Kaspersky, botnet ağı Emotet’in etkinliğinin 3 kattan fazla arttığını tespit etti

İSTANBUL (AA) – Kaspersky, tehlikeli botnet ağı Emotet'in etkinliğinin mart ayında 3 kattan fazla arttığını belirledi.

Şirket açıklamasına göre, Europol'ün “dünyanın en tehlikeli kötü amaçlı yazılımı” olarak tanımladığı botnet ağı Emotet, Kaspersky telemetrisine göre Mart 2022'de dünya çapında yüzde 200'ün üzerinde büyüme gösterdi. Bu büyüme, botnet'in arkasındaki tehdit aktörlerinin, Kasım 2021'deki geri dönüşlerinden bu yana ilk kez kötü niyetli etkinliklerini önemli ölçüde artırmak için adımlar attıklarını gösteriyor. Bulgular, Emotet'in modüllerini ve son etkinliklerini inceleyen Kaspersky araştırmasında yer alıyor.

Hem diğer cihazlara saldırılar için kullanılan virüslü cihazlardan oluşan kontrollü bir ağ olan botnet hem de virüslü cihazlardan genellikle finansla ilgili farklı türde verileri çalabilen kötü amaçlı bir yazılım olan Emotet, deneyimli tehdit aktörleri tarafından işletilerek siber suç dünyasının en büyük oyuncularından biri haline geldi. Emotet, Ocak 2021'de farklı ülkelerden katılan kolluk kuvvetlerinin ortak çabaları sonucunda kapatıldı. Ancak Kasım 2021'de botnet geri döndü ve o zamandan beri etkinliğini kademeli olarak artırıyor. Önce farklı bir bot ağı olan Trickbot üzerinden iletilen botnet ağı, şimdi ise kötü niyetli spam kampanyaları aracılığıyla kendi kendine yayılıyor.

Kaspersky telemetrisi, Şubat 2022'de 2 bin 843 olan kurban sayısının mart ayında 9 bin 86'ya yükseldiğini ve 3 kattan fazla sayıda kullanıcının saldırıya uğradığını gösteriyor. Kaspersky çözümlerinin tespit ettiği saldırı sayısı Şubat 2022'de 16 bin 897 iken martta 48 bin 597'ye yükseldi.

Tipik bir Emotet bulaşması, kötü amaçlı bir makro içeren Microsoft Office eklerinin istenmeyen e-postalarla gönderilmesiyle başlıyor. Saldırganlar bu makroyu kullanarak bir modül yükleyiciyi bırakmak ve çalıştırmak için kötü niyetli bir PowerShell komutu başlatabiliyor. Bu komut daha sonra modülleri indirmek ve başlatmak için bir komuta ve kontrol sunucusuyla iletişim kurabiliyor. Bu modüller, virüslü cihazda çeşitli farklı görevler gerçekleştirebiliyor.

Kaspersky araştırmacıları, çoğu geçmişte Emotet tarafından şu veya bu şekilde kullanılmış olan 16 modülden 10'unu analiz etti. Buna göre Emotet'in mevcut sürümü virüslü cihazların ağda saldırıyı yaymasına zemin hazırlıyor, Thunderbird ve Outlook uygulamalarından e-postaları ve e-posta adreslerini çalabiliyor, Internet Explorer, Mozilla Firefox, Google Chrome gibi popüler web tarayıcılarından şifreleri toplayabiliyor ve otomatik spam kampanyaları oluşturabiliyor.

– “Sistemler sürekli güncel tutulmalı”

Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Araştırmacısı Alexey Shulmin, Emotet'in dünya çapında birçok organizasyonun peşine düşen, son derece gelişmiş bir botnet ağı olduğunu belirterek, “Bu ağın ortadan kaldırılması, bir yıldan uzun süredir en büyük tehditler sıralamasından çıkmalarına ve dünya genelindeki tehditleri azaltmalarına yönelik önemli bir adım olmuştu. Saldırıların şu anki sayısı Emotet'in operasyondan önceki ölçeğiyle karşılaştırılabilir olmasa da dinamiklerdeki değişiklik botnet operatörlerinin önemli ölçüde etkinleştirildiğini ve bu tehdidin önümüzdeki aylarda daha fazla yayılma olasılığının yüksek olduğunu gösteriyor.” ifadelerini kullandı.

Kaspersky, işletmelerin Emotet ve benzeri botnetlerden korunmasına yardımcı olmak için şunları öneriyor:

“Sistemler sürekli güncel tutulmalı. Emotet ile ilgili daha fazla güncel bilgi edinilebilir. Bunu yapmak için Kaspersky Resource Center ziyaret edilebilir veya farklı kanallardan bir araştırma yürütülebilir. İstenmeyen e-postalarla gelen şüpheli ekler indirilmemelidir veya şüpheli bağlantılara tıklanmamalıdır. Bir e-postanın sahte olup olmadığından emin olunamıyorsa, riske girilmemeli ve gönderenle farklı kanaldan iletişime geçilmelidir. İndirilen bir dosyada bir makronun çalışmasına izin verilmesi istenirse, bu hiçbir koşulda yapılmamalıdır ve dosya hemen silinmelidir. Bu şekilde Emotet'e bilgisayara girme şansı verilmeyecektir. İnternet bankacılığı, çok faktörlü kimlik doğrulama çözümleriyle kullanılmalıdır.

Kaspersky Internet Security gibi eksiksiz bir virüs ve kötü amaçlı yazılım koruma programı yüklenildiğinden emin olunmalıdır ve bilgisayar herhangi bir güvenlik açığına karşı düzenli olarak taranmalıdır. Bu bilgisayara, en son virüslere, casus yazılımlara karşı mümkün olan en iyi korumayı sağlayacaktır. İşletim sistemi ve tüm uygulamalar dahil olmak üzere tüm yazılımların güncellenildiğinden emin olunmalıdır. Saldırganlar giriş noktası elde etmek için yaygın olarak kullanılan programlardaki açıklardan yararlanır. Güvenilir olmayan kaynaklardan gelen bağlantılara tıklamamak veya ekleri açmamak gibi en iyi uygulamalar konusunda çalışanları eğitmek için düzenli olarak siber güvenlik farkındalık eğitimlerine yatırım yapılmalıdır. Kimlik avı e-postalarını nasıl ayırt edeceklerini bildiklerinden emin olmak için bu süreç, simüle edilmiş bir kimlik avı saldırısıyla takip edilebilir.”

Muhabir: Harun Bahçivan