Ransomware Tehditleri ve Yeni Taktikler
Son yıllarda siber suçlar, özellikle ransomware saldırıları, giderek daha fazla dikkat çekmektedir. Bu tür saldırılar, hedef alınan kurumlar için ciddi zararlara yol açabilir. Black Basta isimli ransomware grubu, siber güvenlik uzmanlarının hazırladığı raporlara göre, email bombardımanı ve Microsoft Teams üzerinden phishing saldırıları gibi farklı teknikler kullanarak hedef ağlara kalıcı erişim sağlamaya devam etmektedir.
Tekniklerin Evrimi: Python Script Kullanımı
Son gelişmelerden biri de, saldırganların Python script’lerini kullanarak cURL istekleri ile kötü niyetli yükleri çekmesi ve dağıtmasıdır. ReliaQuest tarafından yayımlanan bir rapora göre, Teams üzerindeki phishing saldırılarının büyük bir kesimi, onmicrosoft.com alan adlarından kaynaklanmaktadır. Bu durum, saldırganların meşru trafiği taklit ederek daha gizli saldırılar gerçekleştirmelerine olanak tanımaktadır.
Özellikle finans ve sigorta sektöründeki müşterilerin, yardım masası personeli olarak kendilerini tanıtan saldırganlar tarafından hedef alındığı gözlemlenmiştir. Black Basta’nın veri sızıntı sitesi kapatıldıktan sonra bile, bu siber suçluların eski taktiklerini sürdürdüğü belirtilmektedir. Ayrıca, bazı eski üyelerin farklı ransomware-as-a-service (RaaS) gruplarına katıldıkları düşünülmektedir.
Teams Phishing ve Uzaktan Erişim
Saldırganların Teams phishing tekniği ile elde ettikleri erişim, uzaktan masaüstü oturumları açarak Quick Assist ve AnyDesk kullanmalarına olanak tanımaktadır. Bu aşamada, uzaktan bir adresten kötü niyetli bir Python script’i indirip çalıştırarak, komut kontrolü (C2) sağlamak amacıyla saldırılar gerçekleştirdikleri tespit edilmiştir. ReliaQuest, bu tekniklerin gelecekte daha fazla ortaya çıkabileceği uyarısını yapmaktadır.
Java Tabanlı Kötü Amaçlı Yazılımlar
Saldırılar sırasında kullanılan Java tabanlı kötü amaçlı yazılımlar, hesapsal saldırılardan sonra önemli bir rol oynamaktadır. Rapid7’nin raporuna göre, bu malware artık Google ve Microsoft gibi bulut tabanlı dosya barındırma hizmetlerini kullanarak komutları proxy’lerle iletiyor. Bu süreçte, kullanıcının tarayıcılarında saklanan kimlik bilgilerini çalmak gibi çeşitli eylemleri gerçekleştirebiliyor.
Yeni versiyonu, enfekte olmuş cihaz ile uzaktaki bir sunucu arasında dosya transferi yapmanın yanı sıra, ROUTS5 proxy tüneli oluşturma, yanlış bir Windows giriş penceresi sunma ve daha fazlasını içermek üzere genişletilmiştir.
Yeni Ransomware Gruplarının Yükselişi
Dünyada ransomware alanındaki gelişmelere bakıldığında, Scattered Spider adındaki finansal motivasyonlu grubun, yönetilen hizmet sağlayıcıları (MSP) ve IT tedarikçilerini hedef aldığı görülmektedir. Bu grup, birden çok kuruluşa bir tek saldırı ile sızmayı amaçlayan "birden bir çok" yaklaşımını benimsemektedir.
Ayrıca, Qilin olarak bilinen bir diğer ransomware grubu, Fortinet FortiGate güvenlik açıklarını kullanarak bir dizi kuruluşa sızmayı başarmıştır. Play ransomware grubu ise 2022 yılının ortalarından itibaren şu ana kadar 900’den fazla kurumu hedef almıştır. Bu durum, ransomware pazarının hızla evrildiğini ve yeni tehditlerin ortaya çıktığını göstermektedir.
RAT’ların Önemi ve Tehditler
Kötü niyetli yazılımların bir diğer önemli boyutu da, uzaktan erişim Trojan’larının (RAT) kullanımıdır. RAT’lar, saldırganların enfekte olmuş sistemlerde uzaktan kontrol elde etmelerine olanak tanımaktadır. Quorum Cyber tarafından yapılan açıklamalara göre, RAT’lar, bir kuruluş içinde süreklilik sağlamak, veri çalmak veya yok etmek gibi eylemleri gerçekleştirebilmektedir.
Sonuç olarak, ransomware tehditleri, her geçen gün daha karmaşık hale gelmekte ve yeni taktiklerle siber suçluların elinde güçlü bir araç haline gelmektedir. Bu bağlamda, organizasyonların siber güvenlik önlemlerini güçlendirmeleri, yeni gelişmelere karşı hazırlıklı olmaları gerekmektedir.
