Bir zamanlar siber suçlar ile devlete bağlı tehdit faaliyetleri arasındaki sınırı ayırt etmek oldukça kolaydı. Siber suçlular yalnızca kâr güdüsüyle hareket ediyordu. Devletteki muadilleri ise işverenlerinin jeopolitik hedeflerini ilerletmek için çoğunlukla siber casusluk kampanyaları ve ara sıra da yıkıcı saldırılar gerçekleştiriyordu. ESET’in son Tehdit Raporu’nda da belirtildiği gibi fidye yazılımları da dahil olmak üzere bu çizgi kaybolmaya başladı.

Siber uzayda bulanık çizgiler

2017 yılında, Kuzey Kore’ye bağlı ajanların ilk küresel fidye solucanı olan WannaCry’ı başlattığı düşünülüyor. Bu saldırı ancak bir güvenlik araştırmacısının kötü niyetli kodun içine gizlenmiş bir “öldürme anahtarını” bulup aktif hale getirmesiyle durdurulabildi. Aynı yıl, devlet destekli bilgisayar korsanları Ukraynalı hedeflere karşı NotPetya kampanyasını başlattı ancak bu durum da aslında araştırmacıların izini sürmek için fidye yazılımı olarak gizlenmiş yıkıcı bir kötü amaçlı yazılımdı. ESET, 2022 yılında Rus Sandworm grubunun  fidye yazılımını benzer bir şekilde, yani veri silici olarak kullandığını gözlemledi. Devlet destekli operasyonlar ile mali amaçlı suçlar arasındaki çizgi o zamandan beri bulanıklaşıyor. Birçok dark web satıcısı devlet aktörlerine istismarlar ve kötü amaçlı yazılımlar satarken bazı hükümetler belirli operasyonlara yardımcı olmaları için serbest çalışan hackerlar kiralıyor. Ancak bu eğilimler hızlanıyor gibi görünüyor. Özellikle yakın geçmişte, ESET ve diğer siber güvenlik şirketleri birkaç belirgin neden gözlemledi.

Fidye yazılımları devlet kasasına mı  gidiyor?

Devlet bilgisayar korsanları, fidye yazılımlarını devlet için bir para kazanma aracı olarak kasıtlı olarak kullanıyor. Bu durum en bariz şekilde tehdit gruplarının sofistike mega soygunlarla kripto para şirketlerini ve bankaları da hedef aldığı Kuzey Kore’de görülüyor. Aslında 2017 ile 2023 yılları arasında bu faaliyetten yaklaşık 3 milyar dolar yasa dışı kâr elde ettiklerine inanılıyor. 

Mayıs 2024’te Microsoft, Pyongyang’a bağlı Moonstone Sleet’in önce hassas bilgileri çaldıktan sonra birkaç havacılık ve savunma kuruluşunun sonraki çalışmalarına “FakePenny” adlı özel fidye yazılımı dağıttığını gözlemledi. Bu davranış, “aktörün hem istihbarat toplama hem de erişiminden para kazanma hedefleri olduğunu gösteriyor” dendi. Kuzey Koreli grup Andariel’in, Play olarak bilinen fidye yazılımı grubuna ilk erişim ve/veya ortaklık hizmetleri sağladığından şüpheleniliyor. Bunun nedeni Play fidye yazılımının daha önce Andariel tarafından ele geçirilmiş bir ağda tespit edilmiş olmasıdır.

Ek iş olarak para kazanmak

Devletlerin fidye yazılım saldırılarına müdahil olmasının bir başka nedeni de hükümet hackerlarının ek iş yaparak para kazanmalarını sağlamak. Bunun bir örneği FBI tarafından tespit edilen “fidye ödemelerinin bir yüzdesi karşılığında şifreleme işlemlerini etkinleştirmek için doğrudan fidye yazılımı iştirakleriyle iş birliği yaptığı” İranlı grup Pioneer Kitten’dır.  NoEscape, Ransomhouse ve ALPHV ile yakın bir şekilde çalıştı. Yalnızca ilk erişimi sağlamakla kalmadı aynı zamanda kurban ağlarını kilitlemeye ve kurbanları gasp etme yolları üzerinde iş birliği yapmaya yardımcı oldu.

Müfettişlerin izini kaybettirmek

Devlet bağlantılı APT grupları da saldırıların gerçek amacını gizlemek için fidye yazılımı kullanıyor. Çin bağlantılı ChamelGang’in  Doğu Asya ve Hindistan’ın yanı sıra ABD, Rusya, Tayvan ve Japonya’daki kritik altyapı kuruluşlarını hedef alan çok sayıda kampanyada bunu yaptığına inanılıyor. CatB fidye yazılımını bu şekilde kullanmak sadece bu siber casusluk operasyonlarına kılıf sağlamakla kalmıyor aynı zamanda operatörlerin veri hırsızlığına kanıtları yok etmelerini de sağlıyor.

Bununla birlikte, düşmanınızın kimliğini bilmiyorsanız fidye yazılımı saldırılarının etkisini azaltmanın hâlâ yolları var. İşte en iyi 10 uygulama adımı:

• Güncellenmiş güvenlik eğitimi ve farkındalık programları ile sosyal mühendislikle mücadele edin,
• Hesapların uzun, güçlü ve benzersiz parolalar ve çok faktörlü kimlik doğrulama (MFA) ile korunduğundan emin olun,
• Saldırıların “patlama alanını” azaltmak ve yanal hareketi sınırlamak için ağları bölümlere ayırın,
• Şüpheli davranışları erkenden belirlemek için sürekli izleme (uç nokta algılama ve yanıtlama veya yönetilen algılama ve yanıtlama) uygulayın,
• Sürekli iyileştirme sağlamak için güvenlik kontrollerinin, politikalarının ve süreçlerinin etkinliğini düzenli olarak test edin,
• Gelişmiş güvenlik açığı ve yama yönetimi araçlarını uygulayın,
• Tüm hassas varlıkların masaüstü bilgisayarlar, sunucular ve dizüstü bilgisayarlar/mobil cihazlar da dahil olmak üzere saygın bir tedarikçiden alınan çok katmanlı güvenlik yazılımı ile korunduğundan emin olun,
• Güvenilir bir ortaktan tehdit istihbaratına yatırım yapın,
• En iyi uygulamalar doğrultusunda düzenli yedeklemeler gerçekleştirin,
• Etkili bir olay müdahale stratejisi geliştirin ve uygulayın.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Kaspersky Security Bulletin, siber güvenlik dünyasındaki önemli gelişmelere ilişkin yıl sonu tahminlerinden ve analitik raporlardan oluşan yıllık bir seri olarak yayınlanıyor. Geçen yıl, Kaspersky uzmanlarının 2024’te suç yazılımları ve finansal siber tehditlerin evrimine ilişkin tahminlerinin çoğu doğru çıkmıştı. Bunlar arasında yapay zeka destekli siber saldırılarda, doğrudan ödeme sistemlerini hedef alan dolandırıcılık girişimlerinde ve açık kaynaklı arka kapı paketlerinde artışın yanı sıra, daha sofistike fidye yazılımı teknikleri ve diğer öngörüler yer alıyordu.

2025 yılında fidye yazılım tekniklerinde daha fazla ilerleme bekleniyor. İlk olarak fidye yazılımları artık yalnızca verileri şifrelemek yerine veritabanlarını gizlice manipüle edecek veya araya hatalı veriler ekleyecek. Şifresi çözülse bile, bu “veri zehirleme” tekniği bir işletmenin tüm veri setinin doğruluğu konusunda şüphe duyulmasına neden olacak. İkinci olarak, kuantum bilişim geliştikçe gelişmiş fidye yazılımı üreticileri kuantum sonrası kriptografi kullanmaya başlayacak. Bu “kuantum geçirmez” fidye yazılımları tarafından kullanılan şifreleme teknikleri, hem klasik hem kuantum bilgisayarlardan gelen şifre çözme girişimlerine dayanacak şekilde tasarlanıyor ve kurbanların verilerinin şifresini çözmelerini neredeyse imkansız hale getiriyor. Üçüncü olarak hizmet olarak fidye yazılımının büyümesi bekleniyor: Daha az deneyimli saldırganlar fiyatı 40 dolara kadar düşen ucuz kitlerle sofistike saldırılar başlatabilecek ve olayların sayısı artacak.

Çalıntı bilgilere dayalı saldırılarda da 2025 yılında bir artış bekleniyor. Lumma, Vidar, Redline  ve diğer popüler bilgi hırsızları kanun uygulayıcıların baskısına dayanacak, uyum sağlayacak ve yeni teknikleri benimseyecekler. Bu alanda yeni oyuncular ortaya çıkacak ve çalınan tüm bilgiler kullanıma sunulacak.

Bültende yer alan diğer önemli tahminler şunlar:

• Merkez Bankalarına ve Açık Bankacılık girişimlerine yönelik saldırılar. Bunlar, merkez bankaları tarafından yürütülen anlık ödeme sistemlerine yönelik saldırılar olacak ve sonuç olarak siber suçlular hassas verilere erişebilecek.
• Açık kaynak projelerine yönelik tedarik zinciri saldırılarında artış. XZ arka kapı olayının ardından, açık kaynak topluluğunun hem yeni saldırı girişimlerini hem de daha önce başarıyla yerleştirilmiş arka kapıları ortaya çıkarması muhtemel.
• Savunma tarafında daha fazla yapay zeka ve makine öğrenimi. Anomali tespitini hızlandırmak, tahmine dayalı yeteneklerle analiz süresini azaltmak, müdahale eylemlerini otomatikleştirmek ve ortaya çıkan tehditlere karşı politikaları güçlendirmek için siber savunmada yapay zekanın giderek daha fazla benimsendiğini göreceğiz.
• Blok zinciri tabanlı yeni tehditlerin ortaya çıkması. Blok zinciri ve eşler arası teknolojiye dayalı güvenli ve özel bir ağa duyulan ihtiyaç nedeniyle yeni blok zinciri protokolleri ortaya çıkacak. Sonuç olarak, bu belirsiz protokoller kullanılarak geliştirilen yeni kötü amaçlı yazılımlar yaygınlaştırılacak ve çeşitli amaçlarla kullanılacak.

Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) Latin Amerika Başkanı Fabio Assolini, şunları söylüyor: “2025 ve sonrasında finansal siber tehditlere karşı dayanıklılık hem bireysel kullanıcılardan hem de işletmelerden sağlam güvenlik önlemleri talep edecek. En iyi savunma, kritik verileri ve operasyonları sofistike saldırganlardan korumak için tehdit istihbaratı, tahmine dayalı analitik, sürekli izleme ve sıfır güven yaklaşımını bir araya getirmektir. Bilgisiz personel, bir kuruluş için ciddi mali kayıplara yol açabilecek en yaygın saldırı vektörleri arasında ilk sıralarda yer aldığından, çalışanlar için düzenli siber eğitim programları düzenlemek ve onları potansiyel siber tehditler konusunda uyarmak da önemlidir.”

2025 tahminlerinin tam listesinin yanı sıra 2024 tahminlerimizin ne kadarının doğru çıktığını öğrenmek için Kaspersky Security Bulletin: 2025’te suç yazılımları ve finansal siber tehditler raporunun tamamını Securelist’da okyabilirsiniz. Önceki yıllara ait Kaspersky Security Bulletin yazılarına bu bağlantıdan ulaşabilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Ymir fidye yazılımı, etkisini artıran teknik özellikler ve taktikler eşliğinde benzersiz bir yetenek kombinasyonu ortaya koyuyor.

Gizlilik için yaygın kullanılmayan bellek manipülasyon teknikleri.  Tehdit aktörleri, kötü amaçlı kodu doğrudan bellekte çalıştırmak için malloc, memmove ve memcmp gibi alışılmadık bellek yönetimi işlevleri karışımından yararlanıyor. Bu yaklaşım, yaygın fidye yazılımı türlerinde görülen tipik sıralı yürütme akışından saparak gizlilik yeteneklerini artırıyor. Üstüne Ymir esnek bir yapılanma gösteriyor: Saldırganlar –path komutunu kullanarak fidye yazılımının dosyaları araması gereken dizini belirleyebiliyorlar. Eğer bir dosya beyaz listede yer alıyorsa, fidye yazılımı bu dosyayı atlıyor ve şifrelemeden bırakıyor. Bu özellik saldırganlara neyin şifrelenip neyin şifrelenmeyeceği konusunda daha fazla kontrol sağlıyor.

Veri çalmaya odaklı kötü amaçlı yazılım. Kolombiya’daki bir kuruluşa yönelik gerçekleşen ve Kaspersky uzmanları tarafından gözlemlenen bir saldırıda, tehdit aktörlerinin çalışanlardan kurumsal kimlik bilgilerini almak için bilgi çalmaya odaklı bir kötü amaçlı yazılım türü olan RustyStealer’ı kullandığı görüldü. Bu bilgiler daha sonra kuruluşun sistemlerine erişim sağlamak ve fidye yazılımını dağıtacak kadar uzun süre boyunca kontrolü elde tutmak için kullanıldı. Bu saldırı, saldırganların sistemlere sızdığı ve erişimi sürdürdüğü ilk erişim aracısı olarak biliniyor. Genellikle ilk erişim aracıları elde ettikleri erişimi dark web üzerinden diğer siber suçlulara satıyorlar. Ancak bu vakada saldırganlar fidye yazılımını sisteme bulaştırarak saldırıyı kendileri devam ettirmiş gibi görünüyorlar. Kaspersky Global Acil Durum Müdahale Ekibi Olay Müdahale Uzmanı Cristian Souza, “Aracılar gerçekten de fidye yazılımını dağıtan aktörlerle aynıysa, bu durum geleneksel Hizmet Olarak Fidye Yazılımı (RaaS) gruplarına güvenmeden ek ele geçirme seçenekleri yaratan, yeni bir eğilime işaret edebilir” diyor.

Ymir’in fidye notu

Gelişmiş şifreleme algoritması. Fidye yazılımı hızı ve güvenliğiyle bilinen, hatta Gelişmiş Şifreleme Standardından (AES) daha iyi performans gösteren modern bir akış şifresi olan ChaCha20’yi kullanıyor.

Cristian Souza, durumu şöyle yorumluyor: “Bu saldırının arkasındaki tehdit aktörü çalınan verileri kamuyla paylaşmamış ya da başka taleplerde bulunmamış olsa da, araştırmacılar bu konuda yeni bir faaliyet olup olmadığını yakından takip ediyor. Henüz yeraltı pazarında ortaya çıkan yeni bir fidye yazılımı grubu gözlemlemiş değiliz. Saldırganlar genellikle karanlık web forumları ya da portalları kullanarak bilgi sızdırıp kurbanları fidye ödemeye zorlarlar ki Ymir’de böyle bir durum söz konusu değildi. Bu nedenle, fidye yazılımının arkasında hangi grubun olduğu sorusu açıkta kalıyor ve bunun yeni bir kampanya olabileceğinden şüpheleniyoruz.”

Yeni tehdit için bir isim arayan Kaspersky uzmanları, Satürn’ün Ymir adlı ayının adını kullanmaya karar verdi. Bu ay, gezegenin dönüşünün tersi yönünde hareket eden “düzensiz” bir ay ve bu özelliği yeni fidye yazılımında kullanılan bellek yönetimi işlevlerinin alışılmadık karışımına ilginç bir şekilde benziyor.

Kaspersky ürünleri, Ymir fidye yazılımını Trojan-Ransom.Win64.Ymir.gen olarak tespit ediyor. Kaspersky ayrıca kurumlara fidye yazılımı saldırılarından korunmaları için aşağıdaki önlemleri öneriyor:

• Sıkı bir yedekleme programı uygulayın ve düzenli testler yapın.
• Veri çalan kötü amaçlı yazılımlar gibi siber tehditlere karşı farkındalığı artırmak ve etkili azaltma stratejilerini öğretmek için çalışanlarınıza düzenli siber güvenlik eğitimleri verin.
• Fidye yazılımının kurbanı olduysanız ve karşılaştığınız tehdide dair henüz bilinen bir şifre çözücü yoksa, şifrelenmiş kritik dosyalarınızı saklayın. Devam eden bir tehdit araştırması kapsamında veya yetkililerin tehdidin arkasındaki aktörün kontrolünü ele geçirmeyi başarması halinde bir şifre çözme çözümü ortaya çıkarsa, verilerinizi kurtarma şansı bulabilirsiniz.
• Fidyeyi ödemenizi tavsiye etmiyoruz.  Fidye ödemek kötü amaçlı yazılımın yaratıcılarını faaliyetlerine devam etmeye teşvik eder. Ayrıca dosyalarınızın güvenli ve güvenilir bir şekilde geri gelmesini garanti etmez.
• Şirketi çok çeşitli tehditlere karşı korumak için Kaspersky Next gibi gerçek zamanlı koruma, tehdit görünürlüğü, araştırma ve EDR ve XDR’nin her büyüklükteki ve sektördeki kuruluşlar için yanıt yeteneklerini sağlayan çözümleri kullanın.
• Tehdit tanımlamadan sürekli koruma ve düzeltmeye kadar tüm olay yönetimi döngüsünü kapsayan, Kaspersky’nin Tehdit Değerlendirmesi, Yönetilen Tespit ve Müdahale (MDR) ve/veya Olay Müdahalesi gibi yönetilen güvenlik hizmetlerini kullanın.  Bunlar siber saldırılara karşı korunmaya, olası saldırıları araştırmaya ve şirkette güvenlik çalışanınız olmasa bile ek siber güvenlik uzmanlığı kazanmanıza yardımcı olur.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Fidye yazılımı sahnesinde nispeten yeni bir grup olan Embargo, ilk olarak ESET tarafından Haziran 2024’te gözlemlendi. Yeni araç seti, ESET’in sırasıyla MDeployer ve MS4Killer olarak adlandırdığı bir yükleyici, bir uç nokta algılama ve EDR‘dan oluşuyor. MS4Killer, her kurbanın ortamı için özel olarak derlendiği ve yalnızca seçilen güvenlik çözümlerini hedef aldığı için özellikle dikkat çekici. Zararlı yazılım, kurbanın makinesinde çalışan güvenlik ürünlerini devre dışı bırakmak için Güvenli Mod’u ve savunmasız bir sürücüyü kötüye kullanıyor. Her iki araç da Embargo grubunun fidye yazılımlarını geliştirmek için tercih ettiği dil olan Rust ile yazılmış.

Kendi altyapısını kuruyor

Çalışma tarzına bakıldığında Embargo’nun iyi kaynaklara sahip bir grup olduğu görülüyor. Kurbanlarla iletişim kurmak için kendi altyapısını kuruyor. Grup, şantajla kurbanlara ödeme yapmaları için baskı yapıyor: Operatörler kurbanların hassas verilerini dışarı sızdırıyor ve şifrelemenin yanı sıra bir sızıntı sitesinde yayımlamakla tehdit ediyor. Grup üyesi olduğu iddia edilen bir kişiyle yapılan röportajda, bir Embargo temsilcisi, grubun RaaS (hizmet olarak fidye yazılımı) sağladığını öne sürerek, bağlı kuruluşlar için temel bir ödeme planından bahsetti. Tehdidi  analiz eden ESET araştırmacıları Tomáš Zvara ve  Jan Holman, “Grubun karmaşıklığı, tipik bir sızıntı sitesinin varlığı ve grubun iddiaları göz önüne alındığında Embargo’nun gerçekten de bir RaaS sağlayıcısı olarak faaliyet gösterdiğini varsayıyoruz” açıklamasını yaptılar. 

Dağıtılan sürümlerdeki farklılıklar, hatalar ve kalan eserler, bu araçların aktif olarak geliştirilmekte olduğunu gösteriyor. Embargo hâlâ markasını oluşturma ve kendisini önde gelen bir fidye yazılımı operatörü olarak kurma sürecinde.  Özel yükleyiciler ve EDR temizleme araçları geliştirmek, birden fazla fidye yazılımı grubu tarafından kullanılan yaygın bir taktik. MDeployer ve MS4Killer’ın her zaman birlikte konuşlandırıldığının gözlemlenmesinin yanı sıra aralarında başka bağlantılar da var. Araçlar arasındaki güçlü bağlar, her ikisinin de aynı tehdit aktörü tarafından geliştirildiğini  ortaya koyuyor. Araç setinin aktif olarak geliştirilmesi, tehdit aktörünün Rust konusunda yetkin olduğunu gösteriyor.

Güvenlik yazılımını devre dışı bırakıyor

MDeployer ile Embargo tehdit aktörü, güvenlik çözümlerini devre dışı bırakmak için Güvenli Mod’u kötüye kullanır. MS4Killer, BYOVD (Bring Your Own Vulnerable Driver) olarak bilinen tekniği kullanarak güvenlik ürünü süreçlerini sonlandıran tipik bir savunma atlatma aracıdır. Bu teknikte, tehdit aktörü çekirdek düzeyinde kod yürütme elde etmek için imzalı, savunmasız çekirdek sürücülerini kötüye kullanır. Fidye yazılımı iştirakleri, saldırıya uğrayan altyapıyı koruyan güvenlik çözümlerini kurcalamak için genellikle ödün verme zincirlerine BYOVD araçlarını dahil eder. Güvenlik yazılımını devre dışı bıraktıktan sonra, iştirakçiler fidye yazılımı yükünün tespit edilip edilmeyeceği konusunda endişelenmeden yükü çalıştırabilir.

Embargo araç setinin temel amacı, kurbanın altyapısındaki güvenlik çözümünü devre dışı bırakarak fidye yazılımı yükünün başarılı bir şekilde dağıtılmasını sağlamaktır. Embargo bunun için çok çaba harcıyor ve saldırının farklı aşamalarında aynı işlevselliği kopyalıyor. 

Kaynak: (BYZHA) Beyaz Haber Ajansı