Uzmanlarımız, siber suçluların etkin bir şekilde KOBİ’lere odaklandığını ve muhasebecilerle özellikle ilgilendiklerini tespit etti. Seçimleri oldukça mantıklı, paraya doğrudan ulaşmaya çalışıyorlar. Bu akımın son örneği, özellikle Buhtrap ve RTM’den gelen Truva Atı etkinliğindeki artıştır. Bu Truva Atları’nın farklı işlevleri ve farklı yayılma yöntemleri olmasına rağmen amaçları aynıdır: işletmelerin hesaplarından para çalmak.
Bu iki tehdit de özellikle BT, hukuk, hizmet ve küçük ölçekli üretim alanlarında çalışan şirketleri ilgilendiriyor. Bu durum, belki de bu tür şirketlerin, finans sektöründe çalışan şirketlere kıyasla güvenlik bütçelerinin daha düşük olmasıyla açıklanabilir.
RTM
RTM genellikle kurbanlarına kimlik avı postası kullanarak bulaşır. Bu postalar iş yanıtlarında sık sık kullanılan “iade talebi”, ” geçen aya ait belgelerin kopyaları” veya “ödeme talebi” gibi ifadeleri taklit ediyor. Bir bağlantıya tıklanması ve bir ekin açılması anında virüs bulaşmasına sebep olarak operatöre virüslü sistem üzerinde tam erişim sağlıyor.
2017’de sistemlerimiz RTM tarafından saldırıya uğrayan 2.376 kullanıcı kaydetti. 2018’de ise 130.000 hedef olduğunu gördük. Buna ek olarak, 2019’da 2 aydan az bir süre geçmiş olmasına rağmen bu Truva Atı’yla karşılaşan 30.000’den fazla kullanıcı gördük. Akım devam ederse geçen senenin rekorunu kıracak. Şimdilik, RTM en aktif finansal Truva Atları’ndan biri diyebiliriz.
RTM’lerin hedeflerinin çoğu Rusya’da faaliyet gösteriyor. Fakat uzmanlarımız bu virüsün sınırları aşıp sonunda diğer ülkelerdeki kullanıcılara da saldıracağını öngörüyor.
Buhtrap
Buhtrap ile ilk karşılaşma 2014’te kayıtlara geçti. O zamanlar, Rus finans kuruluşlarından para çalan (her saldırıda en az 150.000$ seviyesinde) bir siber suç grubunun adıydı. Kullandıkları araçların kaynak kodları 2016’da yayınlandıktan sonra bu finansal Truva Atı için Buhtrap adı kullanılmaya başlandı.
Buhtrap 2017’nin başında TwoBee kampanyası ile tekrardan ortaya çıktı ve çoğunlukla kötü amaçlı yazılım gönderme üzerine çalıştı. Geçen sene Mart ayında, ele geçirdikleri birçok büyük haber kuruluşunun ana sayfalarına kötü niyetli komut dosyaları yerleştip yayılarak haberlere damga vurdular (gerçek anlamda). Bu komut dosyaları, ziyaret eden kişilerin tarayıcılarında Internet Explorer’a yönelik bir açığı kullanıyordu.
Birkaç ay sonra Temmuz’da siber suçlular hedef kitlelerini daraltarak sadece belirli kullanıcı grupları üzerine yoğunlaştılar: Küçük ve orta büyüklükteki işletmelerde çalışan muhasebeciler. Bu sebepten ötürü, sadece muhasebecilere yönelik bilgiler içeren web siteleri kurdular.
2018’in sonunda başlayan ve günümüze kadar devam eden yeni artıştan dolayı bu kötü amaçlı yazılımı hatırlıyoruz. Koruma sistemlerimiz, 250’si 2019’un başından beri gerçekleşen, toplamda 5.000’den fazla Buhtrap saldırı girişimini engellemiştir.
Tıpkı geçen sefer olduğu gibi Buhtrap haber kuruluşlarında gömülü açıklar aracılığıyla yayılıyor. Genelde olduğu gibi Internet Explorer kullanıcıları risk grubunda. IE, virüslü sitelerden kötü amaçlı yazılım indirmek üzere şifreli bir protokol kullanıyor ve bu da analizi karmaşıklaştırarak kötü amaçlı yazılımın herhangi bir güvenlik çözümü tarafından tespit edilememesine sebep oluyor. Evet, hala 2018’de ortaya çıkan bir açığı kullanıyor.
Virüs bulaştıktan sonra hem Buhtrap hem de RTM ele geçirilen iş istasyonlarına tam erişim elde ediyor. Bu, siber suçluların muhasebe ile banka sistemleri arasındaki veri alışverişi için kullanılan dosyaları değiştirmelerini sağlıyor. Bu dosyaların varsayılan adları olduğu ve ek bir koruma önlemi bulunmadığı için saldırganlar tarafından istedikleri gibi değiştirilebiliyor. Verilen zararı tahmin etmek oldukça zor fakat öğrendiğimiz kadarıyla suçlular bu işlemlerden her biri 15.000 Dolar’ı geçmeyen meblağlar çekiyor.
Ne yapılabilir?
İşletmenizi bu tür tehditlerden korumak için finansal sistemlere erişimi olan bilgisayarların (muhasebecilere veya yönetime ait bilgisayarlar gibi) korumasına özellikle dikkat etmenizi öneririz. Elbette diğer makinelerin de korunması gerekli. İşte birkaç pratik ipucu:
- Tüm yazılımlar için en kısa sürede güvenlik yamaları ve güncellemeleri yükleyin.
- Muhasebecilerin bilgisayarlarından uzaktan yönetim özelliklerinin kullanımını olabildiğince yasaklayın.
- Onaylanmayan programların yüklenmesini yasaklayın.
- Finans alanında çalışan personellerin genel güvenlik farkındalıklarını artırın ve aynı zamanda kimlik avına karşı uygulanan yöntemlere de odaklanın.
- Kaspersky Endpoint Security for Business gibi etkin davranışsal analiz teknolojilerine sahip bir koruma çözümü yükleyin.