Kullanıcının bilgisi dışında cihazlara bulaşan ve verileri çalan kodlardan oluşan Infostealer kötü amaçlı yazılımı, yeraltı forumları ve pazar yerleri aracılığıyla satın alınmaya devam ediyor. Secureworks’e.
Yalnızca Rusya Pazarında, Haziran 2021 ile Mayıs 2023 arasında genel büyüme %670 oldu.
Secureworks CTU Tehdit Araştırmasından Sorumlu Başkan Yardımcısı Don Smith, “Bilgi hırsızları, işletmelere hızla erişim elde etmek ve ardından bu erişimden para kazanmak isteyen siber suçlular için doğal bir seçimdir” dedi.
“Hazırca satın alınabilirler ve virüs bulaşmış bir bilgisayara kurulduktan sonra 60 saniye kadar kısa bir süre içinde, çalınan kimlik bilgileri ve diğer hassas bilgiler şeklinde anında bir yatırım getirisi sağlarlar. Bununla birlikte, bilgi hırsızları söz konusu olduğunda oyunu gerçekten değiştiren şey, suçluların kullanıcıları onları yüklemeleri için kandırmak için kullandıkları çeşitli yöntemlerdeki gelişmelerdir. Bu, çalınan verilerin satışı ve satın alınması için özel pazar yerlerinin geliştirilmesiyle birleştiğinde, bahsi gerçekten yükseltti,” diye ekledi Smith.
Bilgi hırsızı kötü amaçlı yazılım pazarı
Secureworks araştırmacıları, bu tür kötü amaçlı yazılımların nasıl daha karmaşık hale geldiği ve tespit edilmesinin zorlaştığı ve kurumsal ağların savunucuları için bir zorluk oluşturduğu da dahil olmak üzere, yer altı bilgi hırsızı pazarındaki en son trendleri analiz etti. Temel bulgular şunları içerir:
Yeraltı forumlarında satılan bilgi hırsızı günlüklerinin sayısı zamanla artmaya devam ediyor. Yalnızca Rusya Pazarında, satışa sunulan tomruk sayısı dokuz aydan kısa bir süre içinde %150 artarak Haziran 2022’de tek bir günde iki milyondan Şubat 2023’ün sonlarında tek bir günde beş milyonun üzerine çıktı.
Yaklaşık 2 yıllık bir dönemde (Haziran 2021’de tek bir gün ve Mayıs 2023’te tek gün olarak ölçülmüştür), Rusya Pazarında satılan tomruk sayısındaki genel büyüme oranı %670 oldu.
Rusya Pazarı, bilgi hırsızı günlükleri için en çok satan pazar olmaya devam ediyor. Bu raporun yazıldığı sırada Rusya Pazarı, en yakın rakibi 2easy’den yaklaşık on kat daha fazla olan beş milyon kütüğü satışa sunuyor. Rus siber suçluları arasında iyice yerleşmiştir ve dünya çapındaki tehdit aktörleri tarafından yaygın olarak kullanılmaktadır. Russian Market kısa süre önce üç yeni hırsızın günlüklerini ekledi; bu da sitenin sürekli değişen e-suç ortamına aktif olarak uyum sağladığını gösteriyor.
Raccoon, Vidar ve Redline, satılan en iyi üç bilgi hırsızı günlüğü arasında yer almaya devam ediyor. Şubat ayında tek bir günde, Rusya Pazarında satılık bu popüler bilgi hırsızları arasında çalınan kimlik bilgilerinin günlüklerinin veya veri setlerinin sayısı şunlardı:
- Rakun: 2.114.549
- Ayrıca: 1.816.800
- Redline: 1.415.458
Siber suçlular kolluk kuvvetlerinin baskısına uyum sağlar
Genesis Market ve Raid Forums’a karşı yapılan son kanun yaptırımı eylemi, siber suçluların davranışlarını etkiledi. RedLine, Anubis, SpiderMan ve Oski Stealer gibi popüler hırsızlar için günlük alım satımının daha fazla özel Telegram kanallarına kaymasıyla Telegram bundan yararlandı. Birden fazla kullanıcının tutuklanmasına ve Genesis Market ile bağlantılı 11 alan adının yayından kaldırılmasına rağmen, Tor sitesi hala satışta olan günlüklerle çalışır durumda.
Bununla birlikte, suçlular durumu yeraltı forumlarında tartışmaya ve pazarın güvenilirliği hakkında şüphelerini dile getirmeye başladığından, pazardaki faaliyet neredeyse tamamen kurudu.
Genellikle daha deneyimli siber suçlulara bırakılan manuel ve zorlu bir görev olan günlük ayrıştırmaya yardımcı olan işlem sonrası araçlara olan talebi karşılamak için büyüyen bir pazar ortaya çıktı. Bilgi hırsızlarının ve kullanılabilir günlüklerin sayısı arttıkça, bu araçların daha popüler olmaya devam etmesi ve giriş çıtasını düşürmeye yardımcı olması bekleniyor.
Genel siber suç ekosisteminde olduğu gibi, bilgi hırsızlarının başarılı bir şekilde geliştirilmesi ve konuşlandırılması, çok çeşitli becerilere, rollere ve sorumluluklara sahip bireylere bağlıdır. Hizmet olarak kötü amaçlı yazılımın yükselişi, geliştiriciler arasında ürünlerini geliştirmek ve daha geniş bir müşteri yelpazesine hitap etmek için inovasyonu teşvik etti.
Çalınan kimlik bilgileri için ön sipariş verme
Örneğin, Rusya Pazarı artık kullanıcılara belirli bir kuruluş, işletme veya uygulama için çalınan kimlik bilgileri için ön sipariş verme seçeneği sunuyor ve tek gereken site emanet sistemine 1.000 ABD doları yatırmak. Ön sipariş hizmetinin garantisi yoktur, ancak siber suçluların fırsatçı olmaktan hedef haline gelmelerine olanak tanır.
“Gördüğümüz şey, tamamen bir yeraltı ekonomisi ve bilgi hırsızları etrafında inşa edilmiş destekleyici bir altyapı, bu da görece düşük vasıflı tehdit aktörlerinin müdahil olmasını yalnızca mümkün kılmakla kalmıyor, aynı zamanda potansiyel olarak kazançlı da kılıyor. Kolluk kuvvetlerinin koordineli küresel eyleminin bir miktar etkisi var, ancak siber suçlular pazara giden rotalarını yeniden şekillendirmede ustalar,” diye devam etti Smith.
“Kimlik bilgilerinin çalınmasının neden olduğu hasarı en aza indirmek için çok faktörlü kimlik doğrulamayı uyguladığınızdan emin olmak, üçüncü taraf yazılımları kimin yükleyebileceği ve nereden indirildiği konusunda dikkatli olmak ve ana bilgisayar, ağ ve bulut genelinde kapsamlı izleme uygulamak çok önemlidir. Bilgi hırsızlarının tehdidine karşı başarılı bir savunmanın çeşitli yönleri,” diye sözlerini tamamladı Smith.
Bilgi hırsızları, kimlik avı, virüslü web siteleri, kötü amaçlı yazılım indirmeleri ve Google reklamları aracılığıyla bir bilgisayara veya cihaza kolayca kurulabilir. 2022’de çalınan kimlik bilgileri, Secureworks’ün dahil olduğu olay müdahale sözleşmelerinin neredeyse onda birini oluşturuyordu ve Nisan 2022’den Nisan 2023’e kadar, fidye yazılımı etkileşimlerinin üçte birinden fazlası (%34) için ilk erişim vektörü (IAV) idi.