Europol siber suç taktiklerinin kapağını kaldırıyor

Avrupa Birliği Kolluk Kuvvetleri İşbirliği Ajansı (Europol), siber saldırılardaki gelişmeleri inceleyen, Europol’ün operasyonel analistleri tarafından gözlemlenen yeni metodolojileri ve tehditleri tartışan bir rapor yayınladı. Raporda ayrıca siber saldırıların arkasındaki suç örgütleri ve jeopolitik olayların etkisi de tartışılıyor.

Rapor, İnternet Organize Suç Değerlendirmesi’ni (IOCTA), Europol’ün siber suç ortamına ilişkin değerlendirmesini ve bunun son 24 ayda nasıl değiştiğini takip ediyor.

En çok uygulanan taktikler söz konusu olduğunda raporda büyük bir sürpriz bulunmuyor.

“Kötü amaçlı yazılım içeren kimlik avı e-postaları, Uzak Masaüstü Protokolü (RDP) kaba zorlama ve Sanal Özel Ağ (VPN) güvenlik açığından yararlanma, siber suçlular tarafından kullanılan en yaygın izinsiz giriş taktikleridir. İşletim sistemlerine yerleştirilen meşru yazılım ve araçlar daha sonra kalıcılık sağlamak ve kurbanlarının ağlarını dolaşmak için kötüye kullanılıyor.”

Siber suçlular genellikle ilk erişimi, ele geçirilen kullanıcı kimlik bilgileri yoluyla veya hedeflenen altyapıdaki güvenlik açıklarından yararlanarak elde eder.

Fidye yazılımı, geniş erişime sahip ve sektör üzerinde önemli bir mali etkiye sahip olan en belirgin tehdit olarak adlandırılıyor. Bu, fidye yazılımı ve iş e-postası ihlalinin (BEC) toplamından daha fazla paranın yatırım dolandırıcılığı nedeniyle kaybedildiğini belirten bir FBI raporunun aksine. Ancak haber kapsamına baktığımızda fidye yazılımının kesinlikle en öne çıkan yazılım olduğunu görüyoruz. Fidye yazılımı saldırılarının sayısının ve fidye yazılımı taleplerinin yüksekliğinin arttığını gördük.

Bağlı kuruluş programları, fidye yazılımı grupları için en çok gözlemlenen organizasyon biçimi olmaya devam ediyor. Fidye yazılımı gruplarına yönelik en yaygın hizmet sağlayıcılar arasında ilk erişim aracıları (IAB’ler), şifreleyici geliştiriciler, hizmet olarak bırakanlar, kara para aklama ve kurşun geçirmez barındırma hizmetleri yer alıyor.

Bu gruplar, yüksek gelir hedeflerini tehlikeye atmak ve milyonlarca Avroya ulaşan büyük fidye talepleri yayınlamak için diğer hizmet olarak kötü amaçlı yazılım gruplarıyla yakın işbirliği içinde çalışıyor. IAB’ler genellikle kazandıkları erişimi aynı suç örgütünün içinde veya dışında olabilecek diğer suçlulara satarlar. IAB’lerin genellikle varlıklarının münhasırlığını alıcılara sunmaması nedeniyle, ele geçirilen kuruluşlar eş zamanlı veya ardışık birçok siber saldırıya maruz kalabilmektedir.

Europol raporunda işaret edilen bir diğer eğilim ise çoğu fidye yazılımı grubunun hâlâ çok katmanlı gasp yöntemini kullanması ve hassas bilgilerin çalınmasının temel tehdit haline gelebileceğine dair işaretler. Bilgi hırsızlığının aynı zamanda kişisel ve finansal bilgilerle uğraşan ve bunları kullanan suçlulardan oluşan bir ekosistemi beslediği de görülüyor.

Rusya’nın Ukrayna ile yaşadığı çatışma, AB hedeflerine yönelik Dağıtılmış Hizmet Reddi (DDoS) saldırılarında önemli bir artışa yol açtı. En dikkat çekici DDoS saldırıları siyasi amaçlıydı ve Rus yanlısı hacker grupları tarafından koordine ediliyordu. Rusya’nın iç politikasıyla birlikte siber suçluların kökünü kazıdı ve onları başka bölgelere gitmeye zorladı.

Araştırmacılar tarafından yapılan çeşitli gözlemleri doğrulayan Europol, Microsoft’un uygulamalarında İnternet üzerinden gönderilen makroları engellemesinin ardından suçluların kötü amaçlı makro kullanma tercihlerini konteyner dosyaları lehine değiştirdiğine dikkat çekiyor. Suçlular, potansiyel kurbanları popüler yazılım programları için indirme siteleri gibi görünen ve aslında kurbanın sistemine kötü amaçlı yazılım bulaştıran web sayfalarına çekmek için SEO tekniklerini ve arama motoru reklam araçlarını kullanıyor.

Diğer dikkate değer gerçekler:

• Flubot’un kaldırılmasının ardından mobil kötü amaçlı yazılım kampanyalarının verimliliği azaldı.
• Siber saldırılar giderek daha hedefe yönelik hale geliyor ve tüm sektörlerde aksamalara neden olmaya devam ediyor.
• Şifreleyiciler, kötü amaçlı yazılım geliştirme operasyonlarında önemli bir bileşen haline geldi.
• Microsoft Exchange Server’daki güvenlik açıkları başka bir yaygın izinsiz giriş taktiğidir.
• Fidye yazılımı grupları bazen kurbanların verilerini sızdırmak için ayrı sunucular kiralıyor ancak meşru bulut depolama sağlayıcılarını kullanmaya giderek daha fazla yöneliyorlar.

Fidye yazılımından nasıl kaçınılır

• Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
• İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya onları etkilemeden önce durdurun. Fidye yazılımı dağıtmak için kullanılan kötüye kullanımları ve kötü amaçlı yazılımları önleyebilecek uç nokta güvenlik yazılımı kullanın.
• İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR’yi kullanın.
• Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği kullanan ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri döndüren Malwarebytes EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
• Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
• İki kez saldırıya uğramayın. Salgını izole edip ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.

---

Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.

ŞİMDİ DENE