SecureWorks Karşı Tehdit Birimi’ndeki (CTU) araştırmacılara göre, bilgi hırsızlarının (namı diğer hırsızların) siber suç dünyasındaki rolü artıyor.
Tehdit aktörleri, tehlikeye atılan veya ihlal edilen ağlardan ve bilgisayar sistemlerinden aşağıdaki verileri çalmak için bunları kullanırken:-
- Giriş kimlik
- Finansal ayrıntılar
- Kişisel veri
- Sistem bilgisi
Bilgi hırsızları genellikle bilgisayarlara ve cihazlara aşağıdakiler de dahil olmak üzere çeşitli yollarla dağıtılır: –
Tehdit aktörleri, yukarıda belirtilen bu TTP’leri kullanarak, bilgi hırsızını hedefin sistemine yükler ve hassas bilgilere yetkisiz erişim sağlar.
Bilgi hırsızları bir kez kurulduktan sonra, hızlı bir şekilde yürütüp çıkarak olağanüstü verimlilik gösterirler. Bu kötü amaçlı programlar, saniyeler veya dakikalar gibi kısa bir çalışma süresi içinde çalınan verilerin toplanmasını ve iletilmesini tamamlar.
Yeraltı Forumlarında bilgi hırsızları
Bilgi hırsızlarının mevcudiyeti, aylık 50 ABD Doları ile 1.000 ABD Doları arasında değişen fiyatlarla abonelik tabanlı bir modele kadar uzanır.
Bu abonelikler, kullanıcılara geliştirici tarafından işletilen bir C2 sunucusuna erişim sağlayarak hırsızın yürütülmesini ve kontrolünü sağlar.
Infostealer hizmeti tipik olarak çeşitli destek işlevleri sunarak kullanıcıların çalınan verilere birden fazla kanal aracılığıyla kolayca erişmesini, bunları indirmesini ve paylaşmasını sağlar.
Ek olarak, kendi kendine barındırılan hırsız komuta ve kontrol (C2) sunucuları, tek seferlik satın alma olarak ayrı olarak sunularak kullanıcılara operasyonları üzerinde daha fazla kontrol sağlar.
Yeraltı forumlarında tehdit aktörleri, devam eden projelerle ilgili tartışmalara katılmak, araçları için geliştirme talep etmek ve kötü amaçlı yazılım değerlendirmeleri sunmak için işbirlikçi bir ortamda bir araya gelirler.
Bu forumlar, siber suçluların bilgi alışverişinde bulunmaları, uzmanlıklarını paylaşmaları ve kötü niyetli faaliyetlerinde iyileştirmeler aramaları için paylaşılan bir alan görevi görür.
Bu forumlar, siber suç topluluğunun organize ve birbirine bağlı doğasını vurgulayarak, yasa dışı çabalarında yenilikçiliği ve işbirliğini teşvik ediyor.
Yeraltı forumları, bilgi hırsızları gibi yasa dışı öğelerin satışı için katı düzenlemelere sahip özel pazar yerleri de dahil olmak üzere yönetim için idari alanların yanı sıra çeşitli konuları kapsayan alt forumlar ve bölümlerden oluşur.
Yeraltı forumları, pazar yerleri ve çeşitli çevrimiçi platformlar, hırsız günlüklerini arayan tehdit aktörlerine hitap eder ve onlara aşağıdakiler gibi değerli kaynakları ve verileri elde etmeleri için bir yol sağlar:-
- kimlik bilgileri
- Finansal bilgi
- Kişisel veri
- Banka bilgileri
- Kripto para cüzdanları
- Diğer hassas veriler
Bu tür kaynakları sunan pazar yerlerine, katılımcıların mahremiyetini ve anonimliğini sağladığından, yalnızca Tor veya I2P (Görünmez İnternet Projesi) anonimlik hizmetleri aracılığıyla erişilebilir.
Bu platformlar, kendi sınırları içinde değiş tokuş edilebilecek izin verilen bilgi türlerini dikte ederek katı kurallar ve düzenlemeler uygular.
Araçlar ve Pazar yerleri
Aşağıda, tehdit aktörlerinin en çok aradığı tüm ortak pazar yerlerinden bahsetmiştik:-
- Rusya Pazarı
- Yaratılış Pazarı
- 2kolay
- Telgraf
- RaidForumları
Bilgi hırsızı varyantları
Aşağıda, tanımlanan tüm bilgi hırsızı varyantlarından bahsettik: –
- Kırmızı cizgi
- Rakun
- Daha öte
- Boğa burcu
- Rhadamanthys
- Devlet destekli hırsızlar
Infostealer’ın ekosistemi
Daha geniş siber suç ekosistemine benzer şekilde, bilgi hırsızlarının etkili bir şekilde oluşturulması ve uygulanması, çeşitli rolleri ve sorumlulukları yerine getiren çeşitli yetenekli bireylere bağlıdır.
Bu kötü amaçlı programların geliştirilmesi ve dağıtılması, farklı alanlarda uzmanlık gerektirir.
Bilgi hırsızlarının geliştirilmesi ve dağıtımında yer alan siber suç ekosistemindeki kilit katılımcılar:-
- Geliştiriciler
- İlk erişim aracıları (IAB’ler)
- Müşteriler.
MaaS (Hizmet Olarak Kötü Amaçlı Yazılım) operasyonlarının ortaya çıkışı, siber suç ortamına girmek isteyen bireylerin önündeki teknik engelleri önemli ölçüde azalttı.
Secureworks’ün 2022’deki olaylara müdahale çalışmaları sırasında, çalınan kimlik bilgileri önemli bir rol oynayarak sorunun ciddiyetini vurguladı.
Infostealer kötü amaçlı yazılımı, sağlam siber güvenlik önlemlerine duyulan ihtiyacın altını çizerek, hem bireyler hem de kuruluşlar için önemli ve somut bir tehdit oluşturuyor.
Zaman ilerledikçe, bu özel kötü amaçlı yazılım çeşidi gelişmeye devam ediyor ve yüksek karmaşıklık seviyeleri sergileyerek, tespit ve kaldırma açısından kurbanlar için zorluklar oluşturuyor.
Bu tehdidi azaltmak, bireylerin ve kuruluşların sistemlerini güvence altına almak için proaktif bir yaklaşım benimsemelerini gerektirir. Ortaya çıkan tehditlerin bir adım önünde olmak için, aşağıdakiler gibi sağlam güvenlik önlemleri ve adımları uygulamak çok önemlidir: –
- Güçlü şifreler kullandığınızdan emin olun.
- Yazılımı düzenli olarak güncelleyin.
- Sistemi düzenli olarak güncelleyin.
- Otomatik güncellemeleri etkinleştirdiğinizden emin olun.
- Çok faktörlü kimlik doğrulama uyguladığınızdan emin olun.
- En iyi siber güvenlik uygulamaları hakkında bilgi sahibi olduğunuzdan emin olun.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin