Geçen yılın başlarında Rusya’nın Ukrayna’yı işgaliyle başlayan siber saldırılarda disk silicilerin artan kullanımı hız kesmeden devam etti ve kötü amaçlı yazılım, bölgedeki ve başka yerlerdeki kuruluşlar için güçlü bir tehdide dönüştü.
Fortinet’teki araştırmacılar yakın zamanda 2022’nin ikinci yarısına ait saldırı verilerini analiz ettiler ve tehdit aktörlerinin yılın üçüncü ve dördüncü çeyrekleri arasında disk silecekleri kullanımında %53’lük şaşırtıcı bir artış gözlemlediler. Güvenlik satıcısı, yörüngenin yakın zamanda herhangi bir yavaşlama olmayacağını gösterdiğini söyledi.
Ülkenin Ukrayna’daki askeri hedeflerini desteklemek için çalışan Rusya merkezli gelişmiş kalıcı tehdit (APT) grupları, geçen yıl silecek kullanımındaki ve devam eden faaliyetlerdeki ilk artışın çoğundan sorumluydu. Ancak Fortinet’in verileri, özellikle 2022’nin sonlarına doğru, aralarında finansal motivasyona sahip siber suçlular, bilgisayar korsanlığı grupları ve diğer bireylerin de bulunduğu diğer kişilerin de artışı körüklediğini gösteriyor.
Fortinet’in FortiGuard Labs güvenlik araştırmacısı Geri Revey’e göre, geçen yıla kadar silecek etkinliği neredeyse hiç yoktu. Ancak Rusya ile Ukrayna arasındaki çatışma başladığından beri, tehdit aktörlerinin kötü amaçlı yazılım kullanımında patlama olduğunu söylüyor.
Revay, “Yalnızca 2022’de dünya çapında 25 ülkeyi hedef alan 16 farklı aile gördük” diyor. “Yılın ikinci yarısında, hatta bazıları açık kaynaklı ve GitHub’da olan yeni bir silici türü görmeye başladık, bu da onu gelişmiş kalıcı siber suç kampanyaları için çok daha kolay kullanılabilir hale getiriyor” diyor.
Bir Wiper Kötü Amaçlı Yazılım Karışıklığı
Fortinet’in raporu geçen yıl boyunca tehdit aktörü kullanımına dayalı olarak kuruluşlar için büyük bir tehdit oluşturduğunu algıladığı birkaç silici aileyi vurgulamaktadır. Bunların en büyüğü, güvenliği ihlal edilmiş bir sistemin ana önyükleme kaydını silen ve üzerine yazan bir silici olan HermeticWiper’dır. Silecek ilk olarak 2021’de Ukraynalı kuruluşlara yönelik saldırılarda ortaya çıktı. Fortinet, geçen yıl Kasım ayında HermeticWiper’ı içeren faaliyetlerde, Aralık ayında daha da belirgin hale gelen önemli bir artış gözlemlediğini söyledi.
Güvenlik tedarikçisinin geçen yıl tehdit aktörlerinin saldırılarda yaygın olarak kullandığını gözlemlediği diğer siliciler arasında, yüzeyde fidye yazılımı gibi görünen ancak veri kurtarma mekanizması olmayan bir kötü amaçlı yazılım türü olan WhisperGate; NotPetya; Çift sıfır; ve IsaacWiper. Analistler daha önce Rusya’nın askeri istihbarat grubunun WhisperGate’in arkasında olma olasılığının yüksek olduğunu belirlemişlerdi. İlginç bir şekilde, on yıldan daha uzun bir süre önce Saudi Aramco’da binlerce PC’ye saldıran bir saldırıda kullanılan bir silici olan Shamoon, geçen yıl da oyuncular arasında popüler olmaya devam etti. Fortinet’in verileri, Shamoon’un geçen yıl yıkıcı saldırılarda en çok kullanılan silicilerden biri olduğunu gösterdi.
Revay, şu anda silici kötü amaçlı yazılımın kullanılmasındaki ana motivasyonun siber savaş ve bilgisayar korsanlığı etrafında odaklanmış gibi göründüğünü söylüyor. Ancak bu, tehdit aktörlerinin onu sistemleri sabote etmek veya bir siber suçun kanıtlarını yok etmek için silecekler kullanmak gibi başka şekillerde kullanmayacağı anlamına gelmez.
Revey, “Sabotaj, bir siliciyi devreye almanın en bariz nedenidir” diyor. “Tıpkı Stuxnet’in İran’ın nükleer silah geliştirme çabalarını yavaşlatmak için santrifüjleri yok etmek için kullanılması gibi, silici kötü amaçlı yazılım da verileri yok etmek, geliştirmeyi sabote etmek, mali kayba neden olmak veya sadece kaosa neden olmak için kullanılabilir.” Delilleri yok etmek için silici kullanmak gürültülü olsa da saldırganların işini kolaylaştırır ve tüm günlük dosyalarını ve kötü amaçlı yazılımları kaldırmaktan çok daha kolaydır, diyor.
Yeni Silecekler Cinsi
Fortinet’in raporu, geçen yıl hem disk silecek kullanımında hem de disk silecek çeşitliliğinde keskin bir artış olduğunu vurgulayan birkaç rapor arasında yer alıyor. Fortinet’in araştırması, tehdit aktörlerinin geçen yılki saldırılarda 16 silecek ailesini kullandığını gösterirken, Trellix’te kötü amaçlı yazılım analisti olan Max Kersten’in bir başka raporu, tehdit aktörlerinin geçen yıl yıkıcı saldırılarda kullandığı 20’den fazla silecek ailesini tespit etti.
Ukraynalı kuruluşlar, ülkenin ana haber ajansına karşı beş ayrı silecek varyantının kullanıldığı son bir saldırının gösterdiği gibi, birincil hedef olmaya devam ediyor. Ancak diğer ülkelerdeki kuruluşlar da artan saldırı riski altındadır. Örneğin Fortinet, WhisperGate ve HermeticWiper’ın Avrupa dışında en yaygın olduğunu tespit etti. Afrika ve Asya’daki kuruluşlar, Avrupa’daki kuruluşlara göre iki silecek ailesini içeren saldırılara maruz kaldı. Güvenlik satıcısı, genel olarak Kuzey Amerika’nın en az silme etkinliği yaşamaya devam ettiğini söyledi.
Revay, “Silme saldırılarının çoğu 2022’de Ukrayna kuruluşlarını hedef alıyordu, ancak bunun diğer ülkeler üzerinde kolayca yayılma etkisi olabilir” diyor. Örnek olarak, Ukraynalı bir uydu iletişim sağlayıcısını hedef alan bir saldırının 5.800 Alman rüzgar türbinini devre dışı bıraktığı bir olaya işaret ediyor.
Revay, Dark Reading’e nasıl hazırlanılacağı ve bir silici saldırısına nasıl yanıt verileceği açısından “bir fidye yazılımı olayına çok benzer” diyor. “Önerilen yaklaşım olan fidye ödenmezse, bir fidye yazılımı aynı zamanda bir silici olarak kabul edilebilir, çünkü şifre çözme anahtarı olmadan şifrelenmiş veriler kaybolmuş sayılır.”