virüs kendisini Linux tabanlı işletim sistemlerinde hayalet programların tutulduğu /etc/init.d/ klasörüne saklıyor. Böylece, cihazın işletim sistemi bir sonraki yeniden yüklemeden sonra da zararlı yazılımın sürecini yeniden başlatıyor.

İlgili haber>> Fidye yazılımlardan daha büyük bir tehdit: Botnet

HNS botneti son aylarda hissedilir biçimde yayıldı. İlk kez Ocak ayında tespit edilen ve bir ay içinde 32 bin cihaza bulaşan HNS, bugüne kadar 90 bin sistemi etkiledi. Yeni NHS versiyonlarının bulaştığı cihazlar açık bir Telnet portu olan diğer cihazlarını araştırarak fabrikalarda varsayılan olarak ayarlanan kimlik bilgileriyle onlara giriş yapmaya çalışıyor. Yani parolaları girerken tüm olasılıkları denemek zorunda kalmıyorlar.

Araştırmacılar, HNS’nin reset ve yeniden yüklemelere karşı dayanıklı olabilmesi için Telnet üzerinden bulaşması gerektiğini belirtiyor. Söz konusu zararlı yazılım henüz DDoS saldırıları düzenlemeye de imkan sağlayamıyor. Bunula birlikte verilerin çalınması ve kodların cihazlar üzerinde çalıştırılması fonksiyonları sayesinde HNS yakın gelecekte birçok zararlı işlemin gerçekleştirilmesini de sağlayabilme potansiyeline sahip durumda.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

ABD, Zararlı Yazılım

“WannaCry’ın arkasında Kuzey Kore var”

Yorum yapın

ABD, aralarında Türkiye’nin de bulunduğu 150 ülkede 300 binden fazla bilgisayarı etkileyen fidye yazılımı WannaCry’ın siber saldırılarından ‘Kuzey Kore’nin doğrudan sorumlu olduğunu’ söyledi. Yazılım dünya genelinde hastaneler, şirketler ve bankaları etkilemiş milyarlarca dolar zarara uğratmıştı.

ABD Başkanı Donald Trump’ın danışmanı Thomas Bossert, Wall Street Journal gazetesindeki makalesinde WannaCry saldırısının arkasında Kuzey Kore’nin olduğunu yazdı. Bossert’in açıklamasıyla ABD bu fidye yazılımıyla ilgili ilk defa Kuzey Kore’yi suçlamış oluyor.

Trump’ın ulusal güvenlik danışmanlığını yapan Bossert, iddiaların ‘güvenilir kaynaklara’ dayandığını söyledi ve İngiltere ile Microsoft şirketinin de siber saldırıdan Kuzey Kore yönetimini sorumlu tuttuğunu ifade etti.

İlgili haber>> “WannaCry”in arkasında Kuzey Kore mi var?

Mayıs ayında Microsoft’un işletim sistemi Windows yüklü bilgisayarlara düzenlenen siber saldırıda bilgisayarlardaki veriler kilitlenip şifrelenmiş, verilerin yeniden yüklenebilmesi için de fidye talep edilmişti. Fidyelerin 300 ila 600 bin dolar değerindeki Bitcoin’lerle ödenmesi isteniyordu.

Avrupa Birliği (AB) polis teşkiları Europol, WannaCry yazılımıyla düzenlenen siber saldırıyı ‘eşi benzeri olmayan bir saldırı’ olarak nitelemişti.

Wall Street Journal’a yazan Bossert, bu saldırıyla ilgili Kuzey Kore’den ‘hesap sorulması gerektiğini’ ve Pyongyang rejiminin siber saldırı düzenlemesine engel olmak için ABD’nin ‘baskı stratejisini en üst seviyeye çıkarması gerektiğini’ söyledi. Bossert, ABD yönetiminin bu bulgular karşısında nasıl harekete geçebileceğine ilişkin ayrıntı vermedi.

Bossert’in WannaCry fidye yazılımıyla ilgili kaleme aldığı makalede Kuzey Kore’nin özellikle son 10 yıldır ‘kötü eylemlerde bulunduğunu, WannaCry’ın da ayrım gözetmeksizin tedbirsizce bir hareket olduğunu’ yazdı.

Bossert’in makalesinde şu ifadeler yer aldı: “İnterneti daha güvenli hale getirdiğimiz gibi, ister yalnız hareket ediyor olsunlar, ister bir suç örgütü adına veya düşman bir devlet adına hareket ediyor olsunlar, bize zarar verenlerden, bizi tehdit edenlerden hesap sormaya devam edeceğiz.”

“Totaliter rejimlerin alet takımları göz ardı edilemeyecek kadar tehditkâr.”

Beyaz Saray’ın WannaCry fidye yazılımıyla ilgili Pyongyang’ı kınayan resmi açıklamasını Salı günü yapması bekleniyor.

Fidye yazılımından en çok etkilenen kurumlardan arasında İngiltere Ulusal Sağlık Sistemi (NHS) de bulunuyor. Ayrıca Rusya’nın posta hizmetleri, Türkiye’deki kurumlar, Çin, İspanya ve İtalya da etkilenenler arasında.

ABD, 2014 yılında da Kuzey Kore’nin Sony Pictures şirketine siber saldırı düzenleyip Kuzey Kore lideri Kim Jong-Un’un da bir aktör tarafından canlandırıldığı filmi ifşa ettiğini öne sürmüştü.

Sony Pictures’ın filmlerinin yanı sıra, şirketin mali hesapları ve özel e-posta yazışmaları da ifşa edilmişti.

Kuzey Koreliler bu iddia üzerine Barack Obama’ya tepki göstermişti ancak Pyongyang Beyaz Saray’ın WannaCry suçlamalarına yanıt vermedi.

Kaynak: BBC Türkçe

Siber Bülten abone listesine kaydolmak için doldurunuz

Zararlı Yazılım

Milyonlarca Android cihaz, artık zombi

Yorum yapın

Siber suçlular, agresif reklamcılıkla para kazandıran ve bir yıl içerisinde milyonlarca cihazı ele geçiren devasa bir botnet geliştirdi

Kaspersky Lab’ın araştırmacıları, Ztorg Trojan bulaşmış uygulamaların kullanımını reklam kampanyaları yoluyla teşvik eden büyük ölçekli bir ağ keşfetti. Bu sofistike zombi ağı (botnet), reklamlar için sahte gösterimi üreten, gizlice uygulama yükleyen, hatta yeni uygulamalar satın alan ve dolayısıyla geliştiricilerine para kazandıran bir zararlı yazılımın bulaştığı yüzbinlerce cihazı ele geçirmiş durumda.

Reklam kampanyaları bir yıldan fazla süredir etkin ve bugüne kadar yaklaşık 100 programı etkiledi. Çoğu çok popüler olan kampanyalar, tek bir günde 10 bin kurulum gerçekleştirecek kadar hızlı büyüme gösterdi. Keşfedilen ilk Truva Atı örneği bir milyon kurulum gerçekleşmişti.

İlgili haber >> Android cihazlara yönelik saldırı dalgası, Asya’ya kaydı

Siber uzayda birçok botnet mevcut ve birçoğu para kazanmak için geliştiriliyor. Botnet’ler çoğunlukla reklam sahtekârlığına odaklanıyor. Siber suçlular, reklam gösterimi üreten ve yeni uygulamalar yüklemek veya satın almak için Google Play’e giren kötü amaçlı yazılımlarla kullanıcı cihazlarını ele geçiriyor ve bunun üzerinden kar sağlıyor. Ztorg’un arkasındaki isimler ise bu klasik süreci istismar ederek, yeni bir boyuta taşıdılar.

Ztorg, modüler bir mimariye sahip çok sofistike bir Truva atı. Kurulumdan sonra yaptığı ilk şey, komuta kontrol sunucusuna bağlanarak ülke, dil, cihaz modeli ve işletim sistemi sürümü de dahil olmak üzere cihazla ilgili verileri sunucuya yüklemek.

Tüm veriler yüklendikten sonra, Ztorg bulaşmış olduğu cihazda yönetici yetkileri almak üzere birkaç exploit paketi kullanarak ek bir modül indirmeye başlıyor. Bu yetkiler Truva atının cihaz üzerinde sürekli olarak faal kalmasını sağlayarak, istenmeyen reklamlar göstermesine, daha agresif bir şekilde gösterimler yapabilmesine ve gizli bir şekilde haber uygulamaları kurmasına izin veriyor.

İlgili haber >> Gerçek Hackerlar hangi işletim sistemini tercih ediyor?

Kaspersky Lab araştırmacılarına göre, Ztorg iki şekilde dağıtılıyor. İlk olarak, siber suçlular, tehlikeli programlarını teşvik etmek için en az dört popüler yasal reklam ağından trafik satın alıyor. Ztorg’un ek modüllerinin, bu ağlardan reklamlar gösterdiğini belirtelim. Bu şekilde, reklam ağındaki kötü amaçlı reklamlar kullanıcıları tehlikeye atıyor ve Truva atı sistemlerine yüklendikten sonra ise aynı ağdan gelen çok daha fazla reklama maruz kalıyorlar.

Ztorg’un dağıtımının ikinci yoluysa, kullanıcılara Google Play’den başka program yüklemeleri için ödeme yapan uygulamalar yoluyla yapılıyor. Bunlar, içine Ztorg bulaşmış bir uygulamayı yüklemeleri için kullanıcılara 0,04-0,05 dolar ücret teklif ediyor. Uygulamayı yükleyen kullanıcılar birkaç kuruş ödül alırken, cihazları zombi moduna girerek siber suçlulara yarar sağlayan istenmeyen reklamları göstermeye başlıyor.

Kaspersky Lab ABD’de Kıdemli Zararlı Yazılım Analisti olan Roman Unuchek, “Süper kullanıcı haklarını kötüye kullanan reklamcılık Truva atları, 2016 boyunca mobil kullanıcılar için 1 numaralı tehdidi oluşturdu. Ztorg’un yayılmasını sağlayan bu çok aşamalı ağ, bu eğilimin halen gelişmekte olduğunu gösteriyor. Mayıs 2017’de Google Play’e yeni uygulamalar yüklendi ve kısa bir süre içerisinde bu örneklerden daha fazlasını görmeyi bekliyoruz” dedi.