VİRÜS TANIMI

Virüs Türü: Gelişmiş Kalıcı Tehdit (APT)

Carbanak nedir?

Carbanak, finans kuruluşlarını hedefleyen APT türünde bir kampanya (ancak bununla sınırlı olmamak üzere) için kullandığımız isimdir. APT benzeri dememizin sebebi, saldırının tam olarak gelişmiş olmamasıdır. Açıkçası, saldırganları tanımlayan temel özellikleri ısrarcılıklarıdır.

Saldırganlar kurbanın ağına gizlice sızar ve para çalmak için kullanabilecekleri önemli sistemleri ararlar. Önemli miktarda para (kuruluş başına 2,5 - 10 milyon ABD doları) çaldıktan sonra kurbanı terk ederler.

Bu diğer APT saldırılarından nasıl farklıdır?

Diğer APT saldırılarıyla arasındaki temel fark, saldırganların verileri değil parayı birincil hedef olarak görmesidir.

Siber soygundan sorumlu olan Carbanak çetesi, hedefli saldırılar deposundan teknikleri kullandı. Bu komplo, siber suç faaliyetlerinin evriminde kötü amaçlı kullanıcıların doğrudan bankalardan para çaldığı ve son kullanıcıları hedeflemekten kaçındığı yeni bir aşamanın başlangıcı oldu.

Kaspersky Lab bu kötü amaçlı yazılımın tüm varyantlarını algılar mı?

Evet Backdoor.Win32.Carbanak ve Backdoor.Win32.CarbanakCmd gibi Carbanak örneklerini algılıyoruz.

Kaspersky Lab'in tüm kurumsal ürünleri ve çözümleri, Carbanak örneklerini algılar. Koruma düzeyini artırmak için her modern ürün ve çözüme dahil olan Kaspersky Proactive Defense Module özelliğini açmanız önerilir.

Genel bazı önerilerimiz de var:

  • Şüpheli e-postaları, özellikle eki olanları açmayın;
  • Yazılımınızı güncelleyin (bu kampanyada hiç 0 gün kullanılmadı)
  • Güvenlik paketlerinizde sezgisel analizleri açın. Böylece yeni örneklerin tespit edilmesi ve baştan durdurulması daha olasıdır.

İzinsiz giriş nasıl tespit edilir?

Tehlike Belirtileri bilgileri, ayrıntılı teknik araştırma belgemizde mevcuttur.

Kaspersky Lab, tüm finansal kuruluşların ağlarında Carbanak taraması yapmalarını ve bunun algılanması durumunda izinsiz girişi emniyete bildirmelerini önermektedir.

Şimdiye kadar saldırganların iki temel amacı olduğunu gözlemledik:

  • İstihbarat toplama
  • Diğer saldırı türlerine yardımcı olma

Şimdiye kadar 14 ülkede Regin kurbanları tespit edildi:

  • Cezayir
  • Afganistan
  • Belçika
  • Brezilya
  • Fiji
  • Almanya
  • İran
  • Hindistan
  • Endonezya
  • Kiribati
  • Malezya
  • Pakistan
  • Rusya
  • Suriye

Burada kurban tanımının bütün ağ dahil olmak üzere tam bir varlığı ifade ettiğinin altını çizmek gerekse de toplamda 27 farklı kurban saydık. Regin virüsü bulaşan benzersiz PC'lerin sayısı elbette çok daha fazladır.

Bu ulus devlet sponsorlu bir saldırı mıdır?

Regin geliştirmenin karmaşıklığı ve maliyeti göz önünde bulundurulduğunda bu operasyonun bir ulus devlet tarafından desteklenmesi olasıdır.

Regin'in arkasında hangi ülke var?

Söz konusu Regin'in ardındakiler gibi profesyonel saldırganlar olduğunda ilişkilendirme çok zor bir sorundur.

Kurbanların izinsiz girişi tespit etmelerine yardımcı olacak Tehlike Belirtileri (IOC) var mıdır?

Evet, IOC bilgileri ayrıntılı teknik araştırma belgemizde yer almaktadır.