Fidye yazılım saldırıları düzenleyen siber suç çetesi Qakbot’a ABD’nin öncülüğünde uluslararası bir operasyon düzenlendi.
Farklı ülkelerin polis teşkilatı ve ABD Kolluk kuvvetlerince düzenlenen teknik operasyonda zararlı botnet yazılımı Qakbot ağının altyapısı çökertildi.
Dünya genelinde 700.000’den fazla sisteme bulaşan yazılım, Fransa’da 26.000 bilgisayara zarar verdi. Operasyonda ayrıca 8,6 milyon dolar değerinde kripto paraya el konuldu
FBI’dan ve ABD Adalet Bakanlığından yapılan açıklamada çok uluslu bir operasyon, Qakbot botnet ağını dağıtmak amacıyla gerçekleştirildi. Operasyona ABD’nin yanısıra Fransa, Almanya, Hollanda, İngiltere, Romanya ve Letonya da katıldı.
Olay, ABD’nin bir botnet altyapısına karşı gerçekleştirdiğin ilk operasyon olarak tarihe geçti.
Qakbot zararlı yazılımı kurbanlarının bilgisayarlarına e-posta üzerinden gerçekleştirilen oltalama saldırılarılarıyla bulaşıyor. Qbot ve Pinkslipbot gibi farklı isimlerle de bilinen botnet, genellikle istenmeyen e-postaların dışında zararlı bağlantılar içeren iletilerle de yayılıyor.
Nokia’nın her yıl yayımladığı Tehdit İstihbarat Raporu’nda internet güvenliğine dair bu yıl da çok çarpıcı bilgiler yer alıyor. Rapor, dünyadaki mobil ve sabit ağlardaki kötü amaçlı yazılım saldırılarına dair bir panorama sunuyor. Elde edilen veriler Nokia’nın NetGuard uç nokta güvenlik çözümünün (NetGuard Endpoint Security solution) konuşlandırıldığı servis sağlayıcı ağlardan toplandı.
Ağ tabanlı zararlı yazılım tespiti, Nokia müşterilerinin tüketici ve kurumsal cihazlarına kötü amaçlı yazılım bulaşması, cep telefonları, (IoT) cihazları, dizüstü bilgisayarlar, kişisel bilgisayarlar, not defterleri ve yeni nesil de dahil olmak üzere sabit ve mobil şebekelerin izlenmesini sağlıyor. Söz konusu sistem dünya çapında büyük sabit ve mobil ağlarda konuşlandırılarak 200 milyondan fazla cihazdan ağ trafiğini izliyor.
Nokia NetGuard Endpoint Security, kötü amaçlı yazılım komut ve kontrol iletişimi, istismar girişimleri, bilgisayar korsanlığı etkinliği, tarama etkinliği ve dağıtılmış hizmet reddi (DDoS) saldırıları için ağ trafiğini inceliyor. Sistem sayesinde hangi cihazlara zararlı yazılımın bulaştığı ve hangi zararlı yazılımın bulaştığını tam olarak öğrenmek mümkün. Sistem ayrıca saldırıların nereden geldiğini ve hangi ağ aygıtlarının saldırıya uğradığını belirleme noktasında da saldırı trafiğini izliyor.
Yeni yayımlanan Nokia 2021 Tehdit İstihbaratı Raporunda en dikkat çeken bulgulardan biri Android cihazların mobil cihazlara yönelik zararlı yazılım saldırılarının yüzde 50’sinden fazlasını oluşturduğu. Android zararlı yazılımları, büyük ölçüde hem güvenilir hem de güvenilmeyen uygulama mağazalarından geliyor.
Öte yandan mobil cihazların kötü amaçlı yazılımlarla enfekte olma oranları Nisan 2020’den bu yana yüzde 0,1 düşüş göstermiş. Raporda ayrıca sabit yerleşim ağlarındaki zararlı yazılım bulaşma oranlarının Kovid-19 pandemisi sırasında iki katına çıktıktan sonra dengelenmeye başladığı belirtiliyor.
YILIN TRENDLERİ: TEDARİK ZİNCİRİ VE IoT BOTNET SALDIRILARI
Rapora göre artan tedarik zinciri saldırıları ve IoT botnet faaliyeti, geçen yıl gözlenen başlıca güvenlik trendlerinden ikisiydi.
Ayrıca rapor, bankacılık faaliyetlerini hedef alan zararlı yazılım tehditlerinin çarpıcı bir şekilde arttığını gösteriyor. Tek kullanımlık parolalar içeren SMS mesajlarını çalmaya odaklanan yeni bankacılık truva atlarının çeşitliliğinde yılın ilk yarısında yıllık yüzde 80’lik bir artış var.
Raporda bu faaliyetlerin önemli bir kısmının Avrupa ve Latin Amerika’da yoğunlaştığı ancak dünyanın diğer bölgelerine de hızlı bir şekilde yayıldığı açıklandı. Bankacılık truva atları bilgi toplamak için çeşitli hileler kullanıyor. Bunlar arasında tuş vuruşlarını takip etme böylece yazılan bilgileri ele geçirme, banka oturum açma ekranlarını kopyalama, elde edilen bilgileri hedefe aktarma, anlık ekran görüntüleri alma ve hatta Google Kimlik Doğrulayıcı kodlarına erişme yer alıyor.
Bankacılık işlemlerini hedef alan kötü amaçlı yazılımlar öncelikle Android telefonlara odaklanmış durumda. Sebebi ise Android’in yaygınlığı ve geliştirici açıklığı.
Tehdit İstihbaratı Raporunda, çoğu bankacılık işleminin müşterilerin hesaplarına çok faktörlü kimlik doğrulama özelliği ekleyerek siber suçluların kişisel bilgi edinmelerini zorlaştıracağı belirtiliyor.
Raporda ayrıca, ev ağlarındaki Covid-19 ile ilişkili kötü amaçlı yazılım olaylarının 2020’de yüzde 3,2 oranında zirve yapmasının ardından yüzde 2’ye düştüğü belirtildi. Bu, bireylerin Covid ile ilgili siber saldırıların yarattığı tehditler konusunda ekstra bilinçli olduklarını ve evlerindeki çalışma ortamlarını güvence altına almak için adımlar attıklarını göstermekte.
Öte yandan IoT botnet’leri, “akıllı” buzdolapları ve video gözetim kameraları gibi IoT cihazlarının kullanımının bir sonucu olarak gelişmeye devam ediyor.
MOBİL CİHAZLARA KÖTÜ AMAÇLI YAZILIM BULAŞMASI KARANTİNADA ZİRVE YAPTI
Rapora göre 2020’nin ikinci yarısında ve 2021’in ilk yarısında, her ay cihazların ortalama yüzde 0,12’sine kötü amaçlı yazılım bulaştı. Bu, 0,23’lük oranla zirve yaşayan bir önceki yıla göre düşük bir oran. Söz konusu rekor oran, Kovid-19 karantinasından kaynaklanıyordu. Kullanıcıları tehditlere karşı kendilerini nasıl koruyacakları konusunda eğitme çabaları, takip eden aylarda saldırılarda gözle görülür bir düşüşle beraber dramatik bir etki yarattı.
Temmuz, Eylül ve Aralık 2020’de bu oranlarda küçük artışlar gözlendi. Bu artışlar ise daha çok, devam eden kimlik avı saldırılarına atfediliyor. Aşılar hakkında bilgi arayan kişilerin yanı sıra Aralık ayında Noel öncesi çevrimiçi alışveriş yapanların da siber saldırganların iştahını kabarttığı anlaşılıyor.
Genel olarak mobil cihazlarda oranının önceki yıllara göre düşmüş olmasının ana nedeni olarak ise resmi mobil uygulama mağazalarının güvenliğinin son yıllarda önemli ölçüde artması gösteriliyor. Tehdit aktörleri her zaman kötü amaçlı yazılımlarını uygulama mağazalarına yerleştirmenin yeni yollarını bulsa da uygulamalar artık daha karmaşık araçlarla analiz ediliyor ve kötü amaçlı yazılımlar her zamankinden daha hızlı kaldırılıyor.
MOBİL CASUS YAZILIMLAR EN YAYGIN ANDROİD TEHDİDİ
Mobil casus yazılımlar, tüm tehdit unsurlarının yüzde 36’sından fazlasını oluşturan en yaygın Android tehdidi olmaya devam ediyor. En dikkat çekici eğilim, Android reklam destekli yazılımdaki yüzde 14’lük düşü. Ancak, bu düşüş, program indiriciler, bilgi hırsızları ve bankacılık Truva Atları gibi yüksek tehdit içeren unsurlardaki artışla dengelenmiş.
EV AĞLARINA YÖNELİK ZARARLI YAZILIM SALDIRILARI ÖNCE DÜŞTÜ PANDEMİDE YİNE ARTTI
Sabit ev ağlarına yönelik zararlı yazılım saldırı oranı, Kovid-19 karantinalarının başladığı 2020’ye kadar istikrarlı bir düşüş gösterdi. Konut ağlarının enfekte olma oranı 2020 baharında yüzde 1,1 gibi düşük bir oranda iken Aralık 2020’de yüzde 3,24’e çıktı.
İlk artış, kişisel koruyucu ekipmanlardan, enfeksiyon haritalarına ve takip uygulamalarına kadar her şey hakkında bilgi sunan kötü amaçlı yazılımlarla bağlanmış uygulamalara atfedildi. Pandemi devam ettikçe, kötü amaçlı yazılım hızlı test çözümleri, sahte Kovid-19 önlemlerine işaret eden dolandırıcılık yöntemleri ve aşı ile ilgili dezenformasyon içerecek şekilde gelişti.
Online alışveriş hacmindeki artış ve buna bağlı olarak kargo teslimiyle ilişkili kimlik avı saldırılarındaki artış aboneleri enfekte olma riskine sokmaya devam ediyor.
Aralık ayındaki zirve artıştan bu yana, zararlı yazılım bulaşma oranları yüzde 2,5’e düştü. 2021’de görülen düşüşün bazı nedenleri olarak raporda şunlar sıralandı:
Dünyadaki Kovid-19 karantinaları ve evden çalışma trendinin bir sonucu olarak, birçok ev kullanıcısı daha fazla güvenlik ve güvenlik duvarı özelliğine sahip yeni yönlendiriciler de dahil olmak üzere internet hizmetlerini yükseltti.
Güvenlik araştırmacıları, yazılım uygulamalarındaki güvenlik açıklarını daha iyi tanımlamak ve iletmek için ortak çaba sarf etti.
Güncelleştirmeleri düzenli ve zamanında yayımlamak için varsayılan olarak birçok otomatik işletim sistemi güncelleştirmesi etkinleştirildi.
Siber suçlular odaklarını Nesnelerin İnterneti (IoT) ve mobil cihazlara kaydırdı.
ANDROID CİHAZLAR TÜM VİRÜSLÜ CİHAZLARIN YÜZDE 50,31’İNİ OLUŞTURDU
Akıllı telefonlar arasında Android cihazlar, açık ortam ve üçüncü taraf uygulama mağazalarının kullanılabilirliği nedeniyle kötü amaçlı yazılımlar tarafından en çok hedeflenen cihaz olmaya devam ediyor. Android cihazlar, tüm virüslü cihazların yüzde 50,31’ini oluşturuyor.
Android cihazları ise tüm enfekte olan cihazların yüzde 23,1’ini oluşturan Windows cihazları izledi. Öte yandan bu yıl macOS (eski adıyla OSX) alanında, özellikle ADLOAD reklam yazılımı ailesinde, Mac tabanlı reklam yazılımlarındaki artışın etkisiyle kayda değer bir artış görüldü.
2021’de sabit konut ağlarında en fazla tespit edilen 20 zararlı yazılımın çoğu hala geleneksel Windows / PC platformuna odaklanıyor. Ancak, bir önceki yıla kıyasla, konut ağlarında daha fazla Android kötü amaçlı yazılım enfeksiyonu tespit edildi. Bu bulgu, Android akıllı telefonların sayısındaki genel artışla ve evdeyken akıllı telefonları çoğunlukla Wi-Fi üzerinden internete bağlama arasında tutarlı bir ilişki bulunmakta.
Zararlı yazılım konusunda en çok tehdit altında olan işlemler arasında kimlik hırsızlığı, mali kayıp ve diğer siber suç faaliyetleri bulunmakta. Söz konusu listede çeşitli botlar, arka kapılar, bankacılık Truva Atları, şifre hırsızları ve casus yazılımlar bulunuyor. Bu yıl botlarla ilgili faaliyetler büyük yer kaplıyor. Zira botların ağ altyapılarına nüfuz etmenin en etkili yollarından biri olduğu kanıtlandı.
Raporun Botnet saldırıları ile ilgili bölümü, ağ altyapısında zafiyet bulmanın, hizmet odaklı işletmeleri, kurumları ve hükümetleri durma noktasına getirebilecek gelişmiş kalıcı saldırılar için hızlı bir şekilde en iyi dağıtım yöntemi haline geldiğini özetliyor.
Kamu ve özel sektörde kritik altyapıları hedef alan fidye yazılımı saldırıları son dönemde 10 kat arttı.
Fortinet siber güvenlik firmasının yılda iki kere paylaştığı FortiGuard Labs Küresel Tehdit Zemini Raporunun yeni bulgularını paylaştı.
2021’in ilk yarısında elde edilen tehdit istihbaratı, bireyleri, kuruluşları ve giderek daha kritik hale gelen altyapıyı hedef alan saldırıların hacminde ve gelişiminde önemli bir artış olduğunu gösteriyor.
Geleneksel ağın içinde ve dışında hibrit çalışanların ve öğrencilerin genişleyen saldırı yüzeyi hedef olmaya devam ediyor.
Kolluk kuvvetlerinin yanı sıra kamu ve özel sektör arasında zamanında gerçekleştirilen iş birliği ve ortaklıklar, 2021’in ikinci yarısına girerken siber suç ekosistemini bozmak için önemli bir fırsat sunuyor.
Raporun ayrıntılı bir görünümü ve bazı önemli bulgular blogda yer alırken 2021’in birinci yarısındaki verilerden oluşturulan raporunun öne çıkan başlıkları da aşağıda bulunuyor:
1)Fidye Yazılımı Paradan Daha Fazlasını Kaybettiriyor: FortiGuard Labs verileri, fidye yazılımlarının Haziran 2021’deki haftalık ortalama etkinliğinin önceki yıla kıyasla on kattan fazla olduğunu gösteriyor. Bu veri aynı zamanda bir yıl boyunca tutarlı ve genel olarak istikrarlı bir artış olduğunu da gözler önüne seriyor.
Saldırılar, özellikle kritik öneme sahip sektörler olmak üzere birçok kuruluşun tedarik zincirlerini işlemeyecek hale getirdi ve günlük yaşamı, verimliliği ve ticareti her zamankinden daha fazla etkiledi. En çok hedef alınan şirketler telekomünikasyon sektöründe yer alırken, telekomünikasyon sektörünü de kamu, yönetilen güvenlik hizmeti sağlayıcıları, otomotiv ve imalat sektörleri takip ediyor.
Buna ek olarak, bazı fidye yazılımı operatörleri, stratejilerini e-postadan bulaşan dosyalar yerine kurumsal ağlara ilk erişimi elde etme ve satma üzerine oluşturmaya başladı. Bu değişim, siber suçları güçlendiren Hizmet olarak Fidye Yazılımı (RaaS) ürünlerinin gelişmeye devam ettiğini gösteriyor.
Fidye yazılımları bulunduğu sektörden veya büyüklüğünden bağımsız olarak tüm şirketler için gerçek bir tehlike olmaya devam ediyor. Şirketlerin sıfır güven erişim yaklaşımının, ağ segmentasyonunun ve şifrelemenin yanı sıra güvenli ortamlara yönelik gerçek zamanlı uç nokta koruması, tespit etme ve otomatik yanıt çözümleriyle proaktif bir yaklaşım benimsemesi gerekiyor.
2) Dört Şirketten Birisi Kötü Amaçlı Reklam Tespit Etti: En çok görülen fidye yazılımlarına bakıldığında aldatıcı sosyal mühendislik ile geliştirilen kötü amaçlı reklamcılık ve kullanıcıyı korkutan yazılımlarda bir artış olduğu görülüyor.
Şirketlerin yüzde 25’inden fazlası, kötü amaçlı reklam veya korkutma denemeleri tespit etti. Bu da Cryxos’u dikkat edilmesi gereken bir kötü amaçlı yazılım ailesi yapıyor. Bununla birlikte verilerin büyük bir kısmı, büyük olasılıkla kötü amaçlı reklamcılık olarak değerlendirilebilecek diğer benzer JavaScript çalışmalarıyla destekleniyor.
Korkutmaya ek olarak gasp etmeyi de hedefleyen siber suçlular, hibrit çalışma yöntemlerinden yararlanabileceği yollar aradığı için şirketlerin bu yöndeki tercihi, siber saldırganların taktiklerdeki bu trende net bir şekilde güç veriyor.
Siber güvenlik bilincinin artması, korkutma ve kötü amaçlı reklam taktiklerinin başarılı olmasını engellediği için zamanında eğitim imkanı sağlamak, her zaman olduğu gibi çok önemli.
3) Botnet Trendleri Saldırganların Sınıra Yöneldiğini Gösteriyor: Tespit edilen botnetlerin yaygınlığına bakıldığında bu cihazların aktivitelerinde artış yaşandığı görülüyor. Yılın başında botnet etkinliği tespit eden şirketlerin oranı yüzde 35 olurken, altı ay sonra bu oran yüzde 51’e yükseldi.
Haziran ayında botnet etkinliğindeki genel artışın arkasında TrickBot’un etkinliğindeki büyük artış yer alıyor. TrickBot başlangıçta siber suç sahnesinde bir bankacılık truva atı olarak ortaya çıktı ancak o zamandan beri birçok yasa dışı faaliyeti destekleyen karmaşık ve çok aşamalı bir araç setine dönüştürüldü.
Genel olarak en yaygını olan Mirai ise 2020’nin başlarında Gh0st’ı geride bıraktı ve 2021’e kadar hüküm sürdü. Zaman içinde Mirai’ye siber saldırganlara güç verecek yeni özellikler eklenmeye devam etti. Mirai’nin hakimiyetinin bir kısmında evden çalışan veya eğitimine evden devam eden kişiler tarafından kullanılan Nesnelerin İnterneti (IoT) cihazlarından yararlanmaya çalışan siber suçlular büyük rol oynamış olabilir.
Saldırganların virüslü sistemin kontrolünü tam olarak ele geçirmesine, canlı web kamerası görüntülerini ve mikrofondan çıkan sesleri kaydetmesine veya dosya indirmesine izin veren bir uzaktan erişim botneti olan Gh0st da gözle görülür derecede aktif.
Uzaktan çalışma ve öğrenme alanlarındaki değişimlerinin üzerinden geçen bir yıldan uzun süre boyunca siber saldırganlar, fırsatlardan yararlanmak için kullanıcıların günlük alışkanlıkları hedeflemeye devam ediyor. Ağları ve uygulamaları korumak için şirketler, IoT uç noktasına ve ağa giren cihazlara karşı en düşük erişim imkanını sağlamak için sıfır güven erişim yaklaşımlarına ihtiyaç duyuyor.
4) Siber Suçların Engellenmesi, Tehdit Hacimlerinin Düşmesini Sağlıyor: Siber güvenlikte her eylem anında veya kalıcı bir etkisi sunmuyor ancak 2021’deki bazı olaylar özellikle sistemi savunanlar için olumlu gelişmeler sağlıyor.
TrickBot’un orijinal geliştiricisi, haziran ayında birden fazla suçlamayla yargılandı. Ayrıca yakın tarihin en verimli kötü amaçlı yazılım operasyonlarından biri olan Emotet’in koordineli olarak kaldırılması ve Egregor, NetWalker ve Cl0p fidye yazılımı operasyonlarını bozmaya yönelik atılan adımlar, siber suçları engellemek için devletlerin küresel çalışmalarını ve kolluk kuvvetleri de dahil olmak üzere siber saldırganlara karşı mücadele veren ekiplerin başarısını gösteriyor.
Ek olarak bazı operasyonların yarattığı etki, birçok fidye yazılımı operatörünün operasyonlarını durdurmasını sağladı.
FortiGuard Labs’ın verileri, Emotet’in kaldırılmasının ardından tehdit etkinliğinin azaldığını gösterdi. Emotet botnet, çevrimdışı olduktan sonra TrickBot ve Ryuk varyantlarının etkinliği devam etti ancak hacmi azaldı. Siber tehditleri veya siber saldırganların tedarik zincirlerini hemen ortadan kaldırmak zor olsa da bu operasyonlar son derece büyük başarılarla sonuçlandı.
5) Sistem Yöneticilerinden Savunma Amaçlı Kaçınma ve Sistem İçinde Sahip Olunan Ayrıcalıkları Artırma Teknikleri Siber Suçlular Tarafından Tercih Ediliyor: Daha kapsamlı tehdit istihbaratı incelendiğinde saldırı tekniklerinin şu anda nasıl geliştiğine dair değerli bulgular ortaya çıkıyor.
Siber saldırganların neyi amaçladığını gözlemlemek için örnekleri inceleyerek tespit edilen kötü amaçlı yazılıma özgü belirli özellikleri analiz edildi. Ortaya da saldırıda kullanılan dosyalar hedef ortamlarda çalıştırılsaydı kötü amaçlı yazılımın başarabileceği olumsuz sonuçların listesi çıktı. Bu liste, siber saldırganların diğer tekniklerin yanı sıra sahip olduğu ayrıcalıkları artırmaya, savunmalardan kaçınmaya, dahili sistemler arasında hareket etmeye ve güvenliği ihlal edilmiş verileri sızdırmaya çalıştığını gösteriyor.
Rusya merkezli internet servis sağlayıcısı Yandex, geçen hafta başlayan büyük bir DDoS saldırısına maruz kaldı.
Yandex, world wide web’den bağımsız olacak ve ülkenin internet kesintisine karşı dayanıklılığını sağlayacak şekilde tasarlanan Rus interneti Runet tarihinin en büyük DDoS saldırısıyla karşı karşıya.
Hedef alınan web kaynağına birden çok istek göndererek web sitesinin çok sayıda isteği işleme kapasitesini aşmayı ve doğru şekilde çalışmasını engellemeyi amaçlayan DDoS saldırıları online hizmetler sağlamaya dayanan tüm işletme veya kuruluşları hedef alıyor.
AVA ÇIKARKEN AVLANDI
Yandex’i hedef alan DDoS saldırısının rekor büyüklüğü, bu tür saldırılara karşı koruma konusunda uzmanlaşmış ABD şirketi Cloudflare tarafından da doğrulandı. Üçüncü taraf güvenlik firmalarıyla ortaklaşa, müşterilerine DDoS koruması sağlayan Yandex’in kendisinin DDoS saldırısına uğraması ise dikkati çekti.
Yandex’ten üst düzey bir kaynak, Vedomosti gazetesine yaptığı açıklamada, Rus İnternet tarihindeki en büyük DDoS saldırısının geçen hafta sonu Yandex sunucularında gerçekleştirildiğini söyledi. Yandex’ten başka bir kaynak da bu bilgiyi doğruladı ve şirketin DDoS saldırısını engellemekte zorluk çektiğini ve saldırının bir haftadır devam ettiğini belirtti. DDoS saldırısının türü ve saldırının boyutu hakkında henüz net bir bilgi yok.
İçerden bir başka kişi de Vedomosti’ye yaptığı açıklamada “Yüklenicilerle birlikte bir soruşturma yürütüyoruz.” dedi ve ekledi: “Ulusal ölçekte altyapıya yönelik bir tehditten bahsediyoruz.”
SALDIRININ ARKASINDA LETONYA ŞİRKETİ Mİ VAR?
Yandex’in DDoS koruması sağlayan ortaklarından Qrator Labs’ın CEO’su Alexander Lyamin’e göre DDoS saldırısı yeni bir DDoS botnet tarafından başlatıldı. Lyamin ve ekibi, Ağustos ve Eylül ayları arasında müşterilerini hedef alan büyük bir saldırı dalgası gözlemledi. Kötü amaçlı olduğu belli olan trafik, Baltık bölgesindeki bir satıcıya ait, gizliliği ihlal edilmiş cihazlardan oluşan tamamen yeni bir botnet tarafından üretildi.
Baltık bölgesindeki satıcının Letonya şirketi MikroTik olduğundan şüpheleniliyor. Gizliliği ihlal edilmiş cihazlar son birkaç yılda birden fazla botnet’te kullanıldı. Tehdit aktörleri, eski yazılım kullanan aygıtlardaki bilinen güvenlik açıklarından yararlandı. Zira yazılımın sahipleri bunları güncellememişti.
MIRAI BOTNET GERİ Mİ DÖNDÜ?
Lyamin, Vedomosti’ye yaptığı açıklamada “Bu saldırıların kurbanları farklı, ancak fail, aynı ve sektörde yeni ortaya çıkan bir botnet kullanıyor. Sektörün önde gelen isimleri de beş yıl önce bir sıçrama yapan ve video kamera sistemleri üzerine kurulu Mirai botnet’in geri döndüğünü açıkladı. Son birkaç haftadır bu yeni botnet’i inceledik ve bu inceleme sonunda tamamen yeni bir botnet’in ortaya çıktığını ve botnetin Baltık ülkelerinden çok popüler bir satıcının ağ ekipmanı üzerine kurulduğunu söyleyebiliriz.” ifadelerini kullandı.
Bugüne kadarki en geniş çaplı DDoS saldırısı ile mücadele eden internet güvenliği ve alan adı sunucusu hizmetleri sağlayan CloudFlare şirketi, geçtiğimiz ağustos ayında DDoS saldırılarının daha sık ve tehlikeli hale geldiğini duyurmuştu. Saldırı, finans sektöründe faaliyet gösteren isimsiz bir müşteriyi hedef almıştı. Şirket, saldırının Temmuz ayında gerçekleştiğini ve bir Mirai botnet tarafından başlatıldığını açıklamıştı.
Kötü amaçlı trafik, daha önce bildirilen HTTP DDoS saldırılarından üç kat daha büyük bir birim olan saniyede 17,2 milyon istek (rps) rekor seviyeye ulaştı.
Yaklaşık iki aydır mobil ortamlarda dolaşan zararlı Android yazılımı, 60 bin kullanıcıyı etkiledi. ‘FluBot’ olarak adlandırılan botnetten mağdur olan kullanıcıların ise yüzde 97’si İspanya’da yaşıyor.
Yılın başından itibaren güvenlik firması ThreatFabric tarafından izlenen FluBot’un çalışma prensibi, siber güvenlik firması PRODAFT tarafından yayımlanan bir raporla ortaya çıkarıldı.
FLUBOT NASIL ÇALIŞIYOR?
PRODAFT raporunda ortaya konulan bilgilere göre söz konusu Trojen, yasal uygulamaların sahte giriş ekranlarını oluşturarak, cihaz sahiplerinden e-bankacılık ve ödeme kartı bilgilerini toplamaya çalışıyor.
Çoğu zararlı yazılımda bulunabilen bu özelliklerin yanında FluBot’un bu derece hızlı yayılmasındaki bir diğer tehlikeli özelliği ise kurbanın adres defterini komuta ve kontrol sunucularında toplamasını sağlayan yazılım operatörü. Böylelikle kurbanların cihazlarından telefon numaralarını toplayabilen FluBot, diğer kişilere SMS spamı gönderebiliyor.
Gönderilen SMS içeriklerinde genellikle kişilerin tıklaması için çeşitli mesajlar barındıran bağlantılar bulunuyor. Söz konusu bağlantılar da kullanıcıları FluBot çetesinin oluşturduğu sahte web sitelerine yönlendiriyor.
Sahte web sitelerinde mağdurlardan zararlı yazılım barındıran APK dosyaları indirilmesi isteniyor. Eğer kurbanlar bu dosyaları indirirse FluBot cihaza bulaşmış oluyor.
Eğer APK dosyalarının talep ettiği izinlerin tümüne onay verilirse FluBot, cihazın üstündeki bütün kontrolü ele geçiriyor. Flubot böylelikle bildirimlerinizi engelleyebiliyor, varsayılan SMS uygulamanız olabiliyor, kişi listenizi çalıyor en önemlisi de girdiğiniz herhangi yasal bir site üzerinde ‘kimlik avı’ sitelerini göstererek bilgilerinizi ele geçiriyor.
İSPANYA NÜFUSUNUN YÜZDE 25’İNİN TELEFON NUMARALARINI TOPLADI
PRODAFT’tan yapılan açıklamada, FluBot’un komuta kontrol panelinin izlenebildiğini ve bu sayede bulaştığı cihazların sayısını belirleyebildikleri aktarıldı.
60 bin virüslü cihazın bulunduğunu söyleyen şirket için en endişe verici nokta FluBot’un bu denli hızlı yayılması.
Şirket tarafından yapılan açıklamada, “Şu anda, virüslü cihazlardan toplanan 11 milyondan fazla telefon numarası var ve bu, İspanya’daki toplam nüfusun yüzde 25’ini oluşturuyor” ifadeleri kullanıldı.
FluBot’a müdehale edilemezse muhtemelen 6 ay içinde İspanya’daki tüm telefon numaralarını toplayabilir.
PRODAFT’ta güvenlik araştırmacısı olan Ahmet Bilal Can, “durumu İspanyol kolluk kuvvetlerine bildirdiklerini” açıkladı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
