Emotet, Saldırılarına Günlük 100 Bin E-Posta ile Devam Ediyor! Korunmak için Neler Yapılabilir?

Yaklaşık iki ay süren sessizliğin ardından, Emotet trojan yazılımının yeni versiyonu ile hortladığı görülüyor. İki ayrı güvenlik raporunda yer alan bilgilere göre Emotet, her gün 100 binden fazla saldırı amaçlı e-posta gönderirken, güvenlik önlemlerine de karşı koyuyor.

Birkaç yıldan bu yana siber suç dünyasında varlık gösteren Emotet’in arkasındaki siber suçlular, çok katmanlı saldırılar düzenlemek için diğer siber suç örgütleri ile iş birliği yapmaları ile biliniyor. Emotet’in eski versiyonları bir diğer trojan TrickBot‘un yanı sıra sağlık sektörü üzerinde yıkıcı etki yapan Ryuk fidye yazılımı ile kullanılmıştı.

Emotet’in yeni versiyonu ile düzenlenen saldırılar Ekim ayında patlak verirken, kötü amaçlı yazılım ile port 445 üzerinden sızıntılar deneniyor. TCP port 445, NetBIOS katmanı olmaksızın doğrudan TCP/IP MS Ağ erişimi sağlamak için kullanılıyor.

Sunulan bir rapora göre, pandemiye yönelik aşı geliştirilme sürecinde en fazla Covid-19 temalı sahte e-posta gönderen kötü amaçlı yazılım Emotet oldu. Emotet, siber suçlulara birkaç fonksiyon ile saldırı imkânı sunuyor: Bilgi çalabiliyor ve sızılan bir bilgisayar ağından hesap bilgilerini, bağlantı listelerini ve e-posta bağlantılarını sızdırabiliyor. Ele geçirdiği yeni bağlantıları hedef adreslerine ekleyen Emotet, çaldığı bilgiler ile daha gerçekçi e-postalar hazırlıyor.

Ek olarak sistemlere erişim sağladıktan sonra başka kötü amaçlı yazılımları da taşıyabilen Emoter, fidye yazılım gibi birçok farklı saldırı başlatabiliyor. Emotet kaynaklı en son saldırılar, siber suçluların farklı oltalama ile sosyal mühendislik saldırıları denediği yılbaşı öncesindeki dönemde tespit edildi. Emotet’in en son saldırılarında taşıma yükünü DLL içerikli sahte bir hata mesajı olarak yükleyebildiği ortaya çıktı (DLL, Microsoft’un işletim sistemlerinde kullandığı paylaşılmış kütüphane konseptini temsil ediyor). Araştırmalar, Covid-19 temalı sahte e-postaların dikkat çekmek için geliştirilen aşılarla bağlantılı olabileceğine işaret etti.

İlginizi Çekebilir: Bir Oltalama Saldırısı Nasıl Tespit Edilir?

Emotet, saldırılarını geliştirdiği gibi güvenlik sistemleri tarafından da daha zor tespit edilebilir hale geldi. E-postalara eklenen kötü amaçlı komut içeren dosyaların “korunduğu” belirtiliyor, böylece kullanıcılar dosyayı açmak için belirli komutları temsil eden klavye veya fare işlemlerini temsil eden macros yapmasını tetikliyor. Böylece, virüs içerikli kötü amaçlı içerik açılmış oluyor.

Geçmişteki versiyonlarına kıyasla, yeni Emotet versiyonu macros girildikten sonra bir diyalog kutusu açıyor ve Microsoft Word’de yaşanan hatadan dolayı dosyanın açılmadığını belirtiyor. Böylece kullanıcının görmeyi umduğu dosyayı neden açamadığına dair açıklama yapılıyor, bu esnada Emotet arka planda çalışmaya başlıyor.

Emotet versiyonuna nasıl karşı konulacak? 

Emotet’in yeni versiyonunda aynı zamanda bir .exe uzantısı yer alıyor. Eski versiyon tek başına uygulanabilir bir dosyayken, yeni versiyon Windows içine işlenen rundll32.exe ile sonuçlandırılan bir DLL dosyasını temsil ediyor. Ayrıca, kötü amaçlı yazılımın kumanda ve kontrolü de (C&C) geliştirilerek düz metin yerine ikili koda geçildi. Tüm bu güncellemeler, sistem yöneticilerinin bir siber saldırıyı tespit etmelerini zorlaştırıyor.

Daha fazla dikkati gerekli kılıyor…

Siber güvenlik uzmanları, geçmişte Emotet saldırılarında düzen bulunmadığını, şimdi ise sahte e-posta kampanyalarını ve kötü amaçlı yazılımları kullanarak saldırılar gerçekleştirdiğini belirtti. ABD federal hükümeti tarafından yapılan uyarılar, bu ülkede şirketlerin Emotet saldırılarına karşı koyabilmek için sanayi standardı güvenlik önlemlerini benimsemelerini sağladı. BT uzmanlarının siber saldırılarda sıkça kullanılan .exe ve .dll gibi e-posta eklentilerini bloke etmesi büyük önem taşıyor. Ayrıca, güvenlik yazılımları ile taranması mümkün olmayan diğer uzantıların da bloke edilmesi şart.

Şirketlerin aynı zamanda grup politikası ile güvenlik duvarı kuralları, resmileştirilmiş yama yönetimi süreci belirlemeleri, aynı zamanda güvenlik yazılımı kullanmaları gerekli. Ek olarak, e-posta taramalarında filtrelerin belirlenmesi, şüpheli IP adreslerinin güvenlik duvarı tarafından bloke edilmesi gerekiyor.

Diğer saldırı önleme yöntemleri arasında sistemlere erişimlerin kullanım önemine göre belirlenmesi, ağ ve fonksiyonlarını bölümlere ayırma, gereksiz ve yanal iletişimin kısıtlaması yer alıyor. Tüm son noktalarda güçlü şifreleme politikası veya aktif dizin doğrulaması uygulanması da not düşülmeli.