Dünyanın önde gelen siber güvenlikşirketlerinden McAfee, yeni zararlı yazılımlar, fidye yazılımları ve diğertehditlerin 2017 yılı üçüncü çeyreği merceğinde incelemeye alındığı McAfee LabsAralık 2017 Tehdit Raporu'nu yayımladı. Saniyede dört yeni çeşit üreten zararlıyazılımların toplamda 57,6 milyon yeni çeşit ile tüm zamanların en yüksekseviyesine ulaştığını gözlemleyen McAfee Labs, ayrıca zararlı makrolar kullananyeni dosyasız yazılımlara, Locky fidye yazılımının Lukitus adındaki yeniversiyonuna ve bankacılık odaklı Trickbot ve Emotet Truva Atlarının yeniçeşitlerine ışık tuttu. Raporda, Microsoft'un yazılımlarında yer alan ve 2017yılının ilk çeyreğinde çıkarılan yamayla kapatılan güvenlik açıklarını hedefalan tehditlerin de hız kesmeden saldırılarını sürdürmesi dikkat çekti."Üçüncü çeyrek açıkça gösteriyor ki, saldırganların geliştirdiği tehditlerPowerShell gibi platform teknolojilerinin dinamik ve yararlı yapısından,bireysel kimlik hırsızlığı mağdurlarının dikkatsizliğinden ve bilinen açıklarımevcut güvenlik güncellemeleriyle kapatmakta yetersiz kalan şirketlerdenfaydalanmaya devam ediyor," diyen McAfee Baş Bilimcisi Raj Samani,açıklamasına şöyle devam etti: "Siber suçlular yeni geliştirilen inovasyonlarıve uzun zamandır kullandığımız platformları bize karşı kullanmanın yollarınıaramaya her zaman devam edecek. Ancak bizim yaşadığımız asıl zorluk, bireylerinve şirketlerin kendi kendilerini tehdit altında bırakmaktan vazgeçmesinisağlamaktır."
McAfee Labs Küresel Tehdit İstihbarat bulutu,dünyanın dört bir yanındaki yüz milyonlarca sensör aracılığıyla pek çok tehditvektöründen gelen veriyi algılıyor. Bu tehdit verileri her çeyrek McAfee Labstarafından siber tehdit dünyasının mevcut durumunu değerlendirmek içinkullanılıyor. McAfee Gelişmiş Tehdit İstihbaratı, McAfee Labs için dünyagenelinde gerçekleşen siber saldırıların derinlemesine analizinigerçekleştiriyor.
Siber suçlular 2017'nin üçüncü çeyreğinde deCVE-2017-0199 gibi Microsoft Office güvenlik açıklarını istismar etmeyisürdürdü. CVE-2017-0199 açığı, Microsoft Office ve WordPad'in içinde özelolarak hazırlanmış dosyalar aracılığıyla uzaktan kod çalıştırmaya olanaktanıyor. Pek çok siber saldırgan, bu saldırıyı gerçekleştirmek için GitHub'dabulunabilen bir araçtan faydalanıyor. Bu araç sayesinde karmaşık kurulumlaragerek kalmaksızın kolay yoldan bir arka kapı (backdoor) saldırısı meydanagetirmek mümkün oluyor.
İkinci çeyrekte WannaCry ve NotPetya gibi çokbüyük ölçekli fidye yazılımı saldırılarına neden olan EternalBlue açığı,bankacılık işlemlerini hedef alan Trickbot Truva atının yeni çeşitlerinde eklibir kod olarak kullanılıyor. Microsoft'un EternalBlue açığını güvenlikyamalarıyla kapatma çabalarına karşın, yeni Trickbot'u yazanlar bu tekniğinhalen işe yaradığını ispatlıyor. Üstelik yeni bu Trickbot çeşitleri, kriptopara hırsızlığı ve yeni gönderim yöntemleriyle üçüncü çeyreğin en aktifbankacılık odaklı Truva atları olarak öne çıkıyor.
"Tespit edilip 'ortalığa salınan' ya da hackertopluluklarında paylaşılan güvenlik açıkları, onları istismar edecek karmaşıktehditleri geliştirmek isteyen kötü niyetli gruplar için bir kılavuz niteliğitaşıyor," diyen McAfee CTO'su Steve Grobman, "2017 yılı, böyleaçıkların istismarı sonucunda planlanan WannaCry ve NotPetya fidye yazılımısaldırıları ve Equifax sızıntısı gibi çok daha büyük ölçekli olaylarlahatırlanacak. Teknoloji şirketleri, devletler ve büyük ölçekli kuruluşlar ancaksiber güvenlik açıklarının tespit ve iyileştirmesine daha fazla yatırımyaparak, aynı açıkları istismar etmek için durmaksızın çalışan siber suçlularakarşı koyabilir," değerlendirmesini yaptı.
PowerShell zararlı yazılımlarının %119büyümesiyle dosyasız tehditler yılın üçüncü çeyreğinde de artan bir endişeunsuru olmayı sürdürdü. Bu kategoride öne çıkan Emotet bankacılık Truva atı,dünya genelinde büyük spam kampanyalarıyla yayıldı ve kullanıcıları belirliMicrosoft Word dokümanlarını indirmeye yönlendirdi. Bu tuzağa düşenkullanıcılar, farkında olmadan bir PowerShell makrosunu aktif hâle getiriyor vesisteme zararlı yazılım kurulmasına neden oluyor.
Temel güvenlik açıklarından ya da kullanıcıdavranışlarından faydalanan pek çok siber saldırının aksine, dosyasıztehditlerin doğrudan kullandığımız sistemin yeteneklerini istismar ettiğiniifade eden McAfee Labs Başkan Vekili Vincent Weafer, "SaldırganlarPowerShell veya JavaScrips gibi güvenilir uygulamaları kullanıyor ya da sistemişletim araçlarına erişim sağlıyor. Böylece, en azından saldırının ilk aşamasındabilgisayarlara hiçbir işlem dosyası indirmeye gerek kalmaksızın sisteminkontrolünü ele geçirebiliyorlar," dedi.
Fidye yazılımı alanındaki en önemligelişmelerden biri, Locky fidye yazılımının yeni bir versiyonu olan Lukitus'unortaya çıkması oldu. Bu fidye yazılımı, saldırının ilk 24 saatinde 23 milyondanfazla spam e-posta ile dağıtıldı. Kategori genelinde yeni fidye yazılımıçeşitlerinde %36'lık artış gözlenirken, toplam fidye yazılımı çeşidi son dörtçeyrekte %44 artarak 12,3 milyona ulaştı.
McAfee Gelişmiş Tehdit Araştırmaları ekibiDragonFly 2.0 adını taşıyan ve 2017'nin ilk aylarında enerji sektöründekeşfedilen zararlı yazılımın, ilaç, finansal servisler ve muhasebe gibi diğersektörleri de hedef aldığını ortaya çıkardı. Güvenilir kuruluşlara aitmiş gibigörünen sahte e-postalarla başlatılan bu saldırılar, kullanıcıları linkleretıklayarak Truva atını indirmeye yönlendiriyor ve böylece saldırganlara ağerişimi sağlıyor.
"DragonFly 2.0 saldırılarını gerçekleştireneylemcilerin, hedefledikleri sektörün iç dinamikleri hakkında keşif yapmaamacıyla bu yöntemlere başvurdukları biliniyor. Öncelikli hedefleri ise enerjive ilaç sektörleri," açıklamasını yapan McAfee Kıdemli Bilimcisi ve BaşMühendisi Christian Beek, bu saldırılarla hedeflenen sektörlerde ele geçirilenfikri mülkiyet ve uzman analizlerinin muazzam ekonomik değere sahip olduğunuvurguluyor.
2017 Üçüncü Çeyreği Tehdit Faaliyetleri
Güvenlik olayları. McAfee Labs üçüncü çeyrekte halka açıklanan263 güvenlik olayı hesapladı; bu sayı bir önceki çeyreğe oranla %15 düşüş demekoluyor. Üçüncü çeyrekte halka açıklanan güvenlik olaylarının %60'ından fazlasıKuzey ve Güney Amerika'da gerçekleşti.
Dikey sektör hedefleri. Üçüncü çeyrekte gerçekleşen olayların%40'ından fazlası sağlık ve kamu sektörlerini hedefledi.
o Kuzey Amerika. Sağlık sektörüne yönelik saldırılar, üçüncü çeyrekte dikeysektör saldırılarına öncülük etmeyi sürdürdü.
o Asya. Kamu sektörünü bu çeyrekte teknoloji ve bireysel saldırılartakip etti.
o Avrupa, Okyanusya ve Afrika. Kamu sektörü saldırıları üçüncü çeyreğinöncüsü oldu.
Saldırı vektörleri. Açıklanan saldırı vektörlerinde hesap elegeçirme ilk sırada yer alırken, onu sızıntılar, zararlı yazılımlar, DDoS vehedefli saldırılar izledi.
Mobil zararlı yazılım. Toplam mobil zararlı yazılımlar 21,1 milyonçeşide ulaşarak büyümesini sürdürdü. Yeni mobil zararlı yazılımlar ikinciçeyreğe oranla %60 artış gösterirken, bu sıçramada Android ekran kilitlemefidye yazılımlarının hızlı yükselişi önemli rol oynadı.
Zararlı yazılımlar geneli. Yeni zararlı yazılımçeşitleri üçüncü çeyrekte %10 artarak 57,5 milyona ulaştı. Toplam zararlıyazılım çeşitleri son dört çeyrekte %27 artarak 781 milyona yükseldi.
Dosyasız zararlı yazılım. JavaScript zararlı yazılım büyümesi üçüncüçeyrekte %26 yavaşlasa da, PowerShell zararlı yazılımları %119 büyümeyle ikikatı aştı.
Fidye yazılımı. Yeni fidye yazılım çeşitleri üçüncü çeyrekte %36 arttı. Toplamyeni fidye yazılımı çeşitleri son çeyrekte %14 artarak 12,2 milyon çeşideulaştı.
Mac zararlı yazılımları. macOS zararlı yazılım çeşitleri üçüncüçeyrekte %7 arttı.
Macro zararlı yazılımlar. Toplam makro zararlı yazılımları üçüncüçeyrekte %8 artarak büyümesini sürdürdü.
Spam kampanyaları. Gamut botnet üçüncü çeyrekte de en baskın spambotnet'i olmayı sürdürürken, Necurs botnet'i az farkla ikinci sırada yer aldı.Necurs'un çeyrek boyunca "Status Invoice," "Your Payment"ve "Emailing: [Rastgele sayılar].JPG" gibi şablonlarla bazı Ykcol(Locky) fidye yazılım kampanyalarını yayımlaması, fidye yazılımı saldırılarınınetkisini artırdı.
Raporda bahsedilen tehdit trendleri veistatistikler hakkında daha fazla bilgi için, bu kaynaklardanfaydalanabilirsiniz: