Şu ana kadar yarım milyon kullanıcıyı etkileyen yeni bir sanal tehdit ortaya çıktı. İyi gizlenen, kullanıcıları sahte torrent sitelerinden korsan yazılım indirmeye yönlendiren ve son beş yıldır tespitlerden kaçmayı başaran bu zararlı yazılımın adı Stantinko.
Sanal dünyada her geçen gün yeni bir tehdit karşımıza çıkıyor. Bilgisayarları çalışmaz hale getiren, her yıl milyarlarca dolar dolandırıcılık hikayelerine neden olan bu korsan yazılımların bir yenisini Antivirüs yazılım kuruluşu ESET, ortaya çıkardı. Yeni tehdit ‘Stantinko’, tarayıcı eklentileri yükleyip sahte reklamlar göstererek para kazanan bir botnet ağı. Botnet, uzaktan yönetilen ve kötü amaçlı yazılım bulaşmış çok sayıda bilgisayarın oluşturduğu ağı tanımlıyor.
Sahibinin bilgisi olmadan uzaktan yönetilebilen bu bilgisayarlara bilişim çevrelerinde zombi makineler de deniyor. Botnetlerin büyük bir tehdit oluşturmasının nedeni, siber suçluların bunlar aracılığı ile neredeyse her görevi yüzde 100’lük başarı oranı ile yürütebilmesinden kaynaklanıyor. Stantinko bir defa bilgisayarınıza yüklendikten sonra büyük çaplı google aramaları yapabiliyor. Facebook üzerinde sahte hesaplar açıp, bu hesaplarla arkadaş edinerek resimleri beğenebiliyor. Bu yeni tehdidin şu anda çoğunlukla Rusya ve Ukrayna’da etkili olduğu belirtiliyor. Stantinko, gerçek görünen bir kodun içerisinde gizleniyor.
Zararlı yazılım gelişmiş teknikler kullanarak şifrelenmiş bir dosya veya Windows kayıt defteri içerisinde saklanıyor. İlk bulaşma sırasında oluşturulan anahtar sayesinde deşifre oluyor. Bulaşıcı özellikleri komuta sunucusundan yeni parçalar indirmeye çalışana kadar tespit edilemiyor. Bir kere bulaşınca iki çok zararlı Windows hizmeti yüklüyor ve Windows yeniden başlatıldığında bu servisler çalışmaya başlıyor. ESET Zararlı Yazılım Araştırmacısı Frédéric Vachon yapıyı şöyle özetliyor: “Her bir parça sistemden silinen diğer parçaları yeniden yüklemek için tasarlandığı için bir defa bulaştı mı kurtulmak neredeyse imkânsız. Tamamen kurtulmak için kullanıcı her iki hizmeti de aynı anda silmek zorunda.” Stantinko bir cihaza yerleşir yerleşmez Google Chrome Web Store’da yer alan iki eklenti yüklüyor: “The Safe Surfing” ve “Teddy Protection”.
TIKLAMA SAHTEKARLIĞINA DİKKAT!
ESET Kıdemli Zararlı Yazılım Araştırmacısı Marc-Etienne Léveillé zararlı yazılımla ilgili şunları söyledi: “İlk bakışta güvenilir tarayıcı eklentileri gibi görünüyor. Fakat Stantinko tarafından yüklendiğinde eklentiler reklam sızdıran ve tıklama sahtekarlığına yönelik yönergeler içeren farklı yapılandırmalar alıyor.” Zararlı yüklendikten sonra Stantinko operatörleri esnek eklentiler sayesinde sistemi tamamen ele geçirebiliyorlar. Geniş çaplı anonim aramalar, brute force saldırıları, veri hırsızlığı ve Facebook üzerinde sahte oluşturmaya varana kadar çeşitli işlemleri yapabiliyorlar. Kullanıcılar botnetlerden korunma ve bu tür saldırılara kurban gitmeyi önleme konusunda özel bir koruma katmanı konumlandırılmalı. ESET gibi önde gelen üreticiler, ek güvenlik katmanı olarak Botnet koruması sunuyor. Botnet Koruması özelliği, ESET’in 8’inci sürümden bu yana bireysel ve kurmsal ürünlerinin temel parçalarından biri. Ağ katmanında çalışır ve ana işlevi, botnetler tarafından kullanılan kötü amaçlı veya şüpheli iletileri tespit etmektir. Böyle iletişim bloke edilir ve kullanıcıya bildirilir.
WANNACRY’DA 8 MİLYAR DOLAR GİTTİ
Bu yılın Mayıs sonunda gerçekleşen ve 150’den fazla ülkede 230 binden fazla bilgisayara bulaşan WannaCry saldırısı,İngiltere’de Ulusal Sağlık Sistemi’ni (NHS), İspanya’da Telefonica adlı operatörü, FedEx ve Deutsche Bahn (Alman demiryolları) başta olmak üzere birçok şirketin işlerini durdurmasına sebep oldu. Daha sonra virüsün bir ‘kapatma düğmesi’ olduğu keşfedildi. Tesadüfen bulunan yöntemle, virüsün yayılımı durduruldu. Ticaret ve günlük hayata büyük darbe vuran WannaCry, şirketlere ve devletlere toplam 8 milyar dolarlık bir ekonomik maliyet getirdi. Daha yakın zamanda, 27 Haziran’da Petya adlı zararlı yazılımın saldırısıyla karşı karşıya kaldık. Ukrayna’da 1 milyon cihazda kurulu olduğu düşünülen bir muhasebe yazılımının güncellemesine saklanan virüs, ülkedeki birçok bilgisayarı ele geçirdikten sonra dünyaya yayılmaya başladı. Sonraki gün, Ukrayna, virüsü durdurduklarını açıkladı. Cyence’e göre, bu saldırının da 850 milyon dolar zarar verdiği düşünülüyor.
KÜRESEL FATURA 53 MİLYAR DOLAR
Sigorta şirketi Lloyd’s of London ve risk modelleme şirketi Cyence tarafından hazırlanan raporda, bir bulut hizmeti sağlayıcısına varsayımsal olarak siber saldırı düzenlenmesi ve dünya çapındaki işletmelerin bilgisayarlarına yönelik saldırılarda oluşabilecek potansiyel ekonomik kayıplar incelendi. Küresel bir siber saldırının 4,6 milyar ila 53 milyar dolar ekonomik kayba neden olabileceği belirtildi. Raporda, böyle bir siber saldırının yol açacağı fiili kaybın ise 121 milyar dolara kadar çıkabileceği ifade edildi. En çok Rusya ve Ukrayna’yı etkileyen “Petra” virüs yazılımı tarafından haziranda yapılan saldırıda binlerce bilgisayar etkilenmişti. Saldırıya neden olan yazılımın Avrupa’da bazı ülkeler ile ABD’de de yayıldığı ve bazı önemli şirketlerin bilgisayarlarını ele geçirdiği belirtilmişti.
