Siber güvenlik şirketlerinden McAfee, yeni zararlı yazılımlar, fidye yazılımları ve diğer tehditlerin 2017 yılı üçüncü çeyreği merceğinde incelemeye alındığı McAfee Labs Aralık 2017 Tehdit Raporu‘nu yayımladı. Saniyede dört yeni çeşit üreten zararlı yazılımların toplamda 57,6 milyon yeni çeşit ile tüm zamanların en yüksek seviyesine ulaştığını gözlemleyen McAfee Labs, ayrıca zararlı makrolar kullanan yeni dosyasız yazılımlara, Locky fidye yazılımının Lukitus adındaki yeni versiyonuna ve bankacılık odaklı Trickbot ve Emotet Truva Atlarının yeni çeşitlerine ışık tuttu. Raporda, Microsoft’un yazılımlarında yer alan ve 2017 yılının ilk çeyreğinde çıkarılan yamayla kapatılan güvenlik açıklarını hedef alan tehditlerin de hız kesmeden saldırılarını sürdürmesi dikkat çekti.
McAfee Labs Küresel Tehdit İstihbarat bulutu, dünyanın dört bir yanındaki yüz milyonlarca sensör aracılığıyla pek çok tehdit vektöründen gelen veriyi algılıyor. Bu tehdit verileri her çeyrek McAfee Labs tarafından siber tehdit dünyasının mevcut durumunu değerlendirmek için kullanılıyor. McAfee Gelişmiş Tehdit İstihbaratı, McAfee Labs için dünya genelinde gerçekleşen siber saldırıların derinlemesine analizini gerçekleştiriyor.
Bilinen Güvenlik Açıkları İstismar Ediliyor
Siber suçlular 2017’nin üçüncü çeyreğinde de CVE-2017-0199 gibi Microsoft Office güvenlik açıklarını istismar etmeyi sürdürdü. CVE-2017-0199 açığı, Microsoft Office ve WordPad’in içinde özel olarak hazırlanmış dosyalar aracılığıyla uzaktan kod çalıştırmaya olanak tanıyor. Pek çok siber saldırgan, bu saldırıyı gerçekleştirmek için GitHub’da bulunabilen bir araçtan faydalanıyor. Bu araç sayesinde karmaşık kurulumlara gerek kalmaksızın kolay yoldan bir arka kapı (backdoor) saldırısı meydana getirmek mümkün oluyor.
İkinci çeyrekte WannaCry ve NotPetya gibi çok büyük ölçekli fidye yazılımı saldırılarına neden olan EternalBlue açığı, bankacılık işlemlerini hedef alan Trickbot Truva atının yeni çeşitlerinde ekli bir kod olarak kullanılıyor. Microsoft’un EternalBlue açığını güvenlik yamalarıyla kapatma çabalarına karşın, yeni Trickbot’u yazanlar bu tekniğin halen işe yaradığını ispatlıyor. Üstelik yeni bu Trickbot çeşitleri, kripto para hırsızlığı ve yeni gönderim yöntemleriyle üçüncü çeyreğin en aktif bankacılık odaklı Truva atları olarak öne çıkıyor.
Dosyasız Tehditler
PowerShell zararlı yazılımlarının %119 büyümesiyle dosyasız tehditler yılın üçüncü çeyreğinde de artan bir endişe unsuru olmayı sürdürdü. Bu kategoride öne çıkan Emotet bankacılık Truva atı, dünya genelinde büyük spam kampanyalarıyla yayıldı ve kullanıcıları belirli Microsoft Word dokümanlarını indirmeye yönlendirdi. Bu tuzağa düşen kullanıcılar, farkında olmadan bir PowerShell makrosunu aktif hâle getiriyor ve sisteme zararlı yazılım kurulmasına neden oluyor.
Lukitus Fidye Yazılımı
Fidye yazılımı alanındaki en önemli gelişmelerden biri, Locky fidye yazılımının yeni bir versiyonu olan Lukitus’un ortaya çıkması oldu. Bu fidye yazılımı, saldırının ilk 24 saatinde 23 milyondan fazla spam e-posta ile dağıtıldı. Kategori genelinde yeni fidye yazılımı çeşitlerinde %36’lık artış gözlenirken, toplam fidye yazılımı çeşidi son dört çeyrekte %44 artarak 12,3 milyona ulaştı.
DragonFly: Yeni Sektörel, Yeni Görevler
McAfee Gelişmiş Tehdit Araştırmaları ekibi DragonFly 2.0 adını taşıyan ve 2017’nin ilk aylarında enerji sektöründe keşfedilen zararlı yazılımın, ilaç, finansal servisler ve muhasebe gibi diğer sektörleri de hedef aldığını ortaya çıkardı. Güvenilir kuruluşlara aitmiş gibi görünen sahte e-postalarla başlatılan bu saldırılar, kullanıcıları linklere tıklayarak Truva atını indirmeye yönlendiriyor ve böylece saldırganlara ağ erişimi sağlıyor.
2017 Üçüncü Çeyreği Tehdit Faaliyetleri
Güvenlik olayları. McAfee Labs üçüncü çeyrekte halka açıklanan 263 güvenlik olayı hesapladı; bu sayı bir önceki çeyreğe oranla %15 düşüş demek oluyor. Üçüncü çeyrekte halka açıklanan güvenlik olaylarının %60’ından fazlası Kuzey ve Güney Amerika’da gerçekleşti.
Dikey sektör hedefleri. Üçüncü çeyrekte gerçekleşen olayların %40’ından fazlası sağlık ve kamu sektörlerini hedefledi.
- Kuzey Amerika. Sağlık sektörüne yönelik saldırılar, üçüncü çeyrekte dikey sektör saldırılarına öncülük etmeyi sürdürdü.
- Asya. Kamu sektörünü bu çeyrekte teknoloji ve bireysel saldırılar takip etti.
- Avrupa, Okyanusya ve Afrika. Kamu sektörü saldırıları üçüncü çeyreğin öncüsü oldu.
Saldırı vektörleri. Açıklanan saldırı vektörlerinde hesap ele geçirme ilk sırada yer alırken, onu sızıntılar, zararlı yazılımlar, DDoS ve hedefli saldırılar izledi.
Mobil zararlı yazılım. Toplam mobil zararlı yazılımlar 21,1 milyon çeşide ulaşarak büyümesini sürdürdü. Yeni mobil zararlı yazılımlar ikinci çeyreğe oranla %60 artış gösterirken, bu sıçramada Android ekran kilitleme fidye yazılımlarının hızlı yükselişi önemli rol oynadı.
Zararlı yazılımlar geneli. Yeni zararlı yazılım çeşitleri üçüncü çeyrekte %10 artarak 57,5 milyona ulaştı. Toplam zararlı yazılım çeşitleri son dört çeyrekte %27 artarak 781 milyona yükseldi.
Dosyasız zararlı yazılım. JavaScript zararlı yazılım büyümesi üçüncü çeyrekte %26 yavaşlasa da, PowerShell zararlı yazılımları %119 büyümeyle iki katı aştı.
Fidye yazılımı. Yeni fidye yazılım çeşitleri üçüncü çeyrekte %36 arttı. Toplam yeni fidye yazılımı çeşitleri son çeyrekte %14 artarak 12,2 milyon çeşide ulaştı.
Mac zararlı yazılımları. macOS zararlı yazılım çeşitleri üçüncü çeyrekte %7 arttı.
Macro zararlı yazılımlar. Toplam makro zararlı yazılımları üçüncü çeyrekte %8 artarak büyümesini sürdürdü.
Spam kampanyaları. Gamut botnet üçüncü çeyrekte de en baskın spam botnet’i olmayı sürdürürken, Necurs botnet’i az farkla ikinci sırada yer aldı. Necurs’un çeyrek boyunca “Status Invoice,” “Your Payment,” ve “Emailing: [Rastgele sayılar].JPG” gibi şablonlarla bazı Ykcol (Locky) fidye yazılım kampanyalarını yayımlaması, fidye yazılımı saldırılarının etkisini artırdı.