Fidye yazılımı grupları ile ilk erişim aracıları (IAB’ler) arasındaki ittifak, verilerini özel sızıntı sitelerine (DLS) yükleyen şirketlerin sayısındaki yıllık %74’lük artışın da gösterdiği gibi, siber suç endüstrisi için hâlâ güçlü bir motordur. Group-IB’nin Yüksek Teknoloji Suç Eğilimleri 2023/2024 raporuna göre.
Küresel tehdit aktörleri de Apple platformlarına olan ilginin arttığını gösterdi; bu durum, macOS bilgi hırsızlarıyla ilgili yer altı satışlarındaki beş kat artışla da kanıtlanıyor.
Gelişmiş kalıcı tehdit (APT) grupları olarak da bilinen ulus devlet destekli tehdit aktörlerinin artan iştahı, hiçbir bölgenin siber tehditlere karşı bağışık olmadığını gösterdi. Group-IB uzmanları, sıfır gün istismarlarını satışa sunan herkese açık gönderilerin sayısında %70’lik bir artış tespit etti ve ayrıca siber suçluların meşru hizmetleri ve yapay zeka (AI) aşılanmış teknolojileri kötü niyetli şekilde kullanmasını 2024 için ana siber riskler olarak belirledi.
Yüksek Teknoloji Suç Eğilimleri 2023/2024 raporu, yapay zeka ile siber güvenlik tehditleri arasındaki ilişkiyi özetleyen bir bölüm içeriyor. ChatGPT gibi büyük dil modellerinin (LLM’ler) kötüye kullanımı ve yapay zeka entegrasyonu yoluyla kurumsal verilere yönelik potansiyel riskler de dahil olmak üzere, bu yeni teknolojinin siber suçlular tarafından nasıl kullanıldığı ayrıntılarıyla anlatılıyor.
Bu tehditte yapay hiçbir şey yok
Tehdit aktörleri, yapay zekanın yalnızca sınırlı programlama dilleri bilgisiyle kötü amaçlı yazılım geliştirmelerine, yeni TTP’ler için beyin fırtınası yapmalarına, sosyal mühendislik saldırılarında kullanılacak ikna edici metinler oluşturmalarına ve aynı zamanda operasyonel üretkenliklerini artırmalarına nasıl yardımcı olabileceğini zaten gösterdi.
ChatGPT gibi büyük dil modelleri yaygın kullanımda olmaya devam ediyor ve Grup-IB analistleri, ChatGPT’nin güvenlik kontrollerini atlamanın yollarını arayarak ChatGPT jailbreaking ve özel üretken önceden eğitilmiş transformatör (GPT) geliştirme konusundaki yeraltı forumlarına ilginin devam ettiğini gözlemledi. Group-IB uzmanları ayrıca, 2023’ün ortasından bu yana siber suç faaliyetlerine yardımcı olmak amacıyla ChatGPT tarzı dört aracın nasıl geliştirildiğini de fark etti: WolfGPT, DarkBARD, FraudGPT ve WormGPT; hepsi farklı işlevlere sahip.
FraudGPT ve WormGPT, sosyal mühendislik ve kimlik avı için tasarlanmış, yer altı forumlarında ve Telegram kanallarında çok tartışılan araçlardır. Bunun tersine, kod veya açıklardan yararlanmaya odaklanan WolfGPT gibi araçlar, eğitim karmaşıklıkları ve kullanılabilirlik sorunları nedeniyle daha az popülerdir. Ancak ilerlemeleri karmaşık saldırılar için risk teşkil ediyor.
Group-IB’nin Yüksek Teknoloji Suç Eğilimleri 2023/2024, geçmiş araştırmalara dayanarak, ele geçirilen ChatGPT kimlik bilgilerinin karanlık ağda satıldığını da vurguladı. İş optimizasyonu ve geçmiş etkileşimlerin saklanması için ChatGPT’ye güvenen çalışanların sayısı arttıkça, ele geçirilen oturum açma bilgileri hassas bilgileri açığa çıkarabilir ve işletmeler için önemli güvenlik riskleri oluşturabilir.
Ocak 2023’ten Ekim 2023’e kadar Group-IB, Dark Web’de güvenliği ihlal edilmiş ChatGPT kimlik bilgilerini içeren 225.000’den fazla kaydın satışa sunulduğunu tespit etti. Group-IB, bu ele geçirilmiş kimlik bilgilerini, yasadışı karanlık web pazarlarında ticareti yapılan, bilgi çalan kötü amaçlı yazılımların günlüklerinde buldu.
Haziran 2023 ile Ekim 2023 arasında tespit edilen, ChatGPT’ye erişimi olan, güvenliği ihlal edilmiş ana bilgisayarların sayısı, önceki beş aylık döneme (Ocak-Mayıs 2023) kıyasla %36 artışla 130.000’den fazlaydı. ChatGPT günlüklerini içeren mevcut günlüklerin sayısı, çalışmanın son ayında – Ekim 2023’te – 33.080’in kaydedildiği dönemde zirveye ulaştı. Group-IB’nin analizi, ChatGPT hesaplarını içeren günlüklerin çoğunun LummaC2 bilgi hırsızı tarafından ihlal edildiğini ortaya çıkardı.
Çifte sorun: Fidye yazılımı çeteleri ve IAB’ler ortalığı kasıp kavuruyor
Group-IB’nin Tehdit İstihbaratı birimi, tüm fidye yazılımı faaliyetlerini sürekli olarak izliyor ve 2023 yılında bilgileri, dosyaları ve verileri fidye yazılımı DLS’lerinde yayınlanmış 4.583 şirket tespit etti. Bu, bu tür 2.629 gönderinin yapıldığı önceki yıla kıyasla %74’lük bir büyümeye işaret ediyor. . Group-IB araştırmacıları, dünya çapındaki toplam fidye yazılımı saldırılarının sayısının muhtemelen çok daha fazla olacağını, kuruluşların fidyeyi ödediği veya grupların DLS’de veri yayınlama tehdidini sürdürmemeye karar verdiklerini belirtiyor.
Kuzey Amerika merkezli şirketler en çok fidye yazılımı gruplarının DLS gönderilerinde yer aldı ve yıllık toplamın 2.487’sini (veya %54’ünü) oluşturdu ve 2022’deki ilgili rakamın (1.192 şirket) iki katından fazlasını oluşturdu. Fidye yazılımı DLS’lerindeki gönderilerin yaklaşık %26’sı Avrupa’daki şirketlerle ilgili (1.186, yıllık %52 artış) ve %10’u APAC bölgesinden (463, yıllık %39 artış) geldi.
2023’te 1.060 ABD merkezli şirket fidye yazılımı DLS gönderilerine maruz kaldığından, fidye yazılımı gruplarının en yaygın hedefi ABD oldu. Sonraki en çok etkilenen ülkeler Almanya (129), Kanada (115), Fransa (103) ve Fransa oldu. İtalya (100).
Etkilenen sektörler açısından, fidye yazılımı DLS’ye göre imalat (580 örnek) ve emlak (429) şirketlerine yönelik saldırılar bir önceki yıla göre sırasıyla %125 ve %165 arttı ve bu kilit sektörler dünya çapında en çok hedef alınan iki sektör oldu. Özellikle Group-IB, sağlık şirketleriyle ilgili fidye yazılımı DLS gönderilerinde yıllık bazda %88, hükümet ve askeri kuruluşlarla ilgili gönderilerde ise %65 artış gözlemledi.
Raporlama dönemi boyunca Group-IB uzmanları, karanlık web forumlarında hizmet olarak fidye yazılımı programlarına yönelik 27 yeni reklam ortaya çıkardı; bunların arasında Qilin gibi iyi bilinen grupların yanı sıra henüz ortalıkta görünmeyen diğer kolektifler de var. 2022’de olduğu gibi LockBit, DLS’deki 1.079 gönderiyle (yıllık toplamın %24’ü) 2023’ün en önde gelen hizmet olarak fidye yazılımı grubu oldu. İkinci sırada 427 gönderiyle (yıllık toplamın %9’u) BlackCat yer alırken, üçüncü sırada Cl0p (385 gönderi veya %9) yer aldı.
Araştırmacılar ayrıca IAB’lerin fidye yazılımı pazarında önemli bir rol oynamaya devam ettiğini de buldu. 2023 yılında satışa sunulan 2.675 kurumsal şirket örneği buldular; bu, 2.702 teklifin bulunduğu 2022 yılıyla karşılaştırıldığında neredeyse aynı rakam.
Group-IB verileri, 2023’te kurumsal erişim için ortalama fiyatın 2.470 $ olduğunu gösteriyor; bu, bir önceki yıla göre %27’lik bir düşüşü temsil ediyor. Group-IB analistleri, ortalama fiyattaki bu düşüşün, alıcıları çekmek amacıyla tekliflerinin fiyatını düşüren, piyasaya giren yeni satıcıların sayısındaki artıştan kaynaklandığına inanıyor.
IAB tekliflerinde en çok ABD (%29), Birleşik Krallık (%4) ve Brezilya (%4)’daki şirketler yer aldı. Profesyonel hizmetler, hükümet ve askeri kuruluşlar, finansal hizmetler, imalat ve gayrimenkul en sık ortaya çıkan sektörlerdi.
Yetenek testi
Group-IB araştırmacıları, geçen yıl Asya-Pasifik bölgesinin, gelişmiş kalıcı tehdit (APT) grupları olarak da bilinen ulus devlet destekli tehdit aktörleri için dünyanın ana savaş alanı olduğunu keşfetti. Özetle Group-IB, 2023 yılında dünya genelinde 523 saldırının ulus devlet aktörlerine atfedildiğini belirtti.
APAC kuruluşlarına yönelik saldırılar küresel toplamın %34’ünü oluştururken, Group-IB uzmanları bunun jeopolitik gerilimlerin yanı sıra bu küresel ekonomik merkezdeki yüksek düzeydeki finansal teknoloji gelişiminden kaynaklanabileceğini öne sürüyor. Avrupa, tüm APT saldırılarının %22’sini oluşturarak en çok hedef alınan ikinci bölge olurken, Orta Doğu ve Afrika (MEA) üçüncü sırada yer aldı (2023’teki APT saldırılarının %16’sı).
Şaşırtıcı olmayan bir şekilde, 2023’teki APT saldırılarının ana hedefi hükümet ve askeri kuruluşlar oldu ve yıllık rakamın %28’ini oluşturdu. Bu, Group-IB’nin Tehdit İstihbaratı biriminin, APT aktörlerinin ağırlıklı olarak stratejik açıdan önemli kanıtlara erişmeye çalıştığı ve kendi ülke veya hedef bölgelerindeki hükümet kuruluşlarını zayıflatmaya çalıştığı yönündeki teorisini güçlendiriyor. Group-IB araştırmacıları, finansal hizmetlerin (%6), telekomünikasyonun (%5), imalat, BT ve medyanın (%4) da ağır şekilde etkilendiğini tespit etti.
Geçtiğimiz yıl, aralarında Kuzey Koreli kolektif Lazarus’un da bulunduğu önde gelen APT grupları yeni taktikler başlattı. Lazarus, Trading Technologies’in bir yazılımı olan X_TRADER’deki bir güvenlik açığından yararlanarak ilk çift tedarik zinciri saldırısını gerçekleştirdi. Bu, VoIP çağrıları için yaygın olarak kullanılan 3CX Masaüstü Uygulaması ağına erişime izin verdi ve çok çeşitli 3CX istemcilerinden ödün verdi. Group-IB araştırmacıları ayrıca APT gruplarının Dropbox, OneDrive, Google Drive gibi meşru hizmetleri ve Telegram gibi mesajlaşma programlarını kötü niyetli şekilde kullanmaya devam ettiğini de kaydetti.
İleride türbülans
2023’te siber tehditler, artan popülerlikleri ve pazar payları nedeniyle odağı Windows ve Android’den Apple platformlarına kaydırdı ve iOS giderek daha fazla hedef haline geldi. App Store’da yayılan kötü amaçlı yazılımların yanı sıra Apple bulut hizmetlerinin kullanımının artması da bu trende katkıda bulundu. Apple’ın 6 Mart 2024’e kadar Avrupa’da iOS uygulamaları için üçüncü taraf uygulama mağazalarına izin vermesi bekleniyor. Bu durum, 2022’deki 1,7 milyon uygulama reddi nedeniyle güvenlik endişeleri yaratıyor. Tehdit aktörleri, GoldFactory ve GoldPickaxe örneklerinde olduğu gibi Android şemalarını halihazırda iOS’a uyarladı. Tayland ve Vietnam’da aktif olan iOS kötü amaçlı yazılımı, kurbanları yüzlerinin videolarını kaydetmeye ve bunları tehdit aktörlerine göndermeye teşvik ediyor; bu, tehdit aktörleri tarafından kurbanın banka hesaplarına yetkisiz erişim elde etmek için kullanılabilir. Ek olarak, en popüler yer altı forumlarındaki satış gönderilerinin sayısı (xss[.]ve istismar[.]MacOS’ta çalışmak üzere tasarlanan bilgi hırsızlarının sayısı 2022’de 8’den 2023’te beş kat artarak 49’a çıktı.
Çevrimiçi işlemler yapan müşterilerin ödeme kartı ayrıntılarını ele geçirmek üzere tasarlanmış, güvenliği ihlal edilmiş web sitelerine yerleştirilen kötü amaçlı JavaScript kodu olarak da bilinen Javascript algılayıcılarının, 2024’te çevrimiçi mağaza sahipleri, tüketiciler ve bankalar için de büyük olasılıkla risk oluşturacağı ortaya çıktı. Group-IB araştırmacıları şunu keşfetti: 2023 yılında 5.037 web sitesinin JS algılayıcıları tarafından ele geçirildiği ve bunların 2.474’ünün benzersiz olduğu belirtildi. 2023 yılında toplam 14 yeni JS algılayıcı ailesi de keşfedildi; bu durum, bu tehdidin sürekli gelişiminin altını çiziyor.
“Group-IB’nin Yüksek Teknoloji Suç Eğilimleri 2023/2024 raporunda da vurgulandığı gibi, hem meşru işletmelerde hem de siber suç yeraltı dünyasında yapay zekanın yükselişi 2023’ün kritik bir eğilimiydi. ChatGPT’nin artan kötüye kullanımı ve yeraltı LLM araçlarının geliştirilmesiyle birlikte, Gelişmiş saldırı potansiyeli arttı ve bu durum, ele geçirilen ChatGPT kimlik bilgilerindeki endişe verici artışla birleşti. Bu, siber suçluların macOS için tasarlanmış kötü amaçlı yazılımlara artan ilgisinin yanı sıra, kuruluşların bu gelişen tehdit ortamını tanıması ve ele alması, hassas bilgileri koruması ve yapay zeka kaynaklı siber suçların oluşturduğu riskleri azaltmak için siber güvenlik önlemlerini güçlendirmesinin zorunlu olduğunu gösteriyor” dedi. Grup-IB’nin CEO’su.