2017 yılının ikinci çeyreğinde sofistike tehditlerin sayısında ve gelişiminde artışlara sahne oldu. Bunların arasında benzeri görülmemiş olan iki saldırı vardı: WannaCry ve ExPetr. Bu iki fidye yazılımının kodu, bu derece yetenekli siber korsanlardan beklenmeyecek bir şekilde, yazılımlar tamamen hazır olmadan sızdırılarak kullanıldı.
2017’nin ikinci çeyreğinde, Nisan ve Haziran ayları arasındaki dönemde, Rusça, İngilizce, Korece ve Çince konuşan siber suçlular tarafından düzenlenenler başta olmak üzere, hedefli saldırılar özelinde kayda değer gelişmeler oldu. Söz konusu gelişmelerin şirketlerin BT güvenliği üzerinde geniş ölçüde etkileri bulunuyor: her an ve dünyanın her yerinde faaliyet gösteren sofistike zararlı yazılımlar, ticari şirketler kadar kar amacı gütmeyen kuruluşların da siber savaşta zarar görme riskini artırıyor. İddialara göre bir ulus devlet tarafından desteklenen ve dünya çapında birçok şirketi ve kuruluşu vuran WannaCry ve ExPetr salgınları, yeni ve tehlikeli bir akımın ilk örnekleri oldu.
2017’nin ikinci çeyreğinde en çarpıcı verilerden bazıları şöyle:
- Sofacy ve Turla tehditlerinin arkasındaki isimler olan ve Rusça konuşan failler, üç adet Windows sıfırıncı gün açığından faydalanıyor. Sofacy ya da diğer adlarıyla APT28 veya FancyBear, söz konusu açıklardan faydalanarak, aralarında devlet kurumlarının ve politik kuruluşların bulunduğu bir dizi Avrupalı hedefe saldırdı. Faillerin ayrıca bir takım deneysel araçlar kullandığı görüldü. Bunun en dikkat çekici örneği, Fransa’daki seçimler öncesinde Fransız bir siyasi parti üyesinin hedeflendiği saldırıydı.
- Gray Lambert – Kaspersky Lab, bir hayli sofistike ve İngilizce konuşan bir siber casusluk yazılımı ailesi olan Lamberts grubu özelinde, şimdiye kadar görülmüş olan en gelişmiş araç takımını analiz etti. Analizler sonucunda iki yeni zararlı yazılım ailesi keşfedildi.
- WannaCry (12 Mayıs) ve ExPetr (27 Haziran) – Birbirlerinden farklı olsalar ve farklı hedefler seçseler de, bu iki yazılım da birer fidye yazılımı olarak verimsizdi. WannaCry örneğinde, yazılımın küresel yayılımı ve gündeme oturması, dikkatleri saldırganların Bitcoin hesabına çekti ve fidyeleri nakte çevirmelerini zorlaştırdı. Bu da akıllara WannaCry saldırısının asıl amacının zarar vermek olduğu düşüncesini getirdi. Kaspersky Lab uzmanları, WannaCry ile Lazarus grubu arasında bir çok yeni bağ keşfetti. Zarar verme amacıyla fidye yazılımı kılığına giren yazılım akımı ExPetr saldırılarında yeniden görüldü.
- Ukrayna, Rusya ve diğer Avrupa ülkelerinde şirketleri hedefleyen ExPetr de bir fidye yazılımı gibi görünüyordu ama amacının tamamen zarar vermek olduğu anlaşıldı. ExPetr saldırılarının arkasındaki motivasyon hala bilinmiyor. Kaspersky Lab uzmanları, zayıf kanıtlarla da olsa, işin arkasında Black Energy adlı failin olduğunu düşünüyor.
İkinci Çeyrek APT Trendleri raporu, Kaspersky Lab’ın normal şartlarda sadece aboneleriyle paylaştığı tehdit istihbaratı raporlarının bulgularını özetliyor. Kaspersky Lab’ın Küresel Araştırma ve Analiz Ekibi, aboneleri için 2017’nin ikinci çeyreği boyunca, Tehdit Göstergeleri (IOC) ve adli bilişimin yanı sıra zararlı yazılım avında yardımcı olan YARA kurallarını içeren 23 özel rapor hazırladı.