Madencilik yazılımı ile soygun yapan bir siber grup keşfedildi!

Kaspersky Lab araştırmacılarına göre, siber suçlular kurumlardaki bilgisayarlara madencilik yazılımı yüklemek amacıyla, hedefli saldırılarda kullanılanlara benzer gelişmiş saldırı yöntemleri ve teknikleri kullanmaya başladı. Kaspersky Lab’in gözlemlediği en etkin grup, 2017’de altı ay içinde kurbanları üzerinden 7 milyon ABD doları kazandı.

Kripto para birimleri pazarı iniş çıkışlara sahne olsa da Bitcoin’in değerindeki artışla yaşanan fenomen yalnızca global ekonomiyi değil siber güvenlik dünyasını da değiştirdi. Siber suçlular kripto para birimi kazanma amacıyla saldırılarında, fidye yazılımlar gibi basit bir para kazanma modeli bulunan, madencilik yazılımlarını kullanmaya başladı. Bu yazılımlar, fidye yazılımların aksine kullanıcılara çok büyük zarar vermiyor ve uzun süre fark edilmeden bilgisayarın gücünü kullanıyor. Kaspersky Lab, Eylül 2017’de madencilik yazılımlarının tüm dünyaya hızla yayıldığını tespit etmiş ve bu durumun daha da ilerleyeceğini tahmin etmişti. Yapılan en son araştırma bu eğilimin büyümeye devam etmekle kalmayıp, hızlandığını ve yayıldığını ortaya koydu.

Kaspersky Lab araştırmacıları, kullanıcılara madencilik yazılımı bulaştırmak için Gelişmiş Kalıcı Tehdit (APT) yöntemleri ve araçları kullanan bir siber suçlu grubu tespit etti. Bu grup, genellikle zararlı yazılımları yaymak için kullanılan ve APT saldırganlarının bazı hedefli saldırılarında görülen fakat daha önce madencilik saldırılarında hiç rastlanmayan, süreç boşaltma yöntemini kullanıyor.

Saldırı şu şekilde gerçekleştiriliyor: Kurban, içine gizlice madencilik yazılımı yükleyicisi yerleştirilen bir reklamı indirip kurması için kandırılıyor. Bu yükleyici, bir uzak sunucudan madencilik yazılımını indirmek amacıyla geçerli bir Windows aracının yerini alıyor. Çalıştırıldıktan sonra, geçerli sistem süreci başlıyor ve bu sürecin geçerli kodu zararlı kodla değiştiriliyor. Sonuç olarak, madencilik yazılımı geçerli bir görev şeklinde görünerek çalışıyor. Böylece kullanıcının, sistemine madencilik yazılımı bulaştığını anlaması imkansız hale geliyor. Bu tehdidin güvenlik çözümleri tarafından tespit edilmesi de bir hayli zor. Tüm bunlara ek olarak, madenciler bu yeni süreci görevi iptal etmeyi engelleyecek şekilde düzenliyor. Kullanıcı süreci durdurmaya çalıştığında bilgisayar sistemi yeniden başlatılıyor. Suçlular böylece sistemdeki varlıklarını koruyor ve daha uzun süre verimli bir şekilde çalışabiliyor.

Kaspersky Lab’in yaptığı gözlemlere göre, bu saldırıların arkasındaki isimler Electroneum adlı kripto para biriminin madenciliğini yaparak 2017’nin ikinci yarısında yaklaşık 7 milyon ABD doları kazandı. Bu miktar fidye yazılımı geliştirenlerin kazandıkları miktara yakın.

Kaspersky Lab Zararlı Yazılım Baş Analisti Anton Ivanov, “Fidye yazılımlarının yerini yavaş yavaş madencilik yazılımlarına bıraktığını görüyoruz. İstatistiklerimiz de bunu destekliyor. Madencilik yazılımlarının yıl boyu düzenli bir şekilde artmasının yanı sıra siber suçlu grupları da yöntemlerini geliştirip bu yazılımları yaymak için çok daha gelişmiş teknikler kullanmaya başladı. Fidye yazılımı saldırılarının arttığı dönemde de saldırganların benzer yöntemler kullandığını görmüştük.” dedi.

Kaspersky Lab verilerine göre 2017’de toplam 2,7 milyon kullanıcı zararlı madencilik yazılımlarından etkilendi. Bu sayı, 2016’ya (1,87 milyon) kıyasla yaklaşık %50 daha yüksek. Kullanıcılar; siber suçlular tarafından kullanılan reklamlar, korsan oyunlar ve yazılımlar ile bilgisayarlarına gizlice zararlı yazılım bulaşmasına neden oluyor. Kullanılan başka bir yöntem ise web sayfalarına yerleştirilen özel bir kodla web madenciliği yapmak. Bu yöntem için en sık kullanılan madenci olan CoinHive, bugüne kadar popüler birçok internet sitesinde tespit edildi.