Fidye yazılım çeteleri kurbanlarını tuzağa çekmek için bu kez abonelik iptalini gerekçe göstererek sahte çağrı merkezine yönlendiriyor.
“Ücretsiz deneme aboneliğiniz sona erdiği! Aboneliğinizin otomatik olarak devam etmesini istemiyorsanız şu numarayı arayın” gibi kimlik avı e-postalarına dikkat etmekte fayda var.
Söz konusu yöntem siber saldırganların bilgisayarınıza sızmak için geliştirdiği yeni bir taktik olabilir. Nitekim Microsoft bunu bir saldırı aracı olarak kullanan bir grubun peşinde.
Microsoft’un siber güvenlik araştırmacıları bilgisayarlara BazarLoader adlı zararlı yazılım yükleyicisi bulaştırmak için sahte “çağrı merkezlerini” kullanan suç grubu BazarCall’ın peşinde. BazarLoader fidye yazılımı dağıtmak için kullanılan bir zararlı yazılım yükleyicisi.
BazarCall (veya Bazacall) olarak adlandırılan grubun üyeleri Ocak ayından bu yana aktif ve kurbanları Bazarloader’ı bir Windows PC’ye yüklemeye yönlendirmek için çağrı merkezi operatörlerini kullanıyorlar.
Palo Alto Networks’ten Brad Duncan grubuntekniklerini bir blog yazısında anlattı. Duncan’ın anlattıklarına göre, kötü amaçlı yazılım virüslü bir Windows cihazına arka kapı erişimi sağlıyor. Duncan yazısında şöyle devam ediyor: “Bir kullanıcı virüsle enfekte olduktan sonra, suçlular takip eden kötü amaçlı yazılımlar göndermek, çevreyi taramak ve ağdaki diğer savunmasız ana bilgisayarlardan yararlanmak için bu arka kapı erişimini kullanıyorlar.”
Saldırı genellikle şu şekilde başlıyor: Kurbana deneme aboneliğinin sona erdiğini ve aboneliği iptal etmek için bir numarayı araması gerektiği, aramaması durumunda otomatik olarak kendisinden aylık belli bir ücret alınacağını bildiren kimlik avı e-postaları gönderiliyor.
SÖZDE ABONELİK İPTALİ VAADİ İLE TUZAĞA ÇEKİYORLAR
Microsoft, öncelikle grubun Office 365 kullanıcılarını hedef alan Kimlik Avı e-postalarına odaklandı. Ve insan kaynaklı saldırılara ve fidye yazılımı dağıtımına yol açan aktif bir BazaCall kötü amaçlı yazılım saldırısını takibe aldı. BazaCall saldırıları, alıcıları belirli bir hizmet için yapılmış sözde aboneliklerini iptal etmek için bir telefon numarasına yönlendiren e-postaları kullanıyor.
Alıcılar numarayı aradığında, saldırganlar tarafından işletilen sahte bir çağrı merkezi, onlardan bir web sitesini ziyaret etmelerini ve hizmeti iptal etmek için bir Excel dosyası indirmelerini istiyor. Excel dosyası, yükü indiren kötü amaçlı bir makro içeriyor.
Microsoft’un güvenlik ekibi, Active Directory (AD) veritabanı da dahil olmak üzere kimlik bilgilerini çalmak için Cobalt Strike penetrasyon test kiti’ni kullanan grubu da gözlemledi. AD hırsızlığı, bir kuruluşun kimliğini ve kimlik bilgilerini içermesi itibariyle şirketin tekrar sahip olmak için binlerce doları gözden çıkarabileceği bir olay.
Geçen yılın ikinci yarısında siber saldırganlar, uzaktan çalışanları ya da eğitim alanları ve dijital tedarik zincirini hedef aldı. Fidye yazılımının hareketliliğinde ilk yarıya kıyasla yedi kata varan bir artış gözlemlendi. Ayrıca Microsoft platformları en çok başvurulan saldırı hedefi olarak öne çıkıyor.
FortiGuard Labs’ın yılda iki kez yayınladığı FortiGuard Labs Küresel Tehdit Raporu‘nun en yeni bulgularını paylaştı. 2020’nin ikinci yarısında elde edilen tehdit istihbaratı, siber saldırganların dünyanın farklı noktalarında gerçekleştirdiği atakların ölçeğini artırmak için sürekli genişleyen saldırı zemininden kazandıkları avantajı en üst seviyeye çıkardığını gösteriyor. Bu da daha önce görülmemiş bir siber tehdit zemininin oluşmasına neden oluyor.
Kendini geliştirme konusunda son derece başarılı olan saldırganlar, yıkıcı etkiler yaratan gelişmiş saldırı zincirleri oluşturuyor. Geleneksel ağın dışında yer alan uzaktan çalışanları ve uzaktan eğitim alanlarını da hedef alan saldırganlar, bu sırada dijital tedarik zincirlerini ve ağ merkezini hedef alırken daha da çevik olduklarını gösteriyor. 2020’nin ikinci yarısını kapsayan raporun öne çıkan noktaları şöyle:
FİDYE YAZILIMLARININ BASKIN TEHLİKESİ DEVAM EDİYOR
FortiGuard Labs verileri 2020’nin ilk yarısına kıyasla birkaç trendden ötürü fidye yazılımının hareketliliğinde yedi kata varan bir artış gözlemliyor. Hizmet olarak fidye yazılımının (RaaS) gelişmesi, daha fazla ses getirmesi için yüksek fidyelerin istenmesi ve koşullar yerine getirilmezse veriyi erişime açma tehdidi bir araya gelmesi bu önemli artışın sebeplerini oluşturuyor.
Egregor, Ryuk, Conti, Thanos, Ragnar; WastedLocker, Phobos/EKING ve BazarLoader, farklı yaygınlık derecesine sahip olan ancak en aktif fidye yazılımları olarak karşımıza çıkıyor. Fidye yazılımları tarafından sıklıkla hedef alınan sektörler arasında sağlık, profesyonel hizmetler, tüketici hizmetleri, kamu sektörü ve finansal hizmetler yer alıyor. Gelişen fidye yazılımlarına karşı etkili bir şekilde korunabilmek için kurumların sıklıkla eksiksiz yedekleme yapması ve bu yedekleri de şirket dışında güvenli bir yerde bulundurması gerekiyor. Sıfır güven erişimi (ZTNA) ve segmentasyon stratejilerinin de riski en aza indirmek için dikkate alınması gerekiyor.
TEDARİK ZİNCİRİ ÖNE ÇIKIYOR
Tedarik zinciri saldırıları çok uzun zamandır yaşanıyor ancak SolarWinds sızıntısı bunu çok farklı boyutlara taşıdı. Saldırı gerçekleşirken bilgilerin büyük çoğunluğu ilgili şirketlerle paylaşıldı. FortiGuard Labs bu gelişmekte olan istihbaratı yakından takip etti. Daha sonra oluşturduğu bu istihbaratı ilgili aktiviteleri tespit etmek ve IoC’ler oluşturmak için kullandı. Aralık 2020’de SUNBURST ile bağlantılı internet altyapısıyla iletişim tespitleri, kampanyanın küresel olduğunu gösteriyor. “Five Eyes” birliğinin kötü amaçlı IoC’lerle eşleşen yüksek miktarda trafik gözlemlemesi de bu durumu doğruluyor. İkincil hedeflerin olduğunu belirten kanıtlar, modern tedarik zinciri saldırılarının birbiriyle bağlantılı yapısını ve tedarik zinciri risk yönetiminin önemini gözler önüne seriyor.
SALDIRGANLAR ÇEVRİMİÇİ AKTİVİTELERİ HEDEF ALIYOR
En uzun süre varlığını devam ettiren kötü amaçlı yazılım kategorileri incelendiğinde siber saldırganların şirket içinde bir dayanak oluşturmak için en sık tercih ettiği yöntem açığa çıkıyor. Microsoft platformu, birçok kişinin sıradan bir iş gününde kullandığı belgelerden faydalanmak için en çok başvurulan saldırı hedefi olarak öne çıkıyor. Web tarayıcıları da başka bir hedef. Bu HTML kategorisinde, kötü amaçlı yazılım yüklü oltalama siteleri ve kod enjekte eden ya da kullanıcıları kötü amaçlı sitelere yönlendiren komut dizileri yer alıyor. Bu tür tehditler, küresel sorunlar yaşandığında ya da online ortamların büyük ölçüde kullanıldığı dönemlerde artış gösteriyor. Şirket ağından internete genellikle web filtreme hizmeti kullanarak bağlanan çalışanlar, internete bu koruyucu filtre olmadan bağlandığı için kendilerini daha fazla tehlikeye açık hissediyor.
EVDEN ÇALIŞANLAR HALA HEDEF ALINIYOR
2020’de ev ile ofis arasındaki engeller önemli ölçüde ortadan kalktı. Bu da evleri hedef alan saldırganların şirket ağına daha kolay girebilmesini sağlıyor. 2020’nin ikinci yarısında Nesnelerin İnterneti (IoT) cihazlarını hedef alan saldırılar, listenin ilk sıralarında yer aldı. Her IoT cihazı, beraberinde korunması ve her cihazda olması gerektiği gibi güvenlik izlemesi ve uygulaması gerektiren yeni bir uç nokta haline geliyor.
TEHDİT AKTÖRLERİ DÜNYA SAHNESİNE ÇIKIYOR
Gelişmiş Kalıcı Tehdit (Advanced Persistent Threat, APT) grupları birçok yöntem ile COVID-19 pandemisini istismar etmeye devam ediyor. Bu yöntemler arasında en sıklıkla kullanılanı ise sayıca fazla bireyin kişisel bilgilerini toplamaya ve çalmaya odaklanan, APT gruplarının uluslara yönelik ilgili istihbaratları ele geçiren saldırıları yer alıyor. 2020’nin sonuna yaklaşıldığında aşı araştırması ya da yerel veya uluslararası sağlık ilkeleri geliştirmek gibi COVID-19 ile ilgili bir iş yapan kurumları hedef alan APT aktivitelerinde bir artış gözlemlendi. Hedef alınan kurumlar arasında kamu kuruluşları, ilaç firmaları, üniversiteler ve medikal araştırma şirketleri yer alıyor.
Siber saldırganlar zafiyetleri kendi faydalarına göre istismar etmek istediği için şirketlerin öncelikleri arasında zafiyetleri yamayla kapatma ve ortadan kaldırma gibi başlıklar yer alıyor. Son iki yılda bilinen 1.500 zafiyetin durumu incelendiğinde ortaya çıkan veri, zafiyetlerin ne kadar hızlı ortaya çıktığını ve kapsamlı olduğunu ortaya koyuyor. Durum her zaman böyle olmasa da birçok zafiyet çok hızlı yayılıyor gibi görünmüyor.
Son iki yılda gözlemlenen zafiyetlerin sadece yüzde 5’i, şirketlerin yüzde 10’undan fazlasında görüldü. Aksi bir durum olmazsa, bir zafiyet rastgele seçildiğinde veriler, şirketlerin bu zafiyet üzerinden saldırıya uğrama ihtimalinin binde bir olduğunu ortaya koyuyor.
Zafiyetlerin yalnızca yüzde 6’sı, ilk ay içerisinde şirketlerin yüzde 1’ine saldırmak için kullanılıyor ve 1 yıl sonrasında bakıldığında zafiyetlerin yüzde 91’i, yüzde 1 barajını geçemiyor. Yine de bilinen zafiyetleri ortadan kaldıracak çalışmalara odaklanmak çok önemli. Bu zafiyetler arasında da yayılım hızı fazla olanlara öncelik vermek gerekiyor.
ENTEGRE BİR STRATEJİYE İHTİYAÇ VAR
Kurumlar, her alandan gerçekleşen saldırıların bulunduğu bir tehdit zeminiyle karşı karşıya. Tehdit istihbaratı, bu tehditleri anlamak ve gelişen tehdit yöntemlerine karşı savunmak için önemini korumaya devam ediyor. Özellikle çalışanların önemli bir kısmının alışılmış ağ senaryosunun dışında olduğu durumlarda görünürlük kritik öneme sahip. Her cihaz, gözlemlenmesi ve korunması gereken yeni bir ağ bileşeni haline geliyor. Yapay zeka (AI) ve otonom tehdit denetimini kullanarak şirketler saldırılara sonra değil, anında karşılık verebiliyor. Ayrıca uç noktaların tamamında hızından ve ölçeğinden bağımsız olarak tüm saldırıların etkisini azaltmak için de gerekli. Siber hijyen sadece BT’yi ve güvenlik ekiplerini değil, herkesi ilgilendirdiği için kullanıcı farkındalığına yönelik siber güvenlik eğitimlerine de öncelik verilmesi gerekiyor. Çalışanları ve kurumları güvenli tutmak için herkesin düzenli eğitime ve en iyi uygulamalara yönelik açıklamaya ihtiyacı var.
FortiGuard Labs Güvenlik Yaklaşımları ve Global Tehdit Ortaklığı Başkanı Derek Manky, konuyla ilgili şu değerlendirmelerde bulundu:
“2020’nin ilk gününden son gününe kadar her an dikkat çeken bir siber tehdit zemini gördük. Pandeminin de etkisiyle yılın ilerleyen dönemlerinde siber saldırganlar saldırılarını yıkıcı sonuçlar yaratacak şekilde geliştirdi. Dijital saldırı zeminini merkez ağın da ilerisine taşıyarak uzaktan çalışanları ya da eğitim alanlarını ve dijital tedarik zincirini kapsayacak şekilde genişlettiler. Artık her şey daha büyük bir dijital ortamda birbirleriyle bağlantı halinde olduğu için siber güvenlik riski de hiç olmadığı kadar arttı. Aksiyon alınabilen tehdit istihbaratıyla desteklenen entegre ve yapay zekadan güç alan platform yaklaşımı, sınırların tamamında korumayı sağlayabilmek ve günümüz dünyasında kurumların karşılaştığı tehditleri gerçek zamanlı bir şekilde tespit edebilmek ve ortadan kaldırabilmek için kritik öneme sahip.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
