Türkiye saldırıdan en çok etkilenen beş ülkeden biri

Her ay 10 bin sefer taarruz düzenliyor 

ESET araştırmacıları, birçok makus maksatlı yazılım ailesi tarafından kullanılan ve şifreleyici hizmeti vermek üzere faaliyet gösteren yaygın şifreleyici makûs maksatlı yazılımı olan AceCryptor hakkında detaylar yayınladı. ESET telemetrisine göre Türkiye AceCryptor’dan en çok etkilenen ülkeler içinde yer alıyor.

AceCryptor 2016’dan beri dünya geneline yayılıyor. Birden fazla tehdit aktörü kampanyalarında paketlenmiş berbat gayeli yazılımları yaymak için bu tehdidi faal olarak kullanıyor. 2021 ve 2022 yıllarında ESET telemetrisi, bu makus gayeli yazılımla ilgili 240 binden fazla olay tespit etti, bu da her ay 10 binden fazla tespit manasına geliyor. Bu yazılım muhtemelen karanlık ağda yahut yeraltı forumlarında satılıyor ve onlarca farklı berbat emelli yazılım ailesi bu makûs emelli yazılımın hizmetlerini kullanıyor. Birçoğu, statik tespitlere karşı ana müdafaa olarak bu kriptoyu kullanıyor.

İki yılda 240 bin olay tespit edildi

AceCryptor’u tahlil eden ESET araştırmacısı Jakub Kaloč bu bahiste şunları söyledi: “Kötü emelli yazılım müellifleri açısından, oluşturdukları yazılımı tespit edilmeye karşı korumak zordur. Şifreleyiciler, dağıtılan makus maksatlı yazılımlar için birinci savunma katmanıdır. Tehdit aktörleri özel olarak kendi oluşturdukları bu şifreleyiciyi kullanır. Lakin bu tehdit aktörleri için şifreleyicilerinin tespit edilmesini büsbütün engellemek çoklukla vakit alır yahut teknik olarak zordur. Bu çeşit bir müdafaaya yönelik talep, makus hedefli yazılımları bir ortaya getiren çok sayıda şifreleyici hizmet seçeneği yarattı.”

AceCryptor kullanan makûs gayeli yazılım aileleri ortasında en yaygın olanlardan biri RedLine Stealer’dır. Yeraltı forumlarından satın alınabilen bu yazılım kredi kartı kimlik bilgilerini ve hassas dataları çalmak, evrak yüklemek ve indirmek ve hatta kripto para çalmak için kullanılıyor. RedLine Stealer birinci olarak 2022’nin 1. çeyreğinde görüldü; dağıtıcılar o vakitten beri AceCryptor kullandı ve kullanmaya devam ediyor. Kaloč bunu şöyle açıklıyor: “Bu nedenle, AceCryptor’u emniyetli bir halde tespit edebilmek, yeni ortaya çıkan tehditlere karşı görünürlük sağlamanın yanı sıra tehdit aktörlerinin faaliyetlerini izlememize de yardımcı olur.”

ESET 80 binden fazla müşterisini korudu

2021 ve 2022 yıllarında ESET, AceCryptor ile paketlenmiş makûs gayeli yazılımlardan etkilenen 80 binden fazla müşteriyi korudu. Birebir örneğin birden fazla bilgisayarda tespit edilmesi ve bir bilgisayarın ESET yazılımı tarafından birden fazla kere korunması da dahil olmak üzere toplam 240 bin olay tespit edildi. AceCryptor’u fark etmek çok zordur ve yıllardır tespit edilmemek için birçok teknik kullanıyor.

Kaloč’ın bu bahisteki niyeti şu: “Bu hizmetin tam fiyatını bilmesek de, tespit edilen bu hadiselerde AceCryptor muharrirlerinin çıkarının göz gerisi edilemeyeceğini düşünüyoruz.”

AceCryptor birden fazla tehdit aktörü tarafından kullanıldığı için, bu yazılım tarafından paketlenen makus maksatlı yazılımlar çeşitli yollarla dağıtılıyor. ESET telemetrisine nazaran, aygıtlar AceCryptor ile paketlenmiş berbat hedefli yazılımlara çoğunlukla korsan yazılımların truva atı yükleyicileri yahut berbat maksatlı ekler içeren istenmeyen e-postalar yoluyla maruz kaldı. Bir kişinin maruz kalabileceği bir öbür yol da AceCryptor tarafından korunan yeni berbat emelli yazılımları indiren öbür berbat maksatlı yazılımlar. AceCryptor ile paketlenmiş bir RedLine Stealer indirdiğini gözlemlediğimiz Amadey botnet buna bir örnek.

Birçok tehdit aktörü makûs hedefli yazılım kullandığı için herkes etkilenebilir. Paketlenmiş makûs hedefli yazılımların çeşitliliği nedeniyle, güvenliği ihlal edilmiş bir kurban için sonuçların ne kadar önemli olduğunu varsayım etmek zordur. AceCryptor, kurbanın aygıtında çalışan başka makus hedefli yazılımlar tarafından bırakılmış olabilir yahut kurban, örneğin makus hedefli bir e-posta ekini açarak direkt etkilenmişse, içindeki rastgele bir berbat gayeli yazılım ek makus hedefli yazılımlar indirmiş olabilir; bu nedenle, birçok makûs maksatlı yazılım ailesi tıpkı anda mevcut olabilir.

AceCryptor’un birden fazla varyantı var ve şu anda çok etaplı, üç katmanlı bir mimari kullanıyor. AceCryptor’un makul bir tehdit aktörüyle ilişkilendirilmesi şimdilik mümkün olmasa da ESET Research, AceCryptor’un yaygın olarak kullanılmaya devam edeceğini öngörüyor. Daha yakından izlemek, bu kriptoyla dolu makûs gayeli yazılım ailelerinin yeni kampanyalarının önlenmesine ve keşfedilmesine yardımcı olacaktır.

Kaynak: (BYZHA) Beyaz Haber Ajansı