Her ay 10 bin kere atak tertip ediyor 

ESET analistleri, bir hayli makûs emelli yazılım ailesi tarafından kullanılan ve şifreleyici hizmeti vermek üzere faaliyet gösteren yaygın şifreleyici makûs emelli yazılımı olan AceCryptor hakkında ayrıntılar yayınladı. ESET telemetrisine göre Türkiye AceCryptor ’dan en çok etkilenen ülkeler içinde yer alıyor.

AceCryptor 2016 ’dan beri dünya geneline yayılıyor. Birden fazla tehdit oyuncuyu kampanyalarında ambalajlanmış makûs emelli yazılımları yaymak için bu tehdidi etkin olarak kullanıyor. 2021 ve 2022 senelerinde ESET telemetrisi, bu makûs emelli yazılımla alakalı 240 binden fazla olay tespit etti, bu da her ay 10 binden fazla tespit anlamına geliyor. Bu yazılım muhtemelen karanlık ağda veya yeraltı forumlarında satılıyor ve onlarca farklı makûs emelli yazılım ailesi bu makûs emelli yazılımın hizmetlerini kullanıyor. Bir Hayliyi, sabit tespitlere karşı ana koruma olarak bu kriptoyu kullanıyor.

İki senede 240 bin olay tespit edildi

AceCryptor ’u tahlil eden ESET analisti Jakub Kaloč bu mevzuda şunları söyledi: “Makûs emelli yazılım yazarları açısından, oluşturdukları yazılımı tespit edilmeye karşı gözetmek güçtür. Şifreleyiciler, dağıtılan makûs emelli yazılımlar için ilk korunma tabakayıdır. Tehdit oyuncuları özel olarak kendi oluşturdukları bu şifreleyiciyi kullanır. Ancak bu tehdit oyuncuları için şifreleyicilerinin tespit edilmesini tamamen yasaklamak genellikle zaman alır veya teknik olarak güçtür. Bu cins bir korumaya müteveccih arz, makûs emelli yazılımları bir araya getiren çok sayıda şifreleyici hizmet alternatifi yarattı.”

AceCryptor kullanan makûs emelli yazılım aileleri arasında en yaygın olanlardan biri RedLine Stealer ’dır. Yeraltı forumlarından satın alınabilen bu yazılım kredi kartı kimlik bilgilerini ve duyarlı bilgileri çalmak, dosya yüklemek ve indirmek ve hatta kripto para çalmak için kullanılıyor. RedLine Stealer ilk olarak 2022 ’nin 1. çeyreğinde görüldü; dağıtıcılar o zamandan beri AceCryptor kullandı ve kullanmaya devam ediyor. Kaloč bunu şöyle açıklıyor: “Bu sebeple, AceCryptor ’u emin bir biçimde tespit edebilmek, yeni ortaya çıkan tehditlere karşı görünürlük sağlamanın yanı gizeme tehdit oyuncularının faaliyetlerini izlememize de takviyeci olur.”

ESET 80 binden fazla müşterisine gözetti

2021 ve 2022 senelerinde ESET, AceCryptor ile ambalajlanmış makûs emelli yazılımlardan etkilenen 80 binden fazla alıcıyı korudu. Aynı misalin birden fazla bilgisayarda tespit edilmesi ve bir bilgisayarın ESET yazılımı tarafından birden fazla kere korunması da dahil olmak üzere toplam 240 bin olay tespit edildi. AceCryptor ’u fark etmek çok güçtür ve senelerdir tespit edilmemek için bir hayli teknik kullanıyor.

Kaloč ’ın bu mevzudaki fikri şu: “Bu hizmetin bütün maliyetini öğrenmesek de, tespit edilen bu hadiselerde AceCryptor yazarlarının hasılatının göz arkasını edilemeyeceğini düşünüyoruz.”

AceCryptor birden fazla tehdit oyuncuyu tarafından kullanıldığı için, bu yazılım tarafından ambalajlanan makûs emelli yazılımlar muhtelif yollarla dağıtılıyor. ESET telemetrisine göre, makineler AceCryptor ile ambalajlanmış makûs emelli yazılımlara çoğunlukla korsan yazılımların truva atı yükleyicileri veya makûs emelli ilaveler kapsayan istenmeyen e-postalar yoluyla maruz kaldı. Bir bireyin maruz kalabileceği bir başka yol da AceCryptor tarafından korunan yeni makûs emelli yazılımları indiren değişik makûs emelli yazılımlar. AceCryptor ile ambalajlanmış bir RedLine Stealer indirdiğini gözlemlediğimiz Amadey botnet buna bir misal.

Bir Hayli tehdit oyuncuyu makûs emelli yazılım kullandığı için herkes etkilenebilir. Ambalajlanmış makûs emelli yazılımların spektrumu sebebiyle, güvenliği ihlal edilmiş bir kurban için neticelerin ne kadar ciddi olduğunu hipotez etmek güçtür. AceCryptor, kurbanın aygıtında çalışan değişik makûs emelli yazılımlar tarafından vazgeçilmiş olabilir veya kurban, misalin makûs emelli bir e-posta ekini açarak doğrudan etkilenmişse, içindeki rastgele bir makûs emelli yazılım ek makûs emelli yazılımlar indirmiş olabilir; bu sebeple, bir hayli makûs emelli yazılım ailesi aynı anda mevcut olabilir.

AceCryptor ’un birden fazla varyantı var ve şu anda çok safhalı, üç tabakalı bir mimari kullanıyor. AceCryptor ’un muhakkak bir tehdit oyuncusuyla ilişkilendirilmesi şimdilik olası olmasa da ESET Research, AceCryptor ’un yaygın olarak kullanılmaya devam edeceğini öngörüyor. Daha yakından izlemek, bu kriptoyla dolu makûs emelli yazılım ailelerinin yeni kampanyalarının önlenmesine ve keşfedilmesine takviyeci olacaktır.

Kaynak: BYZHA Beyaz Haber Ajansı