724 Milyon Dolardan Fazla Kripto Hırsızlığı ve Gaspının Arkasında TrickBot Var

Siber suçlular, geleneksel veri şifrelemenin ötesine geçerek, dörtlü gasp olarak bilinen daha agresif bir yaklaşım benimseyerek taktiklerini artırıyor. Bu endişe verici eğilim, lider siber güvenlik ve bulut bilişim firması Akamai tarafından bugün yayınlanan "2025 Fidye Yazılımı Raporu: Değişken Bir Tehdit Ortamında Dayanıklılık Oluşturma" adlı son raporda açıklanıyor.

Rapor, çift gaspın (saldırganların verileri şifreleyip fidye ödenmezse sızdırmakla tehdit ettiği bir teknik) yaygınlığını sürdürdüğünü ortaya koyarken, ortaya çıkan dörtlü gaspın baskı katmanlarını artırdığını ortaya koyuyor. Bu, mağdurun operasyonlarını durdurmak için dağıtılmış hizmet reddi (DDoS ) saldırıları kullanmayı ve ödeme talebini artırmak için müşteriler, iş ortakları ve hatta medya gibi üçüncü tarafları taciz etmeyi içeriyor.

Akamai'de Danışmanlık CISO'su Steve Winterfeld, "Günümüzde fidye yazılımı tehditleri artık sadece şifrelemeyle ilgili değil," dedi . Saldırganların artık "çalıntı verileri, kamuoyunun dikkatini çekmeyi ve hizmet kesintilerini kurbanlar üzerindeki baskıyı artırmak için" kullandığını ve siber saldırıları büyük iş krizlerine dönüştürdüğünü vurguladı.

Akamai raporu, siber suç dünyasındaki diğer önemli gelişmeleri de vurguluyor. Üretken yapay zeka ve büyük dil modelleri ( LLM'ler ), teknik becerisi daha az olan kişilerin kötü amaçlı kod yazmalarına ve sosyal mühendislik tekniklerini geliştirmelerine yardımcı olarak karmaşık fidye yazılımı saldırıları başlatmalarını kolaylaştırıyor. Raporda, Black Basta ve FunkSec gibi grupların ve diğer RaaS platformlarının yapay zekayı hızla benimsediği ve gasp taktiklerini geliştirdiği özellikle belirtiliyor.

Ayrıca, hacktivistlerin amaçlarını fidye yazılımlarıyla birleştiren hibrit gruplar, giderek artan bir şekilde fidye yazılımı hizmeti (RaaS) platformlarını kullanıyor. Bu platformlar, bireylerin veya grupların fidye yazılımı araçlarına ve altyapılarına erişim kiralamasına olanak tanıyarak, siyasi, ideolojik ve finansal nedenlerle etkilerini artırıyor. Bir örnek olarak, 2024 yılında Stormous grubundan ortaya çıkan ve artık daha küçük ve daha az güvenli kuruluşlara odaklanan Dragon RaaS verilebilir.

Araştırma, belirli sektörlerin özellikle savunmasız olduğunu gösteriyor. Kripto para madenciliği saldırılarının neredeyse yarısı, kurbanın bilgisayar kaynaklarını gizlice kullanarak kripto para madenciliği yapmayı içeren kâr amacı gütmeyen kuruluşları ve eğitim kuruluşlarını hedef aldı. Bunun nedeni, bu kuruluşların genellikle siber güvenliğe ayrılmış daha az kaynağa sahip olmasıdır.

Trickbot kötü amaçlı yazılımının onlarca yıldır kripto para işlemlerini ele geçirdiği biliniyor ve bu grupların yol açtığı maddi zarar nihayet ortaya çıkıyor. Fidye yazılımı grupları tarafından yaygın olarak kullanılan TrickBot kötü amaçlı yazılım ailesi, 2016'dan bu yana mağdurlardan 724 milyon doların üzerinde kripto para gasp etmekten tek başına sorumlu.

Trickbot'un altyapısı 2020 yılında kaldırılmış olsa da Akamai'nin Guardicore Hunt Ekibi yakın zamanda birkaç müşteri sisteminde devam eden şüpheli faaliyetlerini tespit etti.

TrickBot kötü amaçlı yazılımı , öncelikle bankalardan, teslimat hizmetlerinden veya devlet kurumlarından gelen meşru mesajlar gibi görünen kimlik avı e-postaları aracılığıyla yayılır. Bu e-postalar, Word veya Excel dosyaları gibi kötü amaçlı ekler veya güvenliği ihlal edilmiş web sitelerine bağlantılar içerir. Bir kullanıcı bu eklerden birini açtığında, makroları etkinleştirmesi istenebilir. Etkinleştirilirse, kötü amaçlı komut dosyaları arka planda çalışır ve TrickBot'u sessizce sisteme yükler.

TrickBot, kimlik avına ek olarak, yamalanmamış yazılım güvenlik açıklarından da yararlanabilir. Bir sistem en son güvenlik düzeltmeleriyle güncellenmemişse, kötü amaçlı yazılım bu açıkları kullanarak erişim sağlayabilir veya ağa yayılabilir. TrickBot'un, özellikle Emotet veya QakBot gibi diğer kötü amaçlı yazılımlar tarafından dağıtılması da yaygındır. Bunlar, yükleyici görevi görerek, TrickBot'un takip edebilmesi için enfeksiyonu hazırlar.

TrickBot erişim sağladığında, oturum açma kimlik bilgilerini toplar, bağlı sistemleri haritalandırır ve diğer makinelere bulaştırır. Bu enfeksiyon zinciri, daha fazla veri toplamasına ve hatta bazen fidye yazılımı dağıtmasına olanak tanır.

Akamai Başkan Yardımcısı ve Gizlilik Sorumlusu James A. Casey, bu gelişen tehditlere karşı direnç oluşturmak için güçlü siber güvenlik önlemlerinin, olay raporlamasının ve Sıfır Güven ve mikro segmentasyon gibi etkili risk yönetimi stratejilerinin önemini vurguladı. Kuruluşların güncel kalmaları ve siber gaspın değişen taktiklerine karşı savunmalarını uyarlamaları gerektiğini vurguladı.