Siber güvenlik şirketi ESET, 2022 Birinci Dönem Tehdit Raporu’nu yayımladı. ESET Tehdit Raporu’nda, ESET araştırmacılarının analiz ettiği Ukrayna’da devam eden savaşla bağlantılı çeşitli siber saldırılara yer veriliyor. Industroyer kötü amaçlı yazılımının yeniden ortaya çıkmasına da değiniliyor.
ESET araştırmacılarının tespitlerine göre savaş, Ukrayna’yı destekleyen insanlardan faydalanmaya çalışan kimlik avı ve dolandırıcılık kampanyaları akınına neden oldu. Bu saldırılar, işgalin başlamasından hemen sonra tespit edildi. Mart ve Nisan 2022’de Emotet operatörleri çalışmalarını hızlandırıp zararlı yazılım içeren Microsoft Word belgeleri kullanarak büyük istenmeyen e-posta kampanyaları başlattı ve 2021’in birinci döneminde Emotet algılamalarının 113 kat artmasına neden oldu. Emotet kampanyaları, 2022’nin birinci döneminde E-posta tehditleri kategorisine yansıdı. Bu kategori % 37 büyüme gösterdi.
RDP saldırılarının neredeyse % 60’ı Rusya’dan kaynaklandı
Rusya’nın Ukrayna’yı işgalinden kısa bir süre önce ESET telemetrisi, Uzak Masaüstü Protokolü (RDP) saldırılarında keskin bir düşüş kaydetti. Bu saldırılardaki düşüş, iki yıllık sürekli artışın ardından geldi.
Bu değişimin Ukrayna’daki savaşla ilgili olabileceği düşünülüyor. Ancak bu düşüşte bile, 2022’nin ikinci döneminde görülen RDP saldırılarının neredeyse % 60’ı Rusya’dan kaynaklandı.
Savaşın bir başka etkisi ise geçmişte fidye yazılımı tehditleri Rusya’da bulunan hedeflerden kaçınma eğilimindeyken, bu dönemde ESET telemetrisine göre Rusya’nın en çok hedef alınan ülke olduğunu ortaya koyması oldu. ESET araştırmacıları, Ukrayna ulusal selamı “Slava Ukraini!”nin (Şan olsun Ukrayna’ya!) kullanıldığı kilit ekranı varyantlarını algıladı. Rusya’nın Ukrayna’yı işgalinden bu yana amatör fidye yazılımı ve dosyaları silmeyi hedefleyen yazılımların sayısında artış oldu. Yazarları genellikle savaşan taraflardan birine destek sözü vererek saldırıları kişisel bir intikam davası olarak ortaya koyuyor.
Savaş zamanında bile istismar devam ediyor
Savaş aynı zamanda istenmeyen e-posta ve kimlik avı tehditleri açısından da dikkat çekici bir şekilde istismar edildi.
24 Şubat’taki işgalden hemen sonra, dolandırıcılar, hayali hayır kurumlarını ve bağış toplayıcıları yem olarak kullanarak Ukrayna’yı desteklemeye çalışan insanlardan yararlanmaya başladı. O gün, ESET telemetrisinin istenmeyen e-posta algılamalarında büyük bir artış görüldü.
Zararlı yazılımlar istenmeyen e-postalar yayılmaya devam ediyor
ESET telemetrisi, Rusya/Ukrayna savaşıyla ilgisi olmayan birçok başka tehdit de gördü. ESET Kıdemli Araştırma Yetkilisi Roman Kováč, bu durumu şöyle açıklıyor: “Öncelikle istenmeyen e-posta yoluyla yayılan kötü amaçlı bir yazılım olan Emotet’in, geçen yılki ortadan kaldırma girişiminden sonra geri döndüğünü ve telemetrimizde yeniden görülmeye başladığını doğrulayabiliriz” Emotet operatörleri, D1’de birçok istenmeyen e-posta kampanyası düzenledi ve Emotet algılamaları yüz kattan fazla arttı.
Ancak Tehdit Raporu’nda da belirttiği üzere Microsoft’un Office programlarında varsayılan olarak internetten makroları devre dışı bırakma hamlesi göz önüne alındığında, kötü amaçlı makrolara dayanan kampanyalar son bulabilir. Değişikliğin ardından, Emotet operatörleri diğer uzlaşma vektörlerini çok daha küçük kurban örnekleri üzerinde test etmeye başladı.
ESET 2022 D1 Tehdit Raporu ayrıca en önemli araştırma bulgularını gözden geçirerek ESET Research’ün şunları ortaya çıkardığını belirtiyor: Çekirdek sürücüsü güvenlik açıklarının kötüye kullanımı; Yüksek etkili UEFI güvenlik açıkları; Android ve iOS cihazları hedefleyen kripto para kötü amaçlı yazılımları; DazzleSpy macOS kötü amaçlı yazılımını dağıtan henüz ilişkilendirilmemiş bir kampanya; ve Mustang Panda, Donot Team, Winnti Group ve TA410 APT grubunun kampanyaları.