Ağustos 2023 Küresel Tehdit Endeksi'nde Formbook, Almanya'daki en yaygın kötü amaçlı yazılım olurken onu CloudEyE ve Qbot izledi.
Atlantik'in diğer tarafında FBI, ağustos ayında Qbot'a (Qakbot olarak da bilinir) karşı küresel operasyonunda önemli bir zafer kazandığını duyurdu. "Ördek Avı Operasyonu"nda FBI botnet'in kontrolünü ele geçirdi, kötü amaçlı yazılımı virüslü cihazlardan kaldırdı ve önemli sayıda etkilenen cihazı tespit etti
Qbot önemli ölçüde düşüyor
Qbot, fidye yazılımı saldırıları da dahil olmak üzere çeşitli siber suç faaliyetleri için kullanılan bir kötü amaçlı yazılım dağıtım hizmetine dönüştü. Genellikle kimlik avı kampanyaları yoluyla yayılır ve diğer tehdit aktörleriyle işbirliği yapar. Qbot, ağustos ayında dünya çapında en yaygın kötü amaçlı yazılım olmaya devam etse de Check Point, operasyonun ardından etkisinde önemli bir düşüş gözlemledi. BKA'nın açıkladığı gibi, kötü amaçlı yazılımın sunucuları Almanya'da da felç oldu.
Check Point Software Araştırma Başkan Yardımcısı Maya Horowitz, Qbot'a yönelik saldırı hakkında: “QBot'un ortadan kaldırılması, siber suçlarla mücadelede önemli bir atılımdı. Ancak rehavete kapılmamalıyız çünkü biri düştüğünde diğeri kalkıp onun yerini alacaktır. Hepimiz uyanık kalmalı, birlikte çalışmalı ve tüm saldırı vektörlerinde iyi güvenlik hijyeni uygulamaya devam etmeliyiz."
Almanya'daki en popüler kötü amaçlı yazılım
Formbook, Alman kuruluşlar üzerinde yüzde 11,88'lik hafif bir düşüş etkisi ile geçen ay en yaygın kötü amaçlı yazılım olurken, bunu yüzde 11,72 ile CloudEyE ve yüzde 4,82 ile Qbot takip etti.
↔ Formbook – Formbook, Windows işletim sistemini hedefleyen bir bilgi hırsızıdır ve ilk olarak 2016'da keşfedilmiştir. Güçlü kaçırma teknikleri ve nispeten düşük fiyatı nedeniyle yer altı bilgisayar korsanlığı forumlarında Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) olarak pazarlanmaktadır. FormBook, çeşitli web tarayıcılarından oturum açma bilgilerini toplar, ekran görüntüleri toplar, tuş vuruşlarını izler ve günlüğe kaydeder ve C&C tarafından talimat verildiğinde dosyaları indirebilir ve çalıştırabilir.
↑ CloudEyE– Eski adı “GuLoader” olan CloudEye, Windows platformunu hedefleyen ve kurbanların bilgisayarlarına kötü amaçlı programlar indirip yüklemek için kullanılan bir indiricidir.
↔ Qbot – Qbot AKA Qakbot, ilk olarak 2008'de ortaya çıkan çok amaçlı bir kötü amaçlı yazılımdır. Bir kullanıcının oturum açma kimlik bilgilerini çalmak, tuş vuruşlarını kaydetmek, tarayıcılardan çerezleri çalmak, bankacılık faaliyetlerini gözetlemek ve ek kötü amaçlı yazılım yüklemek için tasarlanmıştır. Genel olarak istenmeyen e-postalar aracılığıyla dağıtılan Qbot, analizi karmaşık hale getirmek ve tespitten kaçınmak için birden fazla sanal makine önleme, hata ayıklama önleme ve korumalı alan önleme teknikleri kullanır. 2022 itibariyle en yaygın Truva atlarından biridir.
İlk 3 güvenlik açığı
Geçtiğimiz ay, dünya çapındaki kuruluşların yüzde 40'ını etkileyen "HTTP Üstbilgileri Uzaktan Kod Yürütme" en çok istismar edilen güvenlik açığı oldu ve onu, dünya çapındaki kuruluşların yüzde 38'ini etkileyen "http Üzerinden Komut Ekleme" izledi. “MVPower CCTV DVR Uzaktan Kod Yürütme” yüzde 35'lik küresel etkiyle en çok istismar edilen üçüncü güvenlik açığı oldu.
↑ HTTP başlığı Uzaktan Kod Yürütme (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) - HTTP başlıkları, istemcinin ve sunucunun bir HTTP isteği ile ek bilgiler iletmesine olanak tanır. Uzaktaki bir saldırgan, kurban bilgisayarda rasgele kod çalıştırmak için savunmasız bir HTTP başlığı kullanabilir.
↑ HTTP Üzerinden Komut Enjeksiyonu (CVE-2021-43936, CVE-2022-24086) - HTTP üzerinden Komut Ekleme güvenlik açığı bildirildi. Uzaktaki bir saldırgan, kurbana özel hazırlanmış bir istek göndererek bu sorundan yararlanabilir. Başarılı bir şekilde yararlanılırsa, bir saldırgan hedef bilgisayarda rasgele kod çalıştırabilir.
↑ MVPower CCTV DVR Uzaktan Kod Yürütme (CVE-2016-20016) – MVPower CCTV DVR'de uzaktan kod yürütme güvenlik açığı. Bu güvenlik açığından başarıyla yararlanılması, uzaktaki bir saldırganın etkilenen sistemde rastgele kod yürütmesine olanak tanıyabilir.
İlk 3 Mobil Kötü Amaçlı Yazılım
Geçtiğimiz ay, Anubis en yaygın mobil kötü amaçlı yazılımlar arasında ilk sırada yer alırken, onu AhMyth ve SpinOk takip etti.
↔ Anubis – Anubis, Android cep telefonları için tasarlanmış bir bankacılık Truva Atı kötü amaçlı yazılımıdır. İlk keşfinden bu yana, Uzaktan Erişim Truva Atı (RAT), keylogger, ses kayıt yetenekleri ve çeşitli fidye yazılımı yetenekleri dahil olmak üzere ek özellikler kazandı. Google Store'daki yüzlerce farklı uygulamada keşfedilmiştir.
↑ Ah Efsane – AhMyth, 2017 yılında keşfedilen bir uzaktan erişim Truva atıdır (RAT). Uygulama mağazalarında ve çeşitli web sitelerinde bulunabilen Android uygulamaları aracılığıyla dağıtılır. Bir kullanıcı bu virüslü uygulamalardan birini yüklediğinde, kötü amaçlı yazılım cihazdan hassas bilgiler toplayabilir ve genellikle hassas bilgileri çalmak için kullanılan tuş günlüğü tutma, ekran görüntüsü alma, SMS mesajı gönderme ve kamerayı etkinleştirme gibi eylemler gerçekleştirebilir.
↓ DöndürTamam – SpinOk, casus program olarak çalışan bir Android yazılım modülüdür. Cihazlarda depolanan dosyalar hakkında bilgi toplar ve bunları kötü niyetli tehdit aktörlerine iletebilir. Kötü amaçlı modül 100'den fazla Android uygulamasında bulundu ve Mayıs 2023 itibarıyla 421.000.000'den fazla indirildi.
Almanya'da saldırıya uğrayan sektörlerin ve bölgelerin ilk 3'ü
↑ SI/VAR/Distribütörler
↑ Sağlık hizmetleri
↑ ISS / MSP
Check Point'in Küresel Tehdit Etki Endeksi ve ThreatCloudMap, Check Point'in ThreatCloudIntelligence'ını temel alır. ThreatCloud, dünya çapında ağlar, uç noktalar ve cep telefonları genelinde yüz milyonlarca sensörden elde edilen gerçek zamanlı tehdit istihbaratı sağlar. Bu zeka, yapay zeka tabanlı motorlar ve Check Point Yazılım Teknolojileri'nin araştırma ve geliştirme bölümü olan Check Point Research'ün özel araştırma verileriyle zenginleştirilmiştir.
CheckPoint.com'da daha fazlası
kontrol noktası hakkında Check Point Software Technologies GmbH (www.checkpoint.com/de), dünya çapında kamu idareleri ve şirketler için lider bir siber güvenlik çözümleri sağlayıcısıdır. Çözümler, sektör lideri kötü amaçlı yazılım, fidye yazılımı ve diğer saldırı türlerini algılama oranıyla müşterileri siber saldırılardan koruyor. Check Point, kurumsal bilgileri bulut, ağ ve mobil cihazlarda koruyan çok katmanlı bir güvenlik mimarisi ve en kapsamlı ve sezgisel "tek kontrol noktası" güvenlik yönetim sistemi sunar. Check Point, her ölçekten 100.000'den fazla işletmeyi korur.
Konuyla ilgili makaleler