Tüzük İdari Yapı Bildirimler
Üyelik İşlemleri Belgeler İrtibat
 
Group IB Hi-Tech Suç Trendleri 2017
Ana Sayfa
Tüzük
Mevzuat
İdari Yapı
Faaliyetler
Bildirimler
Basın
Üyelik İşlemleri
İrtibat

Belgeler
@bg.org.tr E-Posta Girisi

 
 


 
  Bağlantılar
  duzceninsesi.com.tr
  kemalsener.av.tr
 
  ANA SAYFA > Haberler

Group IB Hi-Tech Suç Trendleri 2017

Ransomware

Fidye yazılımları, Group-IB’nin 2016 yıllık raporunda özetlenen tahminleri doğrulayarak dünya genelinde ilerleyişini sürdürdü. Hackerlar, NSA cephanelerinden araçlar ve exploitler ele geçirdiler. Bu araçlarla fidye yazılımı özelliklerini birleştirip kurumsal ağlarda kendini yayarak küresel salgınlara yol açtılar. WannaCry ve NotPetya en başta gelen örnekler.

Şifreleme tabanlı fidye yazılımları şuan hem bağımsız hacker grupları tarafından, hem de saldırı izlerini sürmek ve dikkat çeken hedefli saldırılarda dikkati dağıtmak için devlet destekli siber suçlular tarafından kullanılmakta.

Kişisel bilgisayarları ve mobil cihazları hedef alan fidye yazılımları büyük ölçüde değişmedi.


Önemli Bulgular

Casusluk ve Sabotaj için Kritik Altyapılara yapılan Saldırılar

Amerika ile Kuzey Kore, Hindistan ile Çin, Pakistan ile Hindistan, Rusya ile Ukrayna arasındaki jeopolitik uyuşmazlıklar, sabotaj savaşları ve siber casuslukta artışı da beraberinde getirdi. İnanıyoruz ki bu sadece saldırı sayısında artışa değil aynı zamanda bu yeni çatışmalar saldırganların hedeflerinde değişikliklere neden oldu.

Bazı ülkelerde, bankalar ulusal kritik altyapının bir bileşeni olarak görülüyor. Devlet destekli hackerların banka sektörüne saldırmasının iki sebebi; istihbarat bilgileri toplamak ve hedefteki bankaların çalışmasını aksatmak. Örneğin bu yılın başından beri Ukrayna, banka bilgilerinin yok edilmesi ve banka operasyonlarının aksatılmasına yönelik iki saldırıya maruz kaldı. Lazarus Kuzey Kore hacker grubu, casusluk ve hırsızlık için dünya çapında en büyük ve merkezi bankaları hedef aldı.

BlackEnergy isimli grup finans ve enerji şirketlerine saldırılarına devam ediyor. Bu grup, elektrik hatlarının fiziksel olarak açılıp kapanmasından sorumlu Uzak terminal birimlerine (RTU) uzaktan kontrole izin veren yeni araçlar kullanıyor. 2017 yaz döneminde İngiltere ve İrlanda merkezli enerji üreten şirketlere yönelik test saldırıları görüldü

The NotPetya saldırısı Haziran 2017’de başladı, ve petrol gaz şirkeleri ve finansal kurulaşlarında iç işleyişlerin kesintiye uğramasıyla sonuçlandı. Bu saldırı bazı rafinerilerde geçici olarak üretimi durdurdu

Donald Trump’un süpriz seçim kazanması, bilgisayar korsanlarının siyasi kampanyaların sonuçlarını etkileyebilme yeteneği üzerine tartışmalar başlattı. Politikacılar ve devlet kurumlarına yapılan saldırıların yanı sıra casusluk ve istihbarat toplama her zaman var olmuş olsa da, günümüzde bu saldırılar, seçimleri ve diğer siyasi süreçleri etkilemek için medyaya yapılacak potansiyel girişimlerle bağlantılıdır. Bu, güvenlik uzmanlarının seçim süreçlerinin güvenilirliğini ve güvencesini sağlamak için kullanılan sistemleri ve teknolojileri iyice kontrol etmelerini sağlamıştır.

Banka ve Ödeme Sistemlerini Hedef alan Saldırılar

Geçmişte Rusya bankalarına saldıran tüm yasadışı gruplar, kademeli olarak dikkatlerini diğer ülkelere yönelttiler: ABD, Avrupa, Latin Amerika, Asya ve Orta Doğu ile birlikte Rusya’da finansal kurumalara yönelik başarılı saldırılara tanık olduk.

Dünya çapında finansal kurumları hedef alarak saldırılar yapan, Rusça konuşan bir hacker grubu olan MoneyTaker isimli grup, Kuzey Amerika’daki küçük bankaları hedef aldı. Hatta bu bankalardan birini iki defa soydu.

Cobalt en saldırgan ve aktif gruplardan biri. Sürekli değişen ilgi alanları ile bankalar, ödeme sistemleri ve bilişim şirketleri gibi geniş bir hedef yelpazeleri var. Bir dizi uluslararası saldırı ile önce BTD ülkelerine odaklandılar fakat sonra belirli bir bölgeye odaklanmaksızın saldırılarına devam ettiler.

Bu yıl MoneyTaker ve Cobalt öncelikli olarak ATMleri daha sonra kart işleme sistemlerini hedef aldılar. Saldırıları sırasında, uluslarası finansal iletişim sistemi SWIFT’e bağlı bilgisayarlara erişim sağladılar fakat bu bankalar arası fon transfer sistemi üzerinden para çalmak için hiçbir girişimleri tespit edilemedi.

Bir hacker grubu, SWIFT’e benzer bir sistem olan AWS CBR (Rus Merkez Bankası otomatik iş istasyonu istemcileri) üzerinden para çalmak için otomatikleştirilmiş bir sistem geliştirdi. Fakat bu sadece bir kere kullanıldı.

Kurumsal ağlarda kontrolü ele geçirmek için, Siber suçlular öncelikle pentestler için meşru araçları kullanıyor - Metasploit ve Cobalt Strike.

Hackerlar tespit edilen tüm saldırılarda gizli iletişim kanallarını kullandı. Bu kanalları kurmak için çoğunlukla Plink ve AmmyAdmin gibi meşru araçları kullandılar.

DNS protokolü şimdi kötü niyetli yazılımları kontrol etmek için ve siber suçluların ağ trafiği analiz sistemlerini bypass etmelerine izin veren payloadlar sunmak için daha sıklıkla kullanılmaktadır.

Self servis ödeme terminallerinin işleyiş sistemleri, hedefli saldırılarla ilgilenen hackerlar için başka bir yeni bir hedef haline geldi. ATM, kart işleme ve SWIFT istasyonlarında geçerliliği kanıtlanmış tekniklerle bu ödeme terminali işleme sistemlerine erişim sağladılar. Ancak para aklamak için farklı kanallar kullanıyorlar.

ATM’lere ve kart işleme sistemlerine odaklanılması, bir siber saldırıdan kaynaklanan ortalama kayıp miktarını azalttı. Ancak saldırganların nakit para çekme işlemlerini gerçekleştiren ‘money mules’ için daha güvenli olan saldırıları gerçekleştirmelerini sağladı.

Saldırganları bir şehirde, saldırılan banka başka bir şehirde ve nakit çekilme işlemi üçüncü bir konumdan gerçekleşiyor.

E-posta kimlik avı, finansal kurumların ağlarına ilk giriş için kilit rol olmaya devam etmektedir.

Bazı bankalar güvenilir anti-phishing araçları kullanmasına rağmen, çalışanlar iş istasyonlarında genellikle kurumsal güvenlik araçları tarafından korunmayan kişisel e-postalarını kontrol eder. Bu kusur, suçlular tarafından kullanılır. Bilgisayar korsanları, bir dizi bankaya saldırmak için, mesai saatleri içerisinde zararlı eklenti içeren postalar göndermek üzere banka çalışanlarının kişisel e-posta adreslerini topladı.

Group-IB kadrosu, bankalara yönelik hedefli saldırılar sırasında takibi ve olay tepkisini karmaşıklaştırmak için yeni bir yöntem tespit etti. Saldırganların disklerdeki verileri şifrelemek ve izlerini örtmek için fidye yazılımlarında kullandıkları yöntemde budur.

Banka Müşterilerine Saldırılar

Grup sayısı ve buna bağlı olarak Rusya şirketlerinden hırsızlık yapmayı amaçlayan saldırı sayısı, önceki döneme kıyasla neredeyse %50 azalmıştır. Ancak, ortalama kayıp artmıştır ki bu da hackerların kurbanlarını artık daha dikkatli seçtiklerini göstermektedir.

Önceleri dünya çapında siber saldırılarda kullanılan, Corebot ve Vawtrak pazardan ayrıldı. Corebot geliştiricileri desteklerini durdurdular. Vawtrak’ın baş geliştiricisi tutuklandıktan sonra bu zararlı yazılım ortadan kayboldu

Her ay, Rusça konuşan bilgisayar korsanları para çalmak için tasarlanmış 1-2 yeni kötü amaçlı yazılım üretiyor. Uzmanlar 6 yeni PC Trojanı tespit etti. Bunlardan en çok duyulanı TrickBot. Android için 12 adet yeni bankacılık trojanı ortaya çıktı. Ayrıca POS terminallerini hedef alan, mevcut eski sürümleri halen geliştirilmekte ve geliştirilmiş özellikleri ile yaygın şekilde kullanılmakta olan 3 adet yeni trojan tespit edildi.

Fon çalmak için ortaya çıkan 22 adet yeni zararlı yazılımdan 20 tanesi, yani %91’i Rusça konuşan bilgisayar korsanları tarafından üretildi ve kontrol ediliyor

Bu yılın başında, SS7 protokollerini kullanarak hırsızlık için yeni bir yöntemin ilk vakaları görüldü. Almanya’daki banka hesaplarına yapılan saldırılar sırasında, SS7’de bulunan çağrı yönlendirme özellikleri sömürülerek, SMS mesajlarına bağlı iki aşamalı kimlik doğrulama mekanizmasını atlatıldı.

Rusya’da, tüzel kişileri hedefleyen bankacılık botlarının sahipleri, uzaktan denetim araçları ve 1C muhasebe sistemleri yoluyla otomatik tranferler lehine, tarayıcı tabanlı saldırıları kullanmayı tamamen bıraktı.

Bazı bilgisayar konsanları, web injectionlarda kullanmak üzere verileri yakalamak ve manipule etmek için trafiği C&C sunucularına yönlendirmeyi tercih etmektedir.

Buhtrap Trojanının sahipleri, botnetlerinin üzerindeki kontrolü diğer tehdit unsurlarına devretti. Daha sonra devralan saldırganların taktiği değişti, artık onların ana zarar verme yönelimi, spam göndermek yerine finansal ve hukuk firmaları kaynakları da dahil olmak üzere yasal websitelerine saldırmak

Rusya’da Android bankacılık trojanlarının yol açtığı kayıp miktarı %136 arttı ve kişisel bilgisayarlardaki trojanların yol açtığı kayıp miktarını %30 aştı.

Android bankacılık trojanları şahıslara yönelik saldırılarına hala devam ediyor. Bu yönelimde şirketlere yönelik saldırı tespit edilmedi

Android Botnet sahipleri banka hesaplerindan para çalmak için Apple Pay sistemini kullanmaya başladı.

Bankalar ve ödeme sistemleri üzerinde Kimlik Avı otomatikleştirildi ve gerçek zamanlı yürütülüyor. Bu da saldırganların SMS onaylarını atlatarak imkan sağlıyor. Rusya’da her gün 900 den fazla müşteri finansal Kimlik Avı kurbanı oluyor ki bu da günlük zararlı yazılım kurbanı sayısının 3 katı. Ancak kimlik avının yol açtığı kayıp miktarı zararlı yazılımların yol açtığı kayıp miktarından onlarca kat daha düşük.

Ortalama olarak, finansal kimlik avı sitelerini ziyaret edenlerin %10-15’i bilgilerini giriyor.

Durumların %80’inde kimlik avcıları topladıkları bilgileri için Gmail hesaplarını kullanıyor, Rus arama motoru Yandex ve Mail.ru hesapları ise sadece %6 oranında kullanılıyor.

Cryptocurrency Servislerine Saldırılar

Cryptocurrency ve Blockchain teknolojilerinden sıkça söz edilmesiyle ICO’ları (İnitial Coin Offering) yeni bir dijital altına hucum ilgisi görmesi, saldırganların bu yönde olan saldırıları katlanarak artmasına sebep oldu. 2017’de cryptocurrency platformları ve kullanıcılarına yönelik pek çok başarılı saldırı gerçekleşti.

Cryptocurrency alışverişlerine yönelik saldırılar, bankalara yönelik hedefli saldırılarda kullanılanlara benzer veya bazen aynı yöntemler ve araçlar kullanılarak yapılır.

Dolandırıcıların, ICO şirketlerinin sitelerini kopyalayarak kimlik avı için sahte siteler oluşturmaları sıklıkla kullandıkları bir yöntem. Kullanıcıların dijital cüzdanlarının şifrelerini bu tür bir siteye girmesi sonucunda dijital paraları otomatik olarak zahmetsizce çalınabiliyor.

Yeni kurulan ICO şirketleri website güvenliğine gereken özeni göstermiyor. Saldırganlar bazı web sitelerine erişim sağlayarak, bir cüzdan adresini dolandırıcının cüzdan adresiyle değiştirerek ICO’nun bir parça olarak aktarılan parayı topluyor.

Hackerların zararlı yazılım kullanarak dijital cüzdan bilgilerini çalması ve para çekmesi olaylarının sayısında bir artış görüyoruz. Yöntemler bankacılık uygulamaları kullanıcılarına yönelik saldırılar için kullanılan yöntemlerle aynı.

Cryptocurrency-mining trojanları Siber suçlular tarafından bir süredir kullanılıyor. Fakat farkedilir şekilde sistemleri yavaşlatmasından dolayı günden güne kullanımı azalıyor.

Hack Araçlarının Geliştirilmesi

Birçok suç çetesi ve devlet destekli hackerlar Amerikan Devleti Kurumlarından sızıntıları nedeniyle cephanelerini zenginleştirdi. CIA ve NSA araçları WikiLeaks tarafından yayınlandı ve Shadow Brokers tarafından hızla malware ve pentest araçlarına eklendi.

Zararlı yazılım geliştiricilerinin çoğu, programlarının kaynak kodunu yayınlamaya başladı. Bu rapor döneminde TinyNuke isimli bankacılık sektörünü hedef alan PC trojanı, yine bankacalık sektorünü hedef alan android trojanı Maza-in, Telegram protokolünü kullanan RATAttack araç seti, Miria isimli DdoS trojanı ve çeşitli ransomwareler yayınlandı.

Geçen sene hackerların sadece bilgisayarlar ve mobil cihazlarla değil, IoT cihazları ve routerlarla da ilgilendiği apaçık belli oldu. Bu sene Android Trojanlarının ve Exploit Kitlerinin, LAN üzerindeki routerlara erişerek kullanıcı trafiğni manipule etmeye odaklandığı tespit edildi. Az bir süre sonra da CIA’in Cherry Blossom aracını aynı amaç için kullandığı öğrenildi

CopyCat, Gooligan ve Dresscode isimli Android trojanlarının analizi neticesinde, Güvenlik uzmanları, en büyük botnetlerin asyada konumlandığını ve reklam göstermek üzere tasarlandığını tespit etti.

Tahminler

Kritik Altyapı Saldırıları ve Araçları

İddiaya göre devlet deslekli hackerlar tarafından organize edilen WannaCry ve NotPetya saldırıları, kendini kurumsal ağlarda yayabilen etkili bir ransomwarenin ne kadar kolay yapılabildiğini tüm dünyaya gösterdi. Maddi çıkarları için hareket eden hiçbir grup bu şekilde bir saldırı gerçekleştirmedi. Salgının ölçeği, bulaşma hızı ve kurbana verilen zarar, taklitçilerinin ile ardıllarının ortaya çıkmasına ve geleneksel, maddi çıkarlarıyla hareket eden siber suçlular tarafından yeni saldırılar düzenlenmesine sebep olacaktır. Başlangıçtaki ağ girişimi vektörünü değiştirerek daha ciddi zararlar verilmesine sebep olabilirler.

NotPetya, bir şablon oluşturmanın bir şirket ağı üzerinde kontorlü ele geçirmek için yeterli olabileceğini gösterdi. Gelecekte, pek çok siber saldırının keza hazır yapım basit araçların, kurumsal domainler üzerinde otomatik olarak konrolü ele geçirebileceğini beklememiz gerekiyor. Eğer bazı araçlar umuma açılırsa veya hackerlar tarafından satışa çıkarılırsa, bu kurumsal sektörde yapılan saldırıların artışında bir çığ etkisine neden olabilir. Öncelikle ,ransomware, gizli bilgilerin çalınması ve ifşa edilmemesi için fidye istenmesi, para hırsızlığı, maddi beklentisi olmayan hackerlar tarafından halkın maruz kaldığı durumları içeren daha fazla olay bekliyoruz.

Zararlı yazılım geliştiricilerinin, yazdıkları programların kaynak kodlarını yayınlamaya devam etme konusunda daha aktif olmalarını bekliyoruz. Ek olarak, The Shadow Brokers ve onların potansiyel takipçileri tarafından yayınlanan sızıntılar, hemen doğrudan doğruya zararlı yazılım üretmek ve geliştirmek için kullanıldı. Bu tür olaylar siber suç endüstrisini gelişmesine güçlü bir destek olacak.

Ransomware ilişkili saldırılar öncelikli olarak, gizli bilgilerinin ifşa edilmesi için yüksek para cezaları uygulanan ülkelere odaklanacak.

Bankalara Yönelik Hedefli Saldırılar

Geçmişte finansal kuruluşlar, maddi çıkar gözeten hackerlar tarafından saldırıya maruz kalmaktan endişe duyuyorlardı, şimdi devlet destekli hackerların yaratacağı yeni ve daha tehlikeli bir tehditle yüzleşmek zorunda kalabilirler. Bu hackerlar para akışını izlemeye odaklanacak, dahili altyapı performansını aksattığı gibi banka müşterileri hakkında da bilgi toplayacak. Dahili altyapı performansını hedef almak özellikle siber saldırılardan birbirini suçlayan ülkeler için önemli. Bu sabotajı bir karşı önlem olarak kullanabilirler

Sonraki yıl bankalar için bir siber saldırıdan alacağı esas darbe, para çalınması değil, saldırının son aşamalarında bankanın IT altyapısının yok edilmesi olacak.

Olası senaryolardan biri de, döviz kurlarını etkilemek ve zararlara neden olmak için kurban banka adına döviz ticareti yapmak olabilir. HFT ticaret algoritmaları döviz kurlarındaki dalgalanmalara tepki vereceği için, bu tür bir senaryo bir çığ gibi ani çökmelere neden olabilir.

Maddi çıkar gözeten bilgisayar korsanları kart işleme sistemleri üzerine odaklanmaya devam edecek, çünkü bu salgırganlar için en güvenli alan, nakit çekme prosedürü nispeten basit ve mule operasyonları düşük risklidir.

Bu eğilim, SWIFT ile ilgili saldırılara kıyasla, daha az deneyimli saldırganlar için fırsatlar sunar, çünkü kart işleme saldırıları nakit çekim yapan kişiler için güvenlidir, uygulamak kolaydır ve saldırganların kara para aklamak için üçüncü kişilerle irtibat kurmasını gerektirmez.

Bankalar, yetkili çalışanların şirket ağlarına bağlanmasına özel dikkat göstermelidir, çünkü bu tür yetkilliler, bankacılık altyapısına nüfuz etmede önemli bir vektör olarak birçok saldırıda kullanılmışlardır.

Çeşitli ülkelerdeki şirketlerin siber saldırıları için kullanılan Vawtrak (Nevequest) isimli bankacılık trojanının geliştiricisi tutuklandı. Ancak, onun büyük ölçekli hırsızlık deneyimine sahip olan son derece profesyonel ekibinin, güvenilir kara para aklama programlarına erişim halen devam etmektedir. Onların bankalar ve müşterileri için hedefli saldırılar düzenlemeye başlamalarını bekliyoruz.

Hedefli Hırsızlık Saldırıları

Eğer, kişisel bilgisayarlar için bankacılık ve POS trojanlarını geliştirilenler, bu yazılımlara kendini yayma özelliği ve online online bankacılık için ağa bağlı bilgisayarları arama özelliği eklerse, bu hem ticari hem de özel banka hesaplarında başarılı siber saldırılarda önemli bir artışa neden olacaktır. Çünkü kurumsal ağ kullanıcıları iş istasyonlarından çevrimiçi bankacılık yapıyor.

Kurumsal sektörde mobil bankacılığın yaygın kullanımı ile Android Trojanları bu uygulamaların kullanıcılarına saldırmaya başlayacak. Mevcut şartlar altında bu tip trojanların yayılma yöntemi aynı kalacaktır.

Rusya’da Android bankacılık trojanlarının hırsızlık ile yol açtığı kayıp miktarı, kişisel bilgisayardaki bankacılık trojanlarının yol açtığı kayıp miktarını geçmiş durumda. Mobil bankacılık kullanımının yaygınlaştığı diğer ülkelerde de aynı durumun ortaya çıkmasını bekliyoruz.

Maliyeti azaltıp işlevi artırmak için, hackerlar trafik verilerini yakalamak ve yönlendirmek amacıyla sunucularına trafik yönlendirme için web enjeksiyonlarını kullanmaktan uzaklaşmaya devam edecek. Bu, trafik veri işlem manipülasyonunun otomatikleştirilmesi için servislerin oluşturulmasına neden olabilir.

Routerlar üzerinden trafik satılması, siber suçluların kimlik avı saldırılarının sayısını önemli ölçüde artırabilmesine olanak sağlayan yeni bir hizmetin ortaya çıkmasına sebep olabilir. Kullanıcılar basitçe belirli sürelerde kimlik avı sayfasına yönlendirilir.Bu koşullar altında, daha kaliteli kurbanlar sunan hizmetler özellikle popüler hale gelecektir.

Cryptocurrency Servislerine Saldırılar

Android trojanları, hackerların cryptocurrence/sanalpara kullanıcılarına daha etkili saldırılar düzenlemelerine olanak sağlayacak. Sanal cüzdan kullanıcılarını tanımak ve sanal cüzdanlara erişim sağlamak için kullanılan yöntemler, banka hesaplarına yapılan saldırılanda kullanılan yöntemlerle aynı olacak. Android bankacılık trojanları mevcut haliyle çoğunlukla uyum sağlamış olacak.

Android trojanlarına ek olarak, hackerlar sanalpara kullanıcılarına saldırı için PC trojanlarını daha aktif kullanacak. Buda demek oluyor ki, özel bankacılık trojanları yerine kamuya açık olanları da içeren, evrensel trojanlar daha yaygın kullanılacak.

Sanal para değişimine hedefli saldırılar, yalnızca maddi odaklı hackerlar tarafından değil devlet destekli hackerlar tarafından da uygulanmaya başlanacak.

Sanalpara hizmetine karşı düzenlenen kimlik avı saldırıları bu hizmetlerin kullanıcıları için asıl sorun olacak. Devam eden başarılı saldırılar, servislerin güvenlik seviyelerini yükseltip aktif olarak kimlik avı denetimi yapıncaya kadar onların güvenilirliğini etkileyecek.

Web alanında uzmanlaşmış hackerlar için cryptocurrency ile ilgili herşey ana hedef olacak. Bu web sitelerinden trafik satmak, Android, PC Trojanları'nı kontrol eden bilgisayar korsanlarının yüksek talepleri nedeniyle ana itici güç olacak; buna karşılık tehlikeye atılan kullanıcı temasları, kimlik avı, brute-force saldırılar da dahil olmak üzere hedefli saldırılarda aktif olarak kullanılacaktır.

Finans endüstrisi, uzun süredir gasp saldırılarının ana hedefi olmuştur. İlk başta, sanalpara hizmetleri sahiplerinden para çekme girişimlerinin sayısı artacak. Bu artış hem gerçek tehdit oluşturan hackerlar, hem de sofistike siber saldırı yürütme kapasitesi olmayan taklitçiler tarafından gerçekleştirilecek

Bitcoin döviz kurunda yükseliş, bunun yanısıra yeni kripto para birimleri ve ICO'lar hakkındaki reklamlar, daha geniş kitlelerce bu konuya olan ilginin artmasıyla sonuçlandı. Çok daha fazla insan kryptopara birimlerine yatırım yapmak istiyor. Bunun sonucu olarak, birçok dolandırıcı, "yatırımlar", "varlık yönetimi", "piramit şemaları" vb. Ile ilgili halihazırda etkin olmayan tasarımlarla ortaya çıkacak.

Son Teknoloji Suç Marketi Değerlendirmesi

Saldırı sayısının ve çalınan miktarların artması, bilgisayar korsanlarının finansal faaliyetlerinin, taktik ve hedeflerinde değişikliklerin önemli bir göstergesidir. Saldırganları çoğu parayı takip eder. Para kazanmak için daha güvenli ve etkili bir yöntem bulurlarsa, ona yatırım yaparlar, yeni araçlar , servisler, saldırı planları oluştururlar.

Rusya'da şirketlerden çalmaktan kaynaklanan zarar miktarı hala düşüştedir, ancak Android trojanlarının neden olduğu kayıp miktarı halen artıştadır. Bankalara ve ödeme sistemlerine yönelik hedefli saldırıların sayısı yükselişte, ancak geçen yıl tahmiz ettiğimiz gibi, hackerlar kazançlarının çoğunu Rusya dışından elde ettiler

Banka müşterileri ve ödeme sistemlerine yönelik kimlik avı saldırıları tam otomatik sisteme dönüştükten sonra, Rusya’daki faaliyetlerinden kaynaklanan zarar miktarı çok önemli hale geldi. Her gün bankacılık trojanlarından çok daha fazla kullanıcıya saldırıyorlar, ancak net zarar miktarı hala daha küçük. Bununla birlikte, yöntemin sadeliğinden dolayı, artan sayıda suçlu onu kullanmaya başlıyor.

Tablo - Sayfa 10 - (Market Segment in Russia and CIS)

2016 H2 – 2017 H1 ‘nin Temel Trendleri ve Gerçekleri

Ransomware

Ransomware kendini yayma özelliklerini kazandı

Geçen sene, ransomware trojanlarının yerel alan ağlarında kendiliğinden yayılma için kendi başına bir özellik kazanacağını ve dosyalara erişimin kurtarılması karşılığında fidye almak için büyük şirketleri hedef alacaklarını tahmin etmiştik. Bu, bilgisayar korsanlarının fidye miktarlarını artırmasını ve fidye alma şanslarını yükselmesini sağlayabilir. Ancak,  bu fırsat maddi çıkarları için hareket eden hackerlardan daha çok devlet destekli hackerların ilgisini çekti.

14 Nisan 2017 tarihinde Shadow Brokers isimli hacker grubu, SMB v1 protokolündeki bir zaafiyeti istismar eden EternalBlue'nun çalıştırılabilir kodunu ve zaafiyet hakkındaki bilgileri yayınladı.

12 Mayıs 2017 tarihinde, WannaCry isimli fidye yazılımı ortaya çıktı ve 27 Haziran 2017 tarihinde NotPetya isimli fidye yazılımı büyük çapta yayılmaya başladı.

Uzmanlar WannaCry saldırılarını hükümet yanlısı Kuzey Kore Lazarus grubu ile ilişkilendilendirdiler ve  NotPetya saldırısı devlet destekli Black Energy grubuna atfedildi.

Her iki saldırıda da mağdurların ödeme yapmaları gerektiği halde, saldırılarının hiçbirinin maddi kazanç sağlamak amacıyla ortaya çıkmadığı gayet açıktır.

Devlet destekli fidye yazılımının sebep olduğu kayıp

WannaCry salgınının hedeflediği amaç tespit edilememiştir. Saldırıların devlet eliyle yürütüldüğü düşünülürse, etkinliğinin azaltılması istenen özel  tesisleri hedef almış olabilirler. Diğer tüm kurbanlar tesadüfen saldırıya maruz kaldılar. Sadece işletim sistemleri güncellenmemiş olan ve internete doğrudan erişimi bulunan şirketler saldırıdan zarar gördü.

NotPetya saldırısının hedefi daha belirgindi. Bu saldırı sadece, Ukrayna'lı bir doküman yönetim sistemi geliştiricisi tarafından yapılmış olan M.E.Doc yazılımını kullanan firmaları vurdu. Bu yüzden, saldırının Ukrayna tüzel kişiliklerini hedef aldığı görünüyor.

Her iki durumda da ilk girişim vektörünün değiştirilmesi ve ilgili segmentteki kurban sayısının daha fazla olması için yeterli olurdu.

Saldırıların izlerini örtme

Ayrıca fidye yazılımlarının hedeflenen saldırıların izlerinin örtülmesi için kullanılacağını da tahmin etmiştik. 2017'nin başlarında, bir banka soygununun izlerini gizlemek için fidye yazılımının ilk örneklerinin kullanımını tespit ettik. Bir bankaya yapılan soygun amaçlı bir saldırı sırasından hackerlar bankanın domaininin kontrolünü ele geçirdiler. Soygundan sonra tüm ağ bilgisayarlarındaki etki alanı yöneticisinin adına Petya'nın değiştirilmiş bir versiyonunu kullandılar. Sonuç olarak bilgisayarların çoğu şifrelendi ve siber saldırının araştırılmasını çok daha zor hale getirildi.

PC ve Android Fidye yazılımları

Fidye yazılımı kullanan hackerlar giderek daha fazla kurumsal sektöre odaklanıyor. Maddi çıkar amaçlı hareket eden hackerların yeni teknikler geliştirdiğini veya benzersiz araçlar kullandıklarını tespit etmedik. Locky ve Cerber en yaygın fidye yazılımı oldular. Her ikisi de Rusça-konuşan hackerlar ve işbirlikçleri kanalıyla dağıtıldı. Spam hala dağıtımın en etkili yolu olmaya devam ediyor. Ancak, bazı işbirlikçiler, fidye yazılımlarını savunmasız bilgisayarlara aktarmak için ayrıca exploit kitleri de kullandılar

Mobil cihazlar için fidye yazılımları popülerliğini kaybetti. Rusça konuşulan forumlarda, son 12 ayda bu tür yazılımları satın alınması için hiç talep olmadı.

IoT için tahmin edilen ransomware saldırıları gerçekleşmedi, ve şimdiye kadar hackerlar tarafından önümüzdeki yıl bu tür saldırılar yapacakları konusunda herhangi bir belirti yok. Kurumsal sektöre saldırılar hala daha kazançlı, ve yerel ağlarda kendini kendini yayma yeteneği, bu alana yönelik çalışmalar için geniş imkanlar sağlıyor. İşte bu yüzden, iş sürekliliğini bozan ve kendini yayma özelliği olan fidye yazılımlarının en büyük zararlara sebep olmasını bekliyoruz. WannaCry ve NotPetya'dan farklı olarak, ileriki saldırılar belli hedeflere yönelik olacak.

NotPetya, kurumsal ağlarda kontrolü ele geçirmek için basit  birkaç adım uygulamanın yeterli olacağını gösterdi. Gelecekte, basit hazır yapım araçların yanısıra betik yazılımlar şeklindeki siber saldırıların, kurumsal domainler üzerinde otomatik olarak kontrolü ele geçirmek için daha fazla kullanılmasını bekliyoruz. Eğer bazı araçlar açık olarak yayınlanırsa veya hackerlardan ücret karşılığı satın alınabilmeye başlanırsa, kurumsal sektöre yönelik her türlü saldırının çığ gibi büyümesine yol açacaktır. Öncelikle fidye saldırıları, gizli bilgilerin çalışması ve şantaj tehdidi gibi  daha fazla olayın ortaya çıkmasını bekliyoruz. Bu tür siber saldırıların, güvenlik önlemlerine uyulmaması, veri sizintiları veya sunulan hizmelerin aksamasından dolayı yüksek bedel ödeyecek ülkelere yönelik olmasını beklenmelidir. Özellikle bankacılık sektörü, sigorta şirketleri ve sağlık kurumları için geçerlidir.

Kritik Altyapılara Yönelik Saldırılar

Development

Endüstriyel tesislere yönelik saldırılar, zaafiyetlerin tespit edilmesi, ve ICS (Endüstriyel Kontrol Sistemleri)'nin kontrol terminallerine uzaktan erişimin sağlanması giderek daha fazla rapor edilmeye başlandı.Ancak İCS'lere fiziksel müdahaleye yol açacak başarılı bir saldırı için uzaktan erişim ve oturum açma kimlik bilgilerinden daha fazlası gereklidir. ICS'lere müdahale edebilmek için fiziksel işleyişlerini çok iyi bilmek gereklidir. Bu fiziksel işleyişlere etki edebilmek için gerekli mantık, saldırganların kullandıkları araçlara yerleştirilmelidir.

Fiziksel işleyişleri gerçekten etkileyebilen ve ekipmanı devre dışı bırakan ilk kötü amaçlı yazılım Equation Grup (Five Eyes/ Tilded Team) tarafından kullanılan Stuxnet virüsü idi. Stuxnet'in en önemli özelliği, İran'ın uranyum zenginleştirme santrifüjlerinin döndürme oranını kontrol etmek için kullanılan Siemens ekipmanı üzerinde yıkıcı bir etkiye sahip olmasıydı. Stuxnet virüsü, Siemens ekipmanına saldırarak, önceden belirlenmiş bir mantık doğrultusunda, bu ekipmanın tahrip edilmesine neden olacak olan santrifüjlerin dönüş hızını belirsiz bir şekilde değiştirecekti. Stuxnet hikayesi 2010'da yeni bir siber savaş ve siber güvenlik çağının habercisi oldu. Bu saldırıyı, hackerların ICS etki edip devre dışı bırakmanın yollarını aradığı, birkaç yıl süren bir sükunet izledi. Bu hedefe en çok yaklaşan Sandworm olarak bilinen BlackEnergy grubuydu.

Enerji firmalarını hedef alan The Black Bear savaşı (Drogonfly / Crouching Yeti), 2000’den fazla ağa yüklendiği iddia edilen Havex aracını ortaya çıkardığında, bir miktar telaşa neden oldu. Ancak Havex fiziksel işleyişleri etki edemedi. Bu asıl amacı enerji şirketlerinde kullanılan teçhizatlar hakkında bilgi toplamak olan bir keşif aşamasıydı. Bu bilgiyi toplayarak otomasyon neslerini ve teknoloji akışlarını kontrol etmek için kullanılan OPC(Açık Platform İletişimi) protokolünü açıklarını bulmayı sağlamaktı. Basitçe ifade etmek gerekirse, SCADA ve donanım arasındaki etkileşimleri analiz ederek belirli herbir konumda hangi ekipmanın yüklenmiş olduğunu kaydetti. Bu süreç gelecekteki saldırılan için çok büyük önem taşıyor.

Bir diğer önemli hazırlık aşaması ise SCADA (HMI) Human Machine Arayüzlerine erişmekti.   (Sandworm veya) The Black Energy 2 isimli grup tarafından kullanılan The Black Energy 2 malware yazılımı üç firmaya ait HMI’leri hedef almıştır ki bu firmalar: General Electric’s Cimplicity HMI, Siemens’ SIMATIC WinCC ve BroadWin’s WebAcces’tir. Black Energy 2, bu ürünlerdeki güvenlik açıklarından faydalanarak firmaların sunucularına yüklenmiştir.

Aralık 2015’de, Stuxnet benzeri bir ikinci saldırı, kritik bir altyapı tesisinde gerçekleştirildi. Bu gerçek bir hasar ve servis darbesine neden oldu. Bu saldırıda Black Energy 3 isimli malware kullanıldı. Saldırganlar bu yazılımı Ukrayna’daki üç enerji şirketinin networküne aşırı yükleme yapmak için kullandılar. Alt istasyonlardaki Serial-to-Ethernet cihazlarının firmwarelerini değiştirerek, cihazları çalışamaz hale getirdiler. Akabinde, KillDisk isimli basit bir araç kullanarak, enerji firmalarına ait networklerde bulunan kesintisiz güç kaynaklarının bağlantılarını uzaktan kestiler, HMI’ye sahip olanlar da dahil olmak üzere Windows bilgisayarları devre dışı bıraktılar.

Gelişimin Sonuçları

Aralık 2016’da, bir Ukrayna istasyonuna hedef alan ve tüm şehri 75 dakikalığına karanlığa gömen bir test saldırısı gerçekleştirildi. Bu zor farkedilir saldırı, yeni Black Energy araç setinin kapasitesini gösterdi. Bu araç seti ESET tarafından Industroyer veya CRASHOVERRIDE olarak rapor edilmiştir.

Industroyer ICS’lere saldırmaya yarayan taş teşekküllü bir frameworktür. Saldırganlar, geçmiş deneyim ve keşiflerinden faydalanarak bir takım işlemleri otomatikleştirdiler.

Havex olayında olduğu gibi, yeni malware ICS ağı üzerindeki endüstriyel ekipman ve aygıtları haritalamak için OPC protokolündeki geçerli işlevsellikten yararlanıyordu.

Black Energy 2’ye benzer olarak, bu araç da enerji ağındaki diğer konumlara bağlanabilmek için ve ekipmanı anlayabilmek için, HMI kütüphanelire ve yapılandırma dosyalarına saldırdı.

Black Energy 3 saldırısında olduğu gibi, enerji ağına nasıl aşırı yükleme yapılacağını, güç kaynağının restorasyonunu ve tepkiyi zorlaştırmak için bazı unsurları devre dışı bırakmayı öğrendiler.

Hepsinden önemlisi, IEC 60870-5-101, IEC 60870-5-104 ve IEC 61850 gibi bazı protokolleri yönetecek yeni modüller geliştirdiler. Bu protokoller, networklere fiziksel bağlantı/kesintiden sorumlu RTU’ları uzaktan kontrol etmek için kullanılıyor. İlginçtir ki, bazı unsurlar sadece enerji firmalarında değil, su ve gaz tedarik sistemleri gibi diğer şehir hizmetlerinde de kullanılıyor.

Bir diğer ekleme de, servis denial başlatan ve cihazı kullanım dışı bırakan Siemens SIPROTEC ekipmanındaki eski CVE-2015-5374 güvenlik açığının sömürülmesine yarayan bir modüldür

Black Energy’ye ait diğer Yeni Gelişmeler

Black Energy, enerji firmalarına yaptığı saldırılarla tanınır. Bu yıl, Grup-IB, bankacılık altyapısına yönelik saldırı çabalarını artırdıklarını doğruladı.

Esas Black Energy zararlı yazılımlarının yanı sıra, güvenli bir Telegram protokolünü kullanan bir arka kapı kullanıyorlar. Bu sistemin biri Rust ile diğeri Python ile kodlanmış iki versiyonu mevcut.

Daha önce özgün yardımcı uygulama olan KillDisk’i kullandılar, şimdi ise kendi bilgisayarlarda ve bankacılık ağındaki sunucular üzerinde kendi kodladıkları ransomwareleri kullanıyorlar. Bu ransomware Win32/Filecoder.NKH olarak tanımlandı ve etkilediği dosyalara .xcrypted uzantısı ekleyip bu dosyaları RSA-1024 ve AES algoritmalarını kullanarak şifreliyor.

Haziran ayında NotPetya ile bir saldırı başlattılar. Ticari kuruluşların yerel ağlarını devre dışı bırakmak için hem özgün ransomware yazılımı hemde Notpetya kullanıldı.

Sayfa - 14 - Espionage - Destruction Şeması

Banka ve Ödeme Sistemlerini Hedef Alan Saldırılar

Devlet destekli hackerlar bankalara yeni bir tehdit oluşturuyor.

Bazı ülkeler, kullandıkları bankacılık sisteminin, önemli savunma sisteminin bir parçası olduğunu fark ettiler. Devlet tarafından finanse edilen veya kiralanan hackerlar iki amaç için bankacılık sektörüne pekçok kez başarılı saldırılar düzenlediler; İstihbarat bilgileri toplamak ve hedef bankaların performansını aksatmak.

Equation Group (US)

15 Nisan’da, The Shadow Brokers üyesi hackerlar, muhtemelen NSA dışında faaliyet gösteren Equation Group’a ait, bir dizi hacker aracına ait bilgileri yükledi. Sızdırılan belgelere göre, Ortadoğu ve Latin Amerika’daki bir kaç finans kuruluşunun bankacılık işlem verilerine erişmek için SWIFT Servis Bürolarına iki saldırı gerçekleştirdiler.  

SWIFT Servis Büroları, şebekeye bağlanmak isteyen fakat yine de bu işlemleri dış kaynaklı olarak yapmak isteyen finansal kuruluşlar için SWIFTNet’e bağlantıları organize eden ve tahsis eden üçüncü taraf hizmet sağlayıcılardır. SWIFT’e göre hizmet paketi, SWIFT ile bağlantı kurmak için bileşenlerin ayrılması , tahsisi ve kullanılmasını içeriyor, bunun yanısıra sisteme erişmek, iletişim oturumlarını yönetmek ve SWIFT kullanıcılarının güvenliğini sağlamak için mekanizmalar sağlıyor.

SWIFT ile ilişkilendirilmiş arşivler JEEPFLEA olarak adlandırılır ve Orta Doğuda bulunan en büyük SWIFT servis bürosu olan EastNets’in tasarım detaylarını ve kayıt işlemlerini içerir. İkinci servis bürosu muhtemelen Panamadaki Business Computer Group (BCG)’dir.

Bankacılık işlemleri SWIFT yazılımına dayalı Oracle veritabanına loglanması sebebiyle, sızdırılan arşivler, veritabanından veri almak için NSA tarafından kullanılan araçların tanımlarını ve bunun yanında SWIFT mesajı formundaki sorguları ve kullanıcı listelerini içeriyor.

Shadow Brokers tarafından sızdırılan arşiv dökümanları içerisinde tanımlayıcılar, muhasabe kayıt bilgileri ve yönetici hesap verileri bulunur.

Lazarus (Kuzey Kore)

Şubat 2016’da Banladeş Bankası tarafından 1 milyar dolar çalmak için bir girişim olduğu bildirildi. Kötü amaçlı yazılımın kodlarının analiz edilmesiyle, siber güvenlik uzmanları daha önce başka saldırılarda kullanılmış olan bazı kod parçaları belirledi. Kodların benzerliğini ve bulaştığı bilgisayarlarda sistem yerleşimindeki benzerlikleri baz alan uzmanlar, saldırıları Lazarus grubu ile ilişkilendirdi.

Şubat 2017 gibi erken bir sürede, Polonya’daki birkaç bankanın güvenliğinin ihlal edildiği bildirildi. Yapılan soruşturmayla, bankacılık sistemlerinin nasıl bozulduğunu ve kötü amaçlı yazılımın nasıl kullanıldığını, ayrıca hedeflenen diğer bazı bölgelerin ve web kaynaklanını belirlendiğini ortaya çıkarıldı. Kötü amaçlı kodların analiz edilmesi neticesinde, uzmanlar yine saldırıları Lazarus grubuyla ilişkilendirdiler.

The Lazarus grubu çeşitli ülkelerde merkez bankaları ve en büyük uluslararası bankaları hedef alıyorlar. Ancak Bangladeş’te gerçekleşen olay dikkate alındığında, saldırganlar burada para aramıyordu.

Kaspersky Lab, Lazarus grubunun karıştığı bir olaya verilen tepki hakkında bir rapor yayınladı. Tepki operasyonları sırasında, SWIFT ile ilgilenen araçlar tespit edildi. Araçların öncelikli amaçlarından biri işlemler hakkında bilgiler toplamaktı;  Alıcı ve Gönderici, Hesap ve  Bilanço numaraları ve bazı diğer bilgiler.

Ayrıca, bu grubun faaliyetlerinin analizinde aylar boyunca birkaç banka şebekesine eriştiği ancak hiçbiri hırsızlığa maruz kalmamıştı.

Black Energy

BlackEnergy grubu her zaman, bankalar da dahil saldırdıkları tüm hedeflerinin performanslarını aksatmaya odaklanmıştır. Örneğin, bu yılın başından beri Ukrayna, bankalardaki bilgiyi yoketmeye yönelik iki girişim tecrübe etti.

2016’nın sonlarında, Ukrayna’daki finansal kuruluşları hedef alan saldırılar tespit edildi. Python ile kodlanmış TeleBot isimli bir backdoor, RUST’da bulunan bir indirme kodu sayesinde hedef bilgisayarlara yüklendi. 2017 Ocak-Şubat döneminde, bu suç örgütü, Ukrayna’daki büyük bir BT entegratörünün ağına sızmayı başardı. Sonuç olarak suçlular dört Ukrayna bankasına erişim sağlayarak, bu bankalara TeleBot benzeri ancak RUST ile kodlanmış bir Trojan yüklediler.

Erişim sağladıktan sonra, kendi kodladıkları bir RAT ve Telegram backdoor yükleyeceklerdi.  Daha sonra ağdaki değer bilgisayarlara erişmek için yönetici giriş bilgilerini ve şifreyi almak için Mimikatz kullanacaklardı. Etki alanı denetleyicisi için yönetici kimlik bilgilerini elde ettikten sonra, bankacılık ağındaki bilgisayarlar ve sunucularda bulunan dosyaları şifrelemek için fidye yazılımı çalıştıracaklardı. Bu fidye yazılımı Win32/Filecoder.NKH olarak belirlendi ve etkilediği dosyalara .xcrypted uzantısı ekleyip bu dosyaları RSA-1024 ve AES algoritmalarını kullanarak şifreliyor. Tüm dosyaları C:\Windows dizininden ayrı bir konuma şifereler. Şifreleme tamamlandıktan sora bu yazılım içeriğinde “Lütfen bize ulaşın: [email protected]” yazılı readme.txt isimli bir dosya oluşturur.

27 Haziran 2017’de dünya NotPetya fidye yazılımının kullanılması ile gerçekleştirilen büyük bir saldırıya şahit oldu.Bu saldırı, Ukraynalı bir geliştiriciye ait hesap ve döküman yönetim yazılımı olan M.E.Doc.’u kullanan şirketleri hedef aldı.

Saldırganlar M.E.Doc.’un kaynak kodlarına  ve güncelleme sunucusuna eriştiler, böylece kendi kodlarını aşıladıkları güncellemeleri dağıttılar. NotPetya bulaştıktan sonra, dosyalar şifrelendi ve trojan kendini kurumsal ağ üzerinde kopyaladı. Ağ üzerinde kendini dağıtma işlemini Eternalblue benzeri exploitin kullanarak ve bir uzaktan kontrol sağlayıcı aracı olan PsExec ile yaptılar.  

Devlet destekli ve finansal olarak hareket eden hackerlar, bir kurumsal ağ üzerinde tam kontrolü sağlamak için, önceki raporda belirttiğimiz gibi basit bir senaryo izlemesi yeterlidir. Bunu birkaç adımda belirtmek gerekirse

1.            Ağ üzerinde bulunan herhangi bir bilgisayara erişim sağlamak.

2.            İlk bulaşılan bilgisayardaki giriş bilgileri ve şifreleri almak.

3.            Ele geçirilen bu giriş ve şifre bilgileriyle komşu bilgisayarlara bağlanmak ve domain yönetici şifresini bulmak için tekrar bu bilgisayarlardaki şifreleri taramak.

NotPetya saldırısında, hackerlar sadece basit bir saldırı modeli kodladılar, bu şekilde sadece MEDoc kullanan şirketlere başarıyla saldırmakla kalmayıp, aynı ağda bulunan tüm bilgisayarlara da bulaşarak aynı başarıya ulaştı.  Gelecekte, basit hazır yapım araçların yanısıra betik yazılımlar şeklindeki siber saldırıların, kurumsal domainler üzerinde otomatik olarak kontrolü ele geçirmek kullanılacağı gerçeğine hazır olmalıyız. Eğer bazı araçlar umuma açılırsa veya hackerlar tarafından satışa çıkarılırsa, bu kurumsal sektörde yapılan saldırıların artışında bir çığ etkisine neden olabilir. Öncelikle ,ransomware, gizli bilgilerin çalınması ve ifşa edilmemesi için fidye istenmesi, para hırsızlığı, maddi beklentisi olmayan hackerlar tarafından halkın maruz kaldığı durumları içeren daha fazla olay bekliyoruz.

Sayfa - 16 - diyagram - Financial Motivation

Maddi Çıkarları için Hareket Eden Hackerlar

Beklendiği gibi bu tip hackerlar dünya çapında finans kurumlarına saldırma konusunda daha aktif oldular. Phishing (Kimlik Avı) emailleri hedef bölgeden bağımsız olarak bankacılık ağlarına nüfüz etmek için kullanılan temel hack yöntemi olmaya devam ediyor.

Saldırganlar, bazı bankaların e-posta kimlik avına karşı koruma sağlamak için gerçekten işe yarar güvenlik araçları kullandıklarının farkındalar. Ancak banka çalışanları bazı durumlarda hala iş yerlerinde, kurumsal güvenlik araçları tarafından korunmayan kişisel e-postalarını kontrol ediyorlar. İşte bu sebeple, bazı bankalara saldırmak için, hackerlar, banka çalışanlarının kişisel e- posta adreslerini,  onlara çalışma saatleri içerisinde zararlı yazılım eklentileri içeren e-postalar göndermek için ele geçirdi.

Kimlik Avı e-postalarında zararlı eklentiler oluşturmak için kullanılan en yaygın araçlar, Microsoft Word Intruder (MWI) by Objekt ve OffensiveWaree Multi Exploit Builder (OMEB)’dir.

The MoneyTaker grubu Kuzey Amerika’daki küçük bankaları odaklandı ki bu bankalardan birini iki defa soydu. Kuzey Amerika’nın yanı sıra Rusya dahil pek çok bölgeye de aktif olarak saldırılar düzenledi. Şunu da belirtmek gerekir ki MoneyTaker grubunun bazı banka saldırıları (Carbanak, FIN7 Navigator, Teleport Crew, Digital Plagiarist olarak bilinen) Anunak ile ilişkilendirildi ancak biz Anunak grubunun üyeleriyle yakın ilişkide olan ayrı bir grup olduğunu düşünüyoruz.

The Cobalt grubu, çeşitli bölgeleri deneyerek gelişigüzel olarak finansal şirketlere saldırdı. Farklı zamanlarda BDT ülkelerine odaklandılar, daha sonra net bir odanlanma olmaksızın küresel saldırıya geçtiler. Mağdur bankalar ve potansiyel bir hedef haline gelenlerle çalışırken, bu finansal kurumların çoğunlukla SWIFT ve ATM’lerin güvenliğine odaklanmayı tercih ettiklerini görüyüoruz, zira bu hedeflere yönelik başarılı saldırılar medya tarafından sıklıkla dile getiriliyor. Ancak, şu anda saldırganların bankacılık sistemlerinin daha farklı alanlarıyla da ilgilendikleri görülüyor. ATM ve SWIFT olaylarına ek olarak, kart işleme sistemlerine, ödeme ağ geçitleri ve terminallerine, alım satım terminallerine yönelik saldırılar tespit ettik. Çevrimiçi bankacılık, saldırganların ilgisi çeken tek sistem gibi görünüyor; bununla birlikte geçmişte diğer finansal çıkarları için hareket eden gruplar tarafından sıkça ve başarılı bir saldırıya maruz kalıp soyulmuştu.

Script Kullanarak Dosyasız Saldırılar.

Zararlı kodlar kullanılarak yapılan Dosyasız saldırılar yeni ve şuan için en popüler saldırı yöntemi. Hackerlar mümkün olduğunca fark edilmemeye çalışıyor, ve bu nedenle yalnızca RAM üzerinde var olan ve yeniden başlatma sonrası yok olan ‘bedensiz’ zararlı yazılım kullanıyorlar. Sistemde kalıcılığı sağlamak ve bazı saldırı aşamalarını otomatikleştirilmek için PowerShell, VBS , Php betiklerinden faydalanılıyor.

Dosyasız olmanın saldırganlara sağladığı bazı avantajlar:

•             Standart antivirüs yazılımlarıyla farkedilmeleri kolay değildir.

•             Disk üzerinde dosya barındırmazlar, zararlı aktivitelerine dair daha az iz bırakırlar, bu sebeple gelecekteki suç araştırmalarını ciddi bir şekilde karmaşıklaştırırlar. Dosyalar olmadan özelliklerini göremez veya kötü amaçlı yazılımın sisteme ne zaman girdiğini, nasıl etkinleştirildiğini, sahip olduğu işlevleri vs. anlayamazsınız.

Scriptlerde bir takım avantajlar sağlar:

•             Kötü amaçlı scriptler, antivirüs araçları tarafından neredeyse farkedilemez durumdadır. Bir binary dosyanın imzasını kodlamaya kıyasla, sahte bir etkinleştirme olmadan  scriptlerin imzasını kodlamak, çok daha zordur.

•             Scriptlerin değiştirilip güncellenmesi çok kolaydır ki bu da saldırganların işini oldukça kolaylaştırır.

•             Devamlılığı sağlamak kolaydır. Scriptler genelde loglarda saklanır veya Window yönetim araçları (WMI), Group Policy Objects (GPO) veya Zamanlanmış görevler vasıtasıyla etkinleştirilir. Bu tür scriptler çok basittir, ve birincil görevleri genellikle harici bir kaynaktan ana yazılımı yüklemek ve etkinleştirmektir.

Bir banka hırsızlığını içeren bir durum düşünün. Saldırı sırasında bir bilgisayara , yasal bir bulut depolama servisinden bir dosya yükleyip çalıştıran bir zamanlanmış görev yerleştiriliyor. Bu görevi doğru tepki olmadan algılamak kolay değildir, ki bu nedenle dokuz ay içerisinde bir bankanın iki kez soyulduğu bir duruma tanık olduk

Hedef olarak ATM’le

Temmuz 2016’da, hackerlar Bank of Taiwan’a ait ATM’lere başarılı bir dizi saldırı düzenlediler.  Suçluların 2.18 milyon dolar çaldığı saldırılan birkaç ilde gerçekleştirildi. Olayda parayı çeken şüpheliler yakalandı ancak gerçekte saldırının arkasında kim olduğu asla öğrenilemedi.

Aralık 2016’da, Group-IB’den araştırmacılar, Bank of Taiwan’a saldırmak için kullanılan zararlı yazılımı buldular. Daha önce Cobalt grubu tarafından geliştirilen ve kullanılan ATMSpitter isimli yazılama çok benziyordu. Cobalt grubu dünya genelinde ATMlere yönelik saldırıların çoğunluğundan sorumlu olan gruptur. Bu grubun ATMlere saldırmak için kullandıkları strateji ve araçlar hakkında ayrıntılı açıklama ayrı bir rapor düzenlenmiştir. https://www.group-ib.com/cobalt.html  

Avrupa bankalarına standard MSXFS.dll kütüphanesi ile oluşturulmuş ATMSpitter uygulaması ile saldırı yapıldı. Tayvan’da is suçlular standart CSCWNG.dll kütüphanesini kullanmıştı. İlerleyen araştırmalar neticesinde, saldırının Cobalt grubu tarafından gerçekleştirildiği tamamen doğrulandı. O tarihlerde grup ağırlıklı olarak ATM’lerden nakit vermeyi başlatan ATM kontrol ağı segmentleriyle ilgileniyorlardı. Kısa bir süre sonra da bankalardaki diğer hedeflere yöneldiler.

Her iki kötü amaçlı program da temelde ayrı akışlar oluşturmadan sırayla yürütülen ana işleve sahiptir. Fonksiyonlar sırayla finansal kütüphanelerden çağrılır ve nakit para dağıtmak için komut verilir. İki uygulama da bazı ortak öğeleri içerir.

•             Kötü niyetli programların hedefi olan ATM’lerin çoğunluğu gelişmiş koruma sistemleri ile donatılmıştır, oturum şifreleri ve diğer suçlular tarafından ters mühendisliği zorlaştıran ticari koruyucular, logların silinmesi ve varlıklarını gizlemek için geçici olarak ağdan ayrılması, alternatif NFTS akışlarına kayıt yapmak, servis dosyaları ve logların şifrelenmesi gibi. ATMSpitter sürümlerinin hiçbiri bu özelliklerden hiçbirine sahip değildi.

•             Her iki uygulama da sadece bir koruma tekniği kullanıyordu: çalışma ayının doğrulanması. Eğer geçerli tarih Temmuz 2016 (Tayvan) veya Eylül 2016 (Avrupa) ile çakışmıyorsa, program özel bir hata mesajı görüntülüyordu. Cihaza bağlanmak imkansız gibi görünüyordu.

Sayfa 18 -  Tablo 1. Avrupa ve Tayvan’da kullanılan zararlı programların karşılaştırılması

Hata mesajı:

Avrupa: WFSOpen failed with error: WFS_ERR_INTERNAL_ERROR

Tayvan: CsCngOpen/CscCdmOpen failed with error: System Failure

Bu nedenle, gösterilen hata iletisi, yazılımın çalışma anında başarısız olmasının gerçek nedenini göstermiyordu, ve sadece yazılımın yazarı bunun farkına varabilirdi.

Her iki sürüm de, nakit para çekme sonuçlarıyla şifrelenmemiş bir txt oluşturan, özdeş kod parçaları içeriyordu. (Avrupa’da disp.txt ve Tayvan’da displog.txt) -

Her iki ATMSpitter sürümünde kullanıcı arabirimi yoktur ve komut satırı üzerinden kontrol ediliyordu. Argümanlar, aktarılan değerler olarak gösteriliyordu: hangi ATM kasetinden kaç tane banknot dağıtılmalı. Eğer yanlış sayıda argüman girilirse ATMSpitter bir hata mesajı ve gerekli olan sözdizimine dair bir mesaj görüntüyordu.

Aynı zamanda, her sürüm iki sürüm, kaset numarası ve banknot miktarı için benzer parametreler kullanıyordu.

Hedef olarak Ödeme Ağ Geçitleri

Ödeme Ağgeçitlerine saldırı nadir de olsa hala her yıl gerçekleşiyor. Anunak grubu, bu tip saldırıları ilk gerçekleştiren gruptu. Bunu Cobalt grubu ve bağımsız hackerlar  takip etti. Şimdiye dek, ancak Rusya’da gerçekleşin bu tip saldırıların farkındayız. Bir kez Rusya’da test edilen dolandırıcı planları ve saldırılar, daha sonra diğer ülkelerde uygulanmak üzere “ihraç edildi”. Sadece bankalar değil aynı zamanda ödeme terminallerini kontrol eden şirketlerde hedef haline geliyor.

Saldırı stratejileri yalnızca son aşamada farklılık gösterir:

•             Bankanın ağına uzaktan erişim sağlandıktan sonra, saldırganlar ödeme ağ geçidini aramaya başlarlar.

•             Alım-satım işlemlerini gerçekleştirmede kullanılan mesaj aktarımının standart biçimini anlamak için, ağ geçitlerinde komut dosyaları ve log dosyalarını arar ve sonra hileli mesajlar oluştururlar.

•             Ödeme ağ geçitlerine bağlanmak için yerel sunucuda SOCKS proxy çalıştırırlar veya diğer uzaktan erişim imkanlarını kullanırlar.

•             Yerel ağda komut dosyaları kodlayıp çalıştırırlar, bu scriptlerle saldırganların kartlarına ve mobil telefon hesaplarına aktarılmak üzere otomatik olarak binlerce küçük tutarlı alım-satım işlemi oluştururlar.

•             Başka bir script mobil telefon hesaplarından banka hesaplarına para transferi yapar, bunu standart para aklama prosedürleri takip eder

Nakit çekme bu prosedürün en zorlu aşamasıdır. Ama ATM saldırılarından farklı olarak, bir saldırının sebep  olduğu kayıp miktarı 1-4 milyon dolardan fazladır.

Bu planın bir avantajı vardır. Gün içerisinde ağ geçidileri üzerinden çok sayıda küçük alım-satım işlemi gerçekleşmektedir, bu sebeple hileli alım-satım işlemleri toplam akış içerisinde farkedilmez olur. Bu alıcıların hesaplarını belirlemeyi zorlaştırır, zamanında nakit çekmi işlemini bloke etmeyi imkansızlaştırır.

Hedef olarak SWIFT ve AWS CBR

SWIFT, finansal ve finansal olmayan kurumların finansal işlemlerle ilgili bilgileri “finansal mesajlar” ile gönderip almasını sağlayan bir sistemdir. Rusya muadili ise AWS CBRC’dir. Her iki sistemin altında yatan mantık, gelen veya giden iletiler göndermektir.  Saldırganlar para çalmak için yalnızca bu mesajları manipüle etmerenini yeterli olduğunu fark ettiler. Sonrasında bankalara saldırılar gerçekleştirdiler.

•             Mayıs 2016, Hong Kong’daki bir bankaya saldırı.

•             Haziran 2016, Ukrayna’daki SWIFT iş istasyonuna saldırı. 10 milyon dolar çalındı. Saldırı medyada duyuldu.

•             Kasım 2016, AWS CBR’ye saldırı.

•             Aralık 2016, Türkiye’deki SWIFT iş istasyonuna saldırı. Saldırı medyada yer aldı. 4 milyon dolar çalındı.

•             Ocak 2017, Latin Amerika’da bir bankaya saldırı.

Saldırı Planı Basittir:

•             Hedef bir bankada SWIFT veya AWS CBR iş istasyonuna sahip bir sunucu tespit edilmesi

•             Giden mesajların takip edilmesi

•             Giden mesajların ödeme detaylarının değiştirilmesi

•             İşlemler gelen mesajlarla doğrulanır, bu sebeple sistem operatörü tarafından bildirilen orjinal mesajlar hileli mesajlarla değiştirmek üzere yakalanıp durdurulur.

 

Böyle bir planı manuel olarak yürütmek neredeyse imkansız olduğundan işlemleri otomatik olarak gerçekleştirmek için özel bir yazılım kullanılmalıdır.

Hong Kong ve Rusya’daki bankalara saldırmak için kullanılan bazı araçları örnek olarak görelim.

AWS CBRC araçları aşağıda yazıldığı  gibidir.

Ana modül yapılandırma dosyasında belirtilen parametreler diğer modülleri çalıştırmasını sağlıyor

AutoReplacer (XmlBin) giden finansal mesajlardaki ödeme bilgilerini değiştiriyor.

Sonuçlar, XML dosyasına kaydedilir. toplanan veri alanları, saldırganının yakalanılmaması için değiştirilmemiştir.

Gizleme (EdBin) onay mesajlarını kontrol eder. PayeePersonalAcc i  denetlemesi icin çalışır ve XML Sonuç dosyasındaki HackAcc ile karşılaştırır. Değerler eşleşirse, gizli modül dosyası  orijinal PayeePersonalAcc i geri yükler ve işlem tamamlanır.

• Giden İleti Dosyalari D : \ WIN32APP \ SWIFT \ ALLIANCE \ Server \ Batch \ Outbound \ HK \ HKAcksBak \

• Dosya 102400 sayısı üzeriyse, C :  \\ Temp \\ Msg \\ log.txt dosyasına, büyük dosya:> 102400 \ r \ n" ekler; ve alt bağlantıları OTTC605384, OTTC605385, OTTC601386, OTTC601387, OTTC605381, OTTC605382 aramak için okuma modunu acar.

• OTTC, "Pasif Telgraf Nakil Komisyonları ve Ücretleri" anlamına gelir.

• Dosya bu komutları içeriyorsa, C: \ Temp \\ Msg \\ günlüğünde 'Bulunan dosya ile komut verilir, alt çizgi> \ r \ n' satırı algılar. txt dosyasını kopyalanır  ve dosyayı C: \\ Temp \\ Msg \\ klasörüne aktarır.

• 2,5 saniye boyunca bekleme muduna geçer ve sonra o alt grubun arama sürecini tekrarlar.

Kart işleme

Bu yöntem, suçluların kolaylıkla güvenli bir şekilde büyük miktarda para transferlerini gerçekleştirmesine sebep olduğu için, korsanların kısıtlamalı operasyonları bu yıl ana hedef haline geldi.

Rusya'da test edilmiş ve devlet dışındaki bütün büyük sivil suç örgütlerine birkaç kez eski Sovyetler Birliği ülkeleri ABD'de olmak üzere yer verilmiştir. Kart işlemesine erişim, bir bankadaki diğer finansal sistemle herhangi bir farkı bulunmamaktadır

İşlem çok basit:

• Bir bankacılık ağını kontrol ettikten sonra, saldırganlar kart sistemine bağlana biliyor mu kontrol eder.

• Bilgisayarı açan bankacılık sisteminde yasal olarak mevcut olan kartlar kontrol edilir. Genellikle saldırı başına yaklaşık 30 kart kullanılır.

• Paraları ATMler den çeken suçlular - Daha önce harekete geçerler,  kartlarla yurt dışına seyahat ettikleri görüldü ve büyük operasyonlar  için biraz beklediler.

• Kart işleme sistemine girdikten sonra, saldırganlar kaldırılan nakit çekme gibi kartları sınırlarlar.

• Bu kartları kullanarak ATMler den direk para çektiler. Bir saldırı sonucu ortalama kayıp  yaklaşık 500.000 doları buldu.

Bu yöntemin kullanılmasına yol açan pek çok avantaj vardır:

• Kart sistemleri SWIFT  gibi değildir, bu nedenle saldırganlar algılanmazken sınırları kolayca değiştirirler. Bununla birlikte, saldırı, Lazarus veya MoneyTaker tarafından SWIFT iş istasyonlarına yönelik saldırılar için kullanılan özel programlar olmadan gerçekleştirilebilir.

bir defalık toplu miktar temiz para

• Para kazanmak için banka kartları edinmek veya satın almak yeterlidir.

• Başka bir ülkede para toplama, bankanın güvenlik servisi, hemen yerel polise ulaşamayacağı için, gözetleme kameralarından video kayıtları alamadığı ve failleri tutuklayamadığı için bilgisayar korsanlarının kurtarılmasını sağladı. Fakat, saldırı bankasının bulunduğu ülkede mantık saldırısı ile hırsızlık meydana geldiğinde, para hırsızları genellikle tutuklanır. .

Saldırı yollarını gizlediler

Bankalara yapılan başarılı saldırılardan sonra, saldırganlar soruşturmasını gizlemek ve gelecekteki saldırılarda olabildiğince uzun süre fark edilmemek için şirket ağındaki varlık izlerini gizlemeye çalıştılar. Hırsızlık izlerini kapsamak için SDelete, MBRKiller yani kendi kendine şifreli araç uygulamaları gibi araçları kullanarak verileri kaldıra bildiler .

Saldırı parçalarını gizlemek için fidye yazılımının kullanılması sadece bir meseleydi.

2017 yılın başında, bir banka hırsızlığının ardından izleri gizlemek için kullanılan fidye yazılımının ilk vakalarını tespit ettik. Bir bankayı soymak için bir bankaya saldırırken, bilgisayar korsanları alan adlarını kontrol altına aldı. Soygundan sonra, PetyaWrap, Petya - PetrWrap değiştirilmiş bir versiyonu, ağdaki tüm bilgisayarlarda alan adı yöneticisi gibi çalıştı.

PetrWrap C'de kodlanmış ve MS Visual studyo da derlenmiştir. Hedef bilgisayarları bulaştırmak için kullanılan Petya rantomware üçüncü sürümü,  PetrWrap kendi şifreleme içerir ve operasyon sırasında Petya kodunu değiştirir ve suçluların enfeksiyon sürecinde Petya kullanımını gizlemelerine sağlar. .

şifreleme ile ilgili olarak, şifrelemenin talimatları  için e-postayla [email protected] yoluyla cezaevine başvurusunu sağlayan bir mesaj gönderildi. Olayın yalnızca verileri geri yüklemeyle mümkün kılan MFT'nin (NTFS tablosu şifrelemeleri içerdiğini belirti.

Bununla birlikte, bankanın ağındaki bilgisayarların çoğu devre dışı bırakıldı; böylelikle olayı bir ölçüde kapatmaya çalıştılar.

Rusya da Bilgisayar Trojenleri

2012 yılının ortalarında başlayan, Rusya'daki kişisel bilgisayarları hedef alan banka trojanlarını belirte biliriz. Geçtiğimiz yıl, Rusya'daki kullanıcıları hedef alan yeni bazı banka trojanlar bulundu.

2012'den bu yana, banka botnet sahipleri, istismarları kullanmaktan ve dağıtım için spam kullanmaktan uzaklaşmaya başlamışlardır. Bir önceki dönemde, Rusya'da banka truva atı sayesinde en önemli yöntem olduğunu belirtmek isteriz.

Şimdi durumun tekrar değiştiğini ve suçluların Driveby yöntemlerini tekrar kullanmaya başladığını görebiliriz - yani. meşru sitelere saldırmak ve kullanıcıları istismarlarla sunuculara yönlendirmek popüler bir hale geldi.

Şirketler Üzerindeki Saldırılar

Para çalmak amacıyla Rusya da bazı  şirketlere yönelik saldırı sayısı bir önceki döneme kıyaslarsak  neredeyse yarıya düştü.

Bu yıl, saldırganlar yalnızca 10 milyon dolar çalmayı başardı, geçen yıl bu miktar 16 milyon dolardı. Rakamlara göre  sadece100de35 oranında azalma görüldü, çünkü ortalama zarar miktarı 200 bin dolara yükseldi.

Bu da saldırganların kurbanlarını daha dikkatli seçmeye başlamış olduğunu gösteriyor.

Ranbyus, RTM ve Buhtrap2, şirketlerinden para çalmak için sadece 3 tane suç grubu gözlemlendi. Buhtrap botu kullanıldığını ve şu anda en aktif yöntem  olduğunu belirtmek isteriz.

finansal sektörler dahil olmak üzere meşru sitelerde  saldırıya uğradı. 5 yıl önce Carberp'in saldırıya uğramış finansal sitelerle  aynı olduğunu belirtmek gerekir.

Rusya'da banka botnet hedefli işletmelerin sahipleri tamamen tarayıcı tabanlı saldırılardan uzaklaştı ve 1C muhasebe sistemleri aracılığıyla uzaktan kumanda veya otomatik aktarmalar kullanmaya başladı.

Aynı zamanda da 1C yoluyla otomatik yükleme için bir modül kullanmaya başladılar, bunun adi Rus muhasebe yazılımı.

Kullanıcı Saldırıları

kişisel bilgisayarları hedef alan banka trojanler sayesinde geçtiğimiz yıl 106 milyon dolar, bu yıl 262 milyon dolar çalmayı başardılar.

Ocak ayında Proxy sayesinde, Rusya bankalarındaki müşterilere yönelik saldırıların yanı sıra Kazakistan bankalarındaki müşterilere saldırmaya başladılar. Nisan 2017'de Rusya'daki saldırılar tamamen durduruldu

Küresel sahnede yapılanlar

küresel devlet üzerindeki banka trojan atlarının önemli değişiklikler içerdiğini söyleye biliriz.

Rusça konuşan yazılımcılar tarafından geliştirilen Corebot ve Vawtrak diğer adıyla Neverquest dünya çapındaki firmalara yapılan küresel saldırılar nedeniyle havuzdan  ayrıldılar. Vawtrak yazilimci tutuklandı ve bu faaliyetler durduruldu.

Fakat bu saldırılar yeni Truva atlarıyla devam etti: Trickbot, Sfenks 2, TinyNuke, Portal, Gnaeus ve Plan2016. Dridex, Qadars, Gootkit, Panda, Jüpiter, GozNym, Quakbot, Ramnit, Retefe, Atmos, Tinba, Kins, Citadel, Zeus, Sphinx, Shifu gibi yeni Truva atlarıyla paralel olarak bazı yaşlı insanlar hedef alindi

Fon hırsızlığı yapmak için tasarlanmış 22 kötü niyetli programdan 20'sinde yani 100de 91 oranında ruslar tarafından yaratıldı ve yönetildi.

Bazı saldırganlar internet trafik bilgilerini yakalamak ve değiştirmek için sunucularına trafik yönlendirme enjekte etmek için kullanılan bu tip trojanlar Trickbot, Gnaeus, Portal, Quakbot, Dridex ve Retefe dahildir. Çok eski bir yöntem ama bir süredir saldırganlar tarafından kullanılmıyor

Rusya dışında, Spam küresel olarak diğer bölgelerdeki en önemli dağıtım yöntemi olmaya devam etmektedir, GozNym, Gootkit, Vawtrak ve Ramnit'in hepsi Driveby yöntemleri kullanılarak dağıtıldı, geriye kalanı e-postayla yaygınlaştırdılar

TinyNuke, yeni bir trendin en canlı örneklerinden biridir: kötü niyetli kod geliştiricileri, programlarında çevrimci olarak kendi inisiyatifleriyle kaynak kodları yayımlamaya  başlamışlardı . TinyNuke yazarı, bu banka Truva ve işletim sisteminin kaynak kodunu kamuoyuyla paylaştı.

Avustralya 11, Avusturya 4, Belçika 1, Bulgaristan 1, Brezilya 2, İngiltere 14, Almanya 12, İspanya 7, İtalya 8, Kazakistan 1, Kanada 14, Kolombiya 1, Holland 5, Yeni Zelanda 3, Japonya 3, birleşik arap emirlikleri 2, Portekiz 1, Polonya 6, Rusya 2, Romanya 1, ABD 15, Türkiye 1, Ukrayna 1, Fransa 7,İsviçre 2, İsveç 1,

Bilgisayar korsanlarının hackerlar tarafından CCS7 (SS7) saldırısı yoluyla bir SMS kodunu yakalayarak iki faktörlü kimlik doğrulama ile Almanya'da yasadışı gaspçılık yapıldıgı  tespit edildi.

Android Truva atları

Android bankacılık da beklendigi gibi  trojan atlarının pazarı, en dinamik ve en yüksek büyüme oranına sahip olduğu kanıtlandı. Android bankacılığı nedeniyle truva atı kayıpları  rusya da bu sekilde.

100de 136 oranında Rusya dayerini aldı ve Truva atlarının bilgisayarlarımıza yaptığı zararlar 100de 30 oranını aştı.

İşletmelere yönelik saldırıları hala gözlemlenemiyor, ancak saldırganların yakın gelecekte bunu gerçekleşmesini bekliyoruz.

Saldırganlar bir saldırı sebebiyle ortalama kayıp miktarını artırmayı başardı ve hepsi de yeni grupların banka kart verilerini ele geçirmeye odaklandıklarıni söyleye biliriz.

Metin mesajları yine de en önemli dağıtım kanalı olmaya devam ediyor. Ve bu şekilde kullanılır

1. Kötü amaçlı bir bağlantıyı elde etmek.

2. Mesaj panolarını taramak ve gönderimini sağlamak

Belirlenmiş  telefon numaralarına metin mesajları  gönderilir  kötü amaçlı bağlantılar bu şekilde  kurulur,

3. Android sistemine  kötü amaçlı yazılım göndermek.

telefonunuzda bulunan tüm iletişim numaraları kötü amaçlı bir bağlantı olduğunu biliyor musunuz, virüs bulaşan uygulamaların gayri resmi depolar içindeki dağılmaları bulunmaktadır.

Kural olarak, yöntem genellikle uzmanlaşmış kişiler arasında forumlarda bulunan daha fazla kişilerin  katılımlarıyla  gerçekleştiriliyor

Arama sistemlerinde içeriğe dayalı reklamalar daha az popüler ancak yaygın olarak kullanılan en etkin hedeflenmiş yöntemdir.

Hırsızlık vakalarına yönelik Altı tane yöntem vardır.

1/ mesaj yoluyla banka bilgilerini çalmak

2/ bir kartan diger karta para transferi

3/ çalıntı parayı internet üzeri kullanmak yada aktarmak

4/ Mobil bankacılık üzerinden erişim sağlanması

5/ Sahte mobil bankacilik işlemleri

6/ apple üzeri app satin almak ve ödemek.

Özelikle sms bankasıyla ilgili olarak icerikten bahsetmek gerekir. Rusya'daki bilişim kuvvetleri SMS bankası aracılığıyla bir hırsızlık şemasını kullanan en aktif  organizatörleri  tutukladı ve Trojan kullanan iki grup ve Truva kullanan bir grup belirlendi .

Rusya hala SMS banka hırsızlığını takip ediyor.

Her ay Android için yeni bir banka trojeninin  ortaya çıkmasına dikkat çekiliyor.

Limebot ve daha sonra yeni sürüm Lipton,  UfoBot, Rello, Loke, red  alarm, Vasya Bot, ExoBot ve sonrasında  yeni sürüm olan ExoBot 2.0), Anında VBV, Maza-in ve Catelites Android Bot. Bunların hepsi Android banka truva atları, Rusya’da  bilgisayar korsanları tarafından hazırlandı.

Geçtiğimiz yıl, Catelite Android Bot adlı bir Trojan yazarı, Google Play'den 2,249 banka uygulaması için evrensel bir sahte websitesi  yaptığını açıkladı. Yazara göre, 'banka' ve para' anahtar kelimelerine dayanan yazılım  kullanılarak Google Play'den 2249 başvuru alındı.

kurbanın telefonunu bu programlardan birisi arar ve evrensel bir pencere görüntü oluşturulur.  Böylelikle bilgiler Google Play'den alınmaya çalışılır.

Maza-in adlı bir kişi bir bankaya Trojan sızdırması  bu yıl önemli bir olay olmuştu. Bu kötü amaçlı yazılım programının kurulmasından  hemen sonra sistemde küçük değişiklikler ortaya çıkmaya başladı.

Android Truva atlarını kullanan hırsızlık, kapasite ve uygulamada muazzam bir artış görüldü..

Saldırganlar otomatik hırsızlığa karşı iki senaryo kullanır:

Trojan, sisteme girdikten sonra bir banka hesabının durumunu kontrol eder ve kullanıcıyı belirler ve para transferlerini SMS kodlarını otomatik olarak yapmaya calisir. Bugüne kadar otomatik hırsızlığı yalnızca sms bankalarında gördük

"Tek tıkla" saldırı yapmak, Trojan dengeleri tanır ve banka karti verilerini bir ön hesapta toplayarak çevrimiçi banka hesaplari için giriş bilgileri ve şifreyi toplar bunun sonrasında  bilgilerin  gerçekliğini  kontrol eder. Dolayısıyla saldırganlar, aktarımın yapılacağı cihazları seçer işte bu tür yazılımlar  kötü amaçlı yazılımlar olarak adlandırılır.

Apple ödeme / Samsung ödeme

cep ödemeleri, 2017 yılının başında bankalarda yapılmaya başlandı, hacker’lar bu olanlardan hızlı bir şekilde haberdar oldu.

Bu sistemlere yönelik hırsızlık planları şöyledir:

1.Dolandiricilar bir Android cihazına saldırı hazırlaması.

banka kartı veya giriş / şifre bilgileri online bankacılıkta mevcut bakiye hakkında bilgilerin alınmaya çalışılmas

2. Kullanıcının bakiyesi ilgi çekiyorsa hedef noktası haline gele bilir.

Dolandırıcılar mağdurun banka hesabını iPhone'larında bulunan Apple ödeme sayesinde ulaşıma açık olmasına bağlıyor. Bunun için, ilk adımda aldıkları kart verilerine giriş / şifre ve SMS onaylamaları gerektiriyor

Bir truva Android cihazına fiziksel bir kart olmadan alışveriş yaptıra bilirsiniz, bu nedenle Truva bu yolda en büyük anahtardır.

3 apple ödemede  iki tane büytük avantaj bulunmakta.

Kartın fiziksel olarak taşınmasına gerek yoktur ve işlemler için sınır yok. Kullanıcı ödeme işlemi sırasında parmak iziyle  ödemeyi  onaylatırsa, işlem gerçekleştirilir

4. büyük ücret içeren alımlar için

ödeme terminali bir PIN talep ediyor. Bununla birlikte, bazı bankalar  PIN'lerin büyük bütçeli olmayan  alımlar için talep  edilmediği tespit edilmiştir.. Dolandırıcıların yalnızca bazi belirli yerlerde alışveriş yapabilmelerinin nedeni budur.

Android bankası için tespit edilen trojan'lar şöyle:

Truva atları, SMS bankasına saldırı trojan isimleri bu şekildedir.

Agent.SX Fakeinst.FB Opfake.A Flexnet Granzy Cron Agent.BID

Trojan'ın Rusya'daki Web sahteiklerinde kullanım isimleri bu şekildedir.

Limebot Tiny.z Honli Asucub Cron Agent.BID ApiMaps Catelites Android Bot Maza-in Alien-bot Instant VBV Grabber Reich Marcher Easy UfoBot Rello Loki Red Alert Vasya Bot ExoBot Skunk Abrvall Xbot GMbot Spy.agent.SI

Kimlik avı

Grup-IB uzmanları 657.000 etki alanındaki 1,4 milyon benzersiz kimlik avı bağlantısını keşfetti ve analiz etti. Bu bağlantıların 100 de  5'i HTTPS kullanıyordu.

Geleneksel olarak finansal kurumlar dolandırıcıların temel amacıdır. Tüm kimlik avı kaynakları neredeyse 100de 80'i mali (100 de 31), bulut depolaması (100 de 24) posta hizmetler olmak üzere üç kategoriye ayrılıyor.

Kimlik kaynakları diyor ki   saldırıya uğrayan ünlü siteler. Saldırganlar öncelikle Joomla ve WordPress içerik yönetimi kullanan  sistemlerinde  oluşan  zayıf noktaları keşfedip kullanıyor.

Fakat Rusya'da durum biraz farklıdır. Hack saldırısına uğramış  web siteleri mağdurların kaynağı olarak kullanılır. Potansiyel mağdurlar saldırıya uğramış web sitelerini ziyaret ettiğinde, belirli koşullar altında korsan tarafından çalıştırılan sunucularda barındırılan bir kimlik sitesine yönlendirilir yada barındırma hizmetlerini ücretsiz yapar.

Tüm kimlik avı sitelerinin 100 de 60'ı ABD'de, Ukrayna' ikinci sırada (100 de 5), Rusya ve Almanya üçüncü ve dördüncü sırada  (her biri 100 de 3) sorumludur.

Rusya'daki bankalar ve ödeme sistemleri için kimlik avı işlemleri otomatik hale getirilmekte ve gerçek zamanli yapılır ve bu da SMS onaylarını banka fonlarına atlatmasını  sağlıyor . 900'den fazla banka müşterisi her gün Rusya'da mali dolandırıcılık kurbanı haline geliyor.

malware kurbanlarının sayısı üç katı. Ancak kimlik avı siteleri  nedeniyle kaybın miktarı, kötü amaçlı yazılımdan daha yüksek. kimlik avı saldırıları ve kayıplarındaki artışın başlıca nedeni Rusya'da toplam 15 grup, finansal kurumlar için kimlik avı kullanıyor. Hasar miktarı her zaman oldukça ufak olmakla birlikte günlük web sitelerine yönelen kurbanların sayısı binlerce. Ca. Finansal kimlik avı sitesi ziyaretçilerinin 100 de 10-15' verilerini giriyor. Yaklasik 1 seneden daha uzun süre içerisinde saldırganlar 3,9 milyon dolar çalmayı başarmışlar.

Kimlik avı, sahte bir web sitesidir. Örnek ayni facebook sitesine benzer. Siz Mail adresinizi ve şifrenizi girmek isterken. Şifreniz ve Mail adresiniz kimlik avı sitesini oluşturan Hacker’in Mail adresine gönderilir. Bu nedenle buna kimlik avı denilir.

Diğer bölgelerde, birçok çevrim dışı kimlik avına dikkat ediyoruz. Bu verilerin toplanması  bir kimlik avı sitesinde yapılması, yerel olarak depolanması ve daha sonra doğruluğunu kontrol eden bir dolandırıcıya göndermesi bir süre sonra bunları kullanmaya çalışmaya başlanması kimlik avıdır.

Bu dolandırıcılığa  büyük bir ölçekte katılmakta olan bilgisayar korsanları, kimlik avı site operasyonlarının mantığını belirleyen yapılandırılmış dosyalarla ve kullanıma hazır verilerin nereden gönderileceğini kimlik avı web siteleri icin hazır da bulunan Kimlik Avı Paketlerini kullanmakta.

12.000'den fazla benzersiz Kimlik Avı toplandı  ve yapılandırma dosyaları analiz edildi. Davaların büyük bir çoğunluğunda, ele geçirilen veriler bir e-posta adresine gönderilmiştir. Vakaların 100 de  80'inde böyle olmuştur.

Phishing'ler, Gmail ve buna benzer  tehlikeye atılmış verileri toplamak için kullanılır.

Rusça konuşan siber suçlular, kötü amaçlı yazılım, spam yazılımlarını. Yaygınlaştırmak için ortak programlar oluşturur ve kullanıyor. Ortak çaba sarf ediyorlar, düzenleyicileri çok daha geniş bir ölçüde çalışıyor. Ve ortaklarına ceza evinde ufak ödemeler yapıyorlar.

Phishing'i içeren durumlar da buna benzer.

Geçen yılın sonuna gelindiğinde, suçlulardan birisi 26 phishing sitesi oluşturdu ve bunu topluma sızdırdı/ yaygınlaştırdı.

ağ kaynakları, oyun kaynakları e-posta ve kimlik avı web kaynaklarıyla bağlantı yayımladı, bu kimlik avı kaynaklarını kullanılması için , saldırmak isteyen saldırgan herkesin bilgilerine ulaşmak için kimlik avı / sahte siteler hazırladı.

Kendi hazırladıkları yanı kullanabilecekleri bir kimlik avı sitesi oluşturuldu . Toplanan veriler tüm VIP kullanıcılarla paylaşıldı.

VIP kullanıcılar yalnızca diğer kişilerin verilerine değil, aynı zamanda kimlik avı yoluyla toplanan tüm verilerin diğer kullanıcılar tarafından erişime açılmayacağına dair güvence istedi.

Bu nedenle VIP erişimi gerçekleştirildi.. 30 günlük VIP erişimi sadece 3 Amerikan dolarıdır.

Bu şekilde, katılımcılar birkaç gün içinde 90.000'den fazla oturum açma ve erişim sağlanmıştır.

Bu kadar güçlü olan bir çalışmanın, tecrübesi olmayan kişilerin bile basit bir şekilde  saldırılar düzenlemesine izin  tanıyan bir çalışmadır.

POS Truva Atları

Kart mağazalarındaki verileri analiz etmek için en çok tercih edilen trojan dir, kimlik avı, e-ticaret sitelerinin kesilmesiyle , manyetik şeritlerden gelen verilerle elde edilebilecek, kart bilgisi olmayan  sunucuya erişim sağlayan bir yazılımdır.

POS Truva atları bu verilerin en önemli kaynağıdır.

Saldırganlar iki kategoriye ayrılır:

1. geniş bir kitle saldırganları

küçük bir miktar’a  odaklanıyorlar POS Trojan kullanıyorlar

2. Hedef POS terminallerini hedefleyenler

Saldirganlar büyük ağ kuruluşlarına saldırıyor, ağlara  erişebilmek için  çabalıyorlar  ve daha sonra çok sayıda aygıtta enfeksiyon bulaştırmaya çalışıyorlar .

Bankalar raporlarında yeni POS trojan tespit etiklerini belirtiler.

:LockPoS, MajikPOS, FlokiBot, ScanPOS, FastPOS

Bu yeni Truva atları özel çalışmaktadır. RAM işlemini görmek için yazılmış, ve belleği  analiz ederek Banka kart verilerini hem manyetik şeritten hem de çipten geçmesini sağlıyor.

 

Yeni Truva atları yanında, eskileri hala aktif halde kullanılmaya devam ediyor.

Poseidon, AbaddonPOS, Alina, vb. Banka kartları veri toplama araçları olarak oldukça etkili bir yazılım haline geldi.

Saldırganların taktiği genellikle aşağıdaki gibidir:

Ağ tarayıcılarını kullanarak, açık bağlantı noktaları için bir arama gerçekleştiriyorlar, bu şekilde bir cihaza uzaktan kumanda yoluyla erişebilme imkanı sağlıyorlar ve  aralarında RDP ve VNC de bulunmakta.

POS, nakit, ödeme yada buna benzer kelimeler içerisinde kombinasyonlu calisirlar

1. Sahtekarlik doğru yapılırsa işlem işe yarar

kendisine erişen cihazın sahtekarın ilgisini çekip çekmediğini  kontrol eder.

2. Şifre kurtarma araçları Mimikatz, Fgdump, VNCPassView cihazına  yüklenir.

3. Arka kapılar, genelde RAT (Remco,Netwire vb.) Bazı bilgisayarlara  yüklenir

En son  Terminaller Ammyy Yöneticisi , TeamViewer gibi yasal uzaktan bağlantı tesislerine yönelir.

4. Uzaktan erişim sayesinde, bir POS Trojan manuel bir şekilde  yüklenebilir.

Hedefli saldırılarla uğraşan gruplar daha zor bir çalışma sürdürüyor, ancak aynı zamanda ortaya çıkan kayıplar ve kazançları çok daha yüksek.

Temmuz 2017

B & B Tiyatroları Amerika'nın en büyük tiyatro ağına sahip olan ve bu şirketi yöneten kuruma saldırı gerçekleştirdi.

Ekim 2015 de başlayan kart verileri saldırganları, Nisan 2017 yılına kadar süren bir saldırı gerçekleştirdi.

buckle Inc  şirketi  450'den fazla mağaza yönetiyor. Ekim 2016'da saldırıya uğradı ve kart verileri eke geçirildi.

Nisan 2017 yılına kadar saldırganlar saldırıyı düzenledi.

2014'te kmart saldırıya uğradı, saldırılardaki ana hedef POS terminaler oldu.

Mayıs 2017

Sabre Corp Access, birçok otel tarafından kullanılan SynXis santral rezervasyon  sistemi hedef alındı bu saldırıdaki amaç ödeme bilgileri ele geçirmek.

Nisan 2017

Shoney 150'den fazla maza sahibi olan bir şirkettir. Aralık 2016'da saldırıya uğradı bu saldırılar 2017 Martına kadar sürdü.

Mart 2017

POS sağlayıcı, binlerce otellerde  kredi kartı ve bankamatik kartlarıyla işlemler yaptı. Kart verisi, Poseidon adı verilen bir trojan kullanılarak toplandı.

Şubat 2017

Arby, 1.000'in üzerinde mağaza zincirine  sahip olan  bir şirkettir. Kart verileri özel bir kripto edilmiş sistemlerde saklanıyor 

Ekim 2006 dan Ocak 2017'ye kadar saldırganlar burayı da hedef aldı.

Aralık

Holiday Inn de dahil olmak üzere dünya çapında 5.000'den fazla otel sahipleri, Eylül 2016'dan Aralık 2016'ya kadar 1000'den fazla saldırıya uğradı.

Ağustos 2016

InterContinental Hotels Group

Eddie Bauer 350'den fazla mağazanın zinciri ele geçirildi. Tüm dükkanların sistemlerine Trojan kuruldu ve kart verileri Ocak-Temmuz 2016 kadar saldırganların elindeydi.

Ağustos 2016

Oracle MICROS - bir Oracle iş birimi, POS sistemleri satıyor, 330.000'den fazla kullanıcısı bulunmakta ve saldırıya uğradı.

Temmuz 2016

Kimpton otel  62 şık dükkanların  otel zinciri, saldırıya uğradı ve Şubat-Temmuz 2016 yılına kadar  kart verileri saldırganlarin elindeydi.

Kripto Hizmetlerine Saldırı

Kripto para birimleri ilgili hizmetler çok dinamik, karlı bir pazar oluşturmaktadır. Bu tür bir gelişim,. Hackerlarin ilgisini çekmektedir. Ve tabiki bundan yararlanmak isteyecektir.

Fintech başlangıcı ne kadar başarılı olursa, ICO o kadar büyük olur ve saldırganlar  için daha çekici bir hale gelir.

Şifreleme ve blok projelerine yönelik tehditler sayısı Grup-IB-Tehdit İstihbarat sistemi tarafından izlenmekte ve bu durum Bitcoin döviz kuru ile artmaktadır.

Akıllı sözleşmelerdeki kaynak kodu güvenlik açıkları sayesinde başarıyla kullanılmıştır. Uzmanlar hackerlar tarafından erişilebilen kripto edilmiş ticaret platformlarında cüzdan anahtarlarının durumunu gözlemledi.

Kullanıcı veritabanlarına sızdılar ve alan adı kaçırma konusunda çeşitli olaylar tespit edildi. Botnet sahipleri, virüs bulaşmış cihazları, web ve mobil uygulamalar için cüzdan, borsa ve para birimi bağlantılarını izlediler.

Kimlik avı dolandırıcılıklarında ki kayıpların bu yıl 225 milyon dolara yükseldiği hesaplandı.. 30.000'den fazla kişi, her yıl ortalama 7,500 dolar kaybediyor, bunun arkasında siber suçlular bulunmakta.

Rusya Federasyonu'nda çevrimiçi bankacılığın erken aşamalarında Grup-IB tarafından saldırı aktivitesine benzer bir artış gözlemlendi. Bunu açıklamak kolaydır - bilgisayar korsanları her zaman parayı takip eder.

Kaynak Kodlarında buluna Güvenlik Açıkları

Kaynak kodlarında bulunan güvenlik açıkları servis geliştiricileri için bir kabustur.

17 Haziran 2016'da, muhtemelen kripto saldırıları tarihindeki en büyük saldırı oldu - bu kabus DAO adı verilen gelecek vaat eden bir projedeki bir kod hatasından kaynaklandı. Bu 60 milyondan fazla kayba neden oldu.

Hedeflenen saldırılar:

Gizli anahtarlar işlemleri doğrulamak için kullanılır, herhangi bir şifreleme hizmeti için en değerli varlıktır.

Ve bu anahtarları elde etme olasılığı bir bankada kritik sistemin kontrolünü kazanmasını çok farklılık yok ve bazı durumlarda çok daha kolaydır. Buradaki en büyük problem, bankalara saldırmak aynı yöntemleri kullanarak şirketin yerel ağına erişim sağlamak.

 

2 Ağustos 2016 tarihinde üçüncü en popüler Hong Kong cryptocurrency değişimi Bitfinex (dünyanın en popüler cryptocurrency borsalarında arasında üçüncü sirada yer alıyor.  saldırıya uğradığını ve bunun sonucunda yaklaşık 120,000 Bitcoins kaybetti, döviz üzerinden 72 milyon ABD dolarından bahsediliyor.

Değişim müşterilerin hesapları imza teknolojisi ile korunmaktadır

13 Ekim 2016 tarihinde, yaklaşık 1,5 milyon dolar yaklaşık 2.300 Bitcoins Polonyalı cryptocurrency alışverişi Bitcoin adreslerinden birinden birkaç işlemlerle nakledildi.

borsa web sitesinde, bir hacker saldırısı yüzünden bazı fon kaybı yaşadıklarını kabul ettiğinde. 30 Kasım'da 2016 borsa operasyonu devam etti,  fakat 2017 yılında site çevrimdışı oldu  ve değişim yüzünden çalışmalar durduruldu.

16 Temmuz 2017'de, İsrail'de çalışan CoinDash ICO ( Para Fırsatı) prosedürünü başlattı. ICO'dan üç dakika sonra, bilinmeyen hackerlar  CoinDash'e saldırdı ve kendi cüzdan adreslerini i değiştirdiler.

6.000.000 doların üstü hackerlerin cüzdanına transfer edildi.

29 Haziran 2017'de, dünyanın 4. büyük kıtası olan Bithumb, Güney Kore şifreleme alışverişi, saldırıya uğradığını açıkladı.

Onlar kaynağın (tüm müşteri veritabanının yaklaşık 100 de 3  yaklaşık 31.800 olan kullanıcılar bilgilere erişimini sagladi ve  sonra saldırganlar döviz çalışan birinin bilgisayar güvenliğini aşmasına başardı.

Alan adı kaçırma:

İnternetteki en popüler web cüzdanlarından biri olan Blockchain.info'nun 12 Ekim, 2016'daki yönetiminde DNS kaçırma saldırısı ile ilgili uyarıda bulunuldu: DNS verileri değiştirildi: CloudFlare, Tulsa, ABD'den bir barındırma sağlayıcısı ile değiştirildi. Web sitesi ziyaretçileri, her türlü saldırıya maruz kaldıklarıni acikladilar

Haziran, 30, 2017'de bilinmeyen hackerlar  klasik Ether Wallet alan adının - Ethereum Classic (ETC) şifreleme cüzdanının kontrolünü ele geçirmeyi başardı. Etki alanı bilgisayar korsanının kötü niyetli bir şekilde benimsenmesinden sonra web sitesini kullanıcıları kendi sunucusuna yönlendiren bir şekilde değiştirdi. Kötü niyetli sürüm deniliyor buna web sitesinin  kopyalanan özel anahtarları, kullanıcılar tarafından girilerek hackerlara gönderildi.

Sonuç olarak yaklaşık 300.000 dolar çalındı.

Kimlik avı ICOS

Bu saldırı türü, basitliği ve etkinliği nedeniyle saldırganlar arasında oldukça popüler hale geldi

Saldırganların taktiği şöyle:

• Yeni saldırıların  takibini  bir ICO başlatır.

• Bir kimlik avı sayfası oluşturulur.

• Tüm özel anahtarlar sahtekarlar tarafından otomatik olarak e-para ile ilişkilendirilir ve fonlar dolandırıcılar tarafından belirtilen hesaplara otomatik olarak gönderilir.

Bu yöntemi  takip ederseniz bir grubun ayda 1,5 milyon dolara kadar kazanabildiğini görebilirsiniz:

https://etherscan.io/address/0x68b0e0 db7918c0211ea1fb78292a879839137dd0

https://etherscan.io/address/0x0a5650 aba6473c48898f3d9366b52c21a4eec37b

https : //etherscan.io/address/0x1e80da d60d19fb8159af3f440a8ceaa0e5581847

https://etherscan.io/address/0x3681828 DA105fC3C44E212f6c3Dc51a0a5A6F5C6

https://etherscan.io/address/0x4a0d27a 1044dd871a93275de5109e5f5efc4d46e

https://etherscan.io/address/0x89C98C C6D9917B615257e5704e83906402f0f91f

Kimlik avı

Kimlik avı erişimi için bilgileri fiziksel olarak elinizde olması gerekmiyor. Yanı bir kimlik avı sayfası yaratmanız gerekli değil.

Erişimi sağlamak için, bir e-posta adresi veya cep telefonu numarası için bir şifre oluşturmak yeterli olabilir.

E-posta kutularına erişmek için, kimlik avı sayfaları popüler posta sağlayıcılarını Gmail, Yahoo, Outlook vb siteler Taklit edilerek sayfalar oluşturulur.

Bir Avcı’nın avını beklediğini düşünün. Ayni şekilde karşı tarafın bu dolandırıcıların oyununa gelmesi ve sahte siteler içerisinde bilgilerini yazması beklenir.

Ve yazdığınız bilgiler Microsoft serverine değil saldırganın belirlediği Mail adresine indexlenir.

Kullanım Kısıtlamalar şu şekildedir:

• Bu rapor, IB uzmanları tarafından üçüncü şahısların  finansmanı olmaksızın hazırlanmıştır.

• Yüksek teknoloji için suç pazarının değerlendirilmesi, Grup-IB tarafından geliştirilen özel dahili yöntemler temel alınarak gerçekleştirildi.

• Bu raporda tanımlanan siber tehditlerin teknik ayrıntıları, gelecekte benzer olayları önlemek ve olası yaralanmaları en aza indirmek amacıyla bilgi güvenliğine açıklık getirmek için hazırlanmıştır.

• Hiçbir şekilde bu raporda yayınlanan tehditler ve saldırılar hakkında teknik bilgi yer almamaktadır.

• Bu raporda şirketler ve ticari markalara yapılan tüm referanslar, bu tür şirketlerden kitle iletişim araçlarında daha önce yayınlanmış bilgiler temelinde yapılan onaylara dayanmaktadır



bg.org.tr • [email protected]