Araştırmacılara göre, siber suçlular kurumlardaki bilgisayarlara madencilik yazılımı yüklemek amacıyla, hedefli saldırılarda kullanılanlara benzer gelişmiş saldırı yöntemleri ve teknikleri kullanmaya başladı. Gözlemlenen en etkin siber suçlu grubu, 2017’de altı ay içinde kurbanları üzerinden 7 milyon ABD doları kazandı.
Kripto para birimleri pazarı iniş çıkışlara sahne olsa da Bitcoin’in değerindeki artışla yaşanan fenomen yalnızca global ekonomiyi değil siber güvenlik dünyasını da değiştirdi. Siber suçlular kripto para birimi kazanma amacıyla saldırılarında, fidye yazılımlar gibi basit bir para kazanma modeli bulunan, madencilik yazılımlarını kullanmaya başladı. Bu yazılımlar, fidye yazılımların aksine kullanıcılara çok büyük zarar vermiyor ve uzun süre fark edilmeden bilgisayarın gücünü kullanıyor. Eylül 2017’de madencilik yazılımlarının tüm dünyaya hızla yayıldığı tespit edilmiş ve bu durumun daha da ilerleyeceği tahmin edilmişti. Yapılan en son araştırma bu eğilimin büyümeye devam etmekle kalmayıp, hızlandığını ve yayıldığını ortaya koydu.
Araştırmacılar, kullanıcılara madencilik yazılımı bulaştırmak için Gelişmiş Kalıcı Tehdit (APT) yöntemleri ve araçları kullanan bir siber suçlu grubu tespit etti. Bu grup, genellikle zararlı yazılımları yaymak için kullanılan ve APT saldırganlarının bazı hedefli saldırılarında görülen fakat daha önce madencilik saldırılarında hiç rastlanmayan, süreç boşaltma yöntemini kullanıyor.
Saldırı şu şekilde gerçekleştiriliyor: Kurban, içine gizlice madencilik yazılımı yükleyicisi yerleştirilen bir reklamı indirip kurması için kandırılıyor. Bu yükleyici, bir uzak sunucudan madencilik yazılımını indirmek amacıyla geçerli bir Windows aracının yerini alıyor. Çalıştırıldıktan sonra, geçerli sistem süreci başlıyor ve bu sürecin geçerli kodu zararlı kodla değiştiriliyor. Sonuç olarak, madencilik yazılımı geçerli bir görev şeklinde görünerek çalışıyor. Böylece kullanıcının, sistemine madencilik yazılımı bulaştığını anlaması imkansız hale geliyor. Bu tehdidin güvenlik çözümleri tarafından tespit edilmesi de bir hayli zor. Tüm bunlara ek olarak, madenciler bu yeni süreci görevi iptal etmeyi engelleyecek şekilde düzenliyor. Kullanıcı süreci durdurmaya çalıştığında bilgisayar sistemi yeniden başlatılıyor. Suçlular böylece sistemdeki varlıklarını koruyor ve daha uzun süre verimli bir şekilde çalışabiliyor.
Yapılan gözlemlere göre, bu saldırıların arkasındaki isimler Electroneum adlı kripto para biriminin madenciliğini yaparak 2017’nin ikinci yarısında yaklaşık 7 milyon ABD doları kazandı. Bu miktar fidye yazılımı geliştirenlerin kazandıkları miktara yakın.
Kaspersky Lab verilerine göre 2017’de toplam 2,7 milyon kullanıcı zararlı madencilik yazılımlarından etkilendi. Bu sayı, 2016’ya (1,87 milyon) kıyasla yaklaşık %50 daha yüksek. Kullanıcılar; siber suçlular tarafından kullanılan reklamlar, korsan oyunlar ve yazılımlar ile bilgisayarlarına gizlice zararlı yazılım bulaşmasına neden oluyor. Kullanılan başka bir yöntem ise web sayfalarına yerleştirilen özel bir kodla web madenciliği yapmak. Bu yöntem için en sık kullanılan madenci olan CoinHive, bugüne kadar popüler birçok internet sitesinde tespit edildi.
Kendinizi koruma altına almanız için şunlar tavsiye ediliyor:
- Bilmediğiniz web sitelerine veya şüpheki reklamlara tıklamayın.
- Güvenmediğiniz kaynaklardan bilinmeyen dosyalar indirip açmayın.
- Sizi zararlı madencilik yazılımları da dahil olmak üzere tüm olası tehditlere karşı koruyacak, güvenilir bir güvenlik çözümü kullanın.
Kurumlara şunlar öneriliyor:
- Düzenli aralıklarla güvenik denetimi yapın.
Tüm iş istasyonları ve sunuculara sağlam bir güvenlik çözümü yükleyin ve bu çözümün tüm bileşenlerini etkinleştirerek en üst seviye korumayı sağladığınızdan emin olun.