Siber saldırganlar, kendilerini INTERPOL bünyesinde görev yapan siber suç soruşturmacıları gibi tanıtarak küçük ve orta ölçekli işletmelere fidye yazılımı ulaştırmaya başladı. Bitdefender’ın yayımladığı yeni araştırmaya göre saldırganlar, resmî kurum yazışmalarını taklit eden e-postalarla şirket çalışanlarını parola korumalı dosyaları açmaya ikna ediyor. Güvenlik uzmanları, INTERPOL kimlik avı saldırısı kapsamında kullanılan yöntemin Avrupa, Asya, Orta Doğu ve Kuzey Amerika’daki birçok sektörü hedef aldığını belirtiyor.

Sahte Soruşturma E-Postalarıyla Fidye Yazılımı Dağıtılıyor

Bitdefender’ın analizine göre saldırı, resmi kurum yazışmalarını taklit eden bir e-postayla başlıyor. Mesajda, şirketle bağlantılı sistemlerde şüpheli faaliyetler tespit edildiği ve inceleme için bazı kanıtların paylaşıldığı iddia ediliyor. Kurbanlardan, olayın finansal veya hukuki sonuçlar doğurmaması için ekli dosyayı incelemeleri isteniyor.

E-postadaki bağlantı kullanıcıyı Proton Drive üzerinde barındırılan parola korumalı bir arşive yönlendiriyor. Dosya açıldığında ise birden fazla sıkıştırılmış katmanın arasına gizlenmiş fidye yazılımı çalıştırılıyor. Zararlı yazılım etkinleştirildikten sonra erişebildiği sürücülerdeki dosyaları şifreliyor ve kurbanın karşısına fidye notu çıkarıyor. Araştırmaya göre saldırılar gıda, tarım, hukuk, ilaç, medya, teknoloji ve finans başta olmak üzere birçok sektörde faaliyet gösteren kuruluşları hedef alıyor. INTERPOL kimlik avı saldırısı özellikle siber güvenlik ekibi bulunmayan küçük işletmeleri hedef seçmesiyle dikkat çekiyor.

Bitdefender araştırmacıları, kullanılan fidye yazılımının gelişmiş saldırı gruplarının kullandığı araçlara kıyasla daha basit yapıda olduğunu belirtiyor. Kod içerisinde şifreleme işlemlerinde kullanılan bazı değerlerin sabit olarak bulunması ve gelişmiş fidye yazılımı operasyonlarında görülen birçok özelliğin yer almaması, saldırının özel olarak geliştirildiğine işaret ediyor. Bir diğer dikkat çekici ayrıntı ise saldırganların pazarlık için geleneksel fidye yazılımı siteleri yerine Tox mesajlaşma platformunu kullanması oldu. Uzmanlar, bunun hazır araçlar ve açık kaynak kodlardan yararlanılarak oluşturulmuş bağımsız bir operasyon olabileceğini değerlendiriyor.

Küçük İşletmeler Neden Daha Fazla Risk Altında?

KnowBe4 Baş Bilgi Güvenliği Danışmanı Javvad Malik’e göre saldırganlar özellikle INTERPOL gibi güven veren kurumların adını kullanarak çalışanların hızlı karar vermesini sağlamaya çalışıyor. Resmî soruşturma izlenimi oluşturan mesajlar, kullanıcıların şüpheli bağlantıları sorgulamadan açmasına neden olabiliyor. Araştırmacılar, küçük işletmelerin sınırlı BT kaynakları nedeniyle bu tür sosyal mühendislik saldırılarına karşı daha savunmasız olduğuna dikkat çekiyor. Güvenlik sorumluluklarının farklı çalışanlar arasında paylaşılması, siber güvenlik eğitimlerinin yetersiz kalması ve bütçe kısıtlamaları saldırganların başarı ihtimalini artırıyor.

Bitdefender, işletmelere resmî kurumlardan geldiği iddia edilen beklenmeyen e-postaların mutlaka doğrulanmasını öneriyor. Uzmanlara göre INTERPOL veya diğer kolluk kuvvetleri, parola korumalı dosyalar içeren Proton Drive bağlantıları göndererek kurumlarla iletişime geçmiyor. Bu nedenle bu tür mesajlar doğrudan şüpheli olarak değerlendirilmeli.

Şirket ayrıca Windows’ta dosya uzantılarının görünür hâle getirilmesini, çok faktörlü kimlik doğrulamanın (MFA) etkinleştirilmesini ve çalışanlara düzenli oltalama farkındalık eğitimi verilmesini tavsiye ediyor. INTERPOL kimlik avı saldırısı gibi sosyal mühendislik kampanyalarının önüne geçmenin en etkili yollarından biri, teknik güvenlik önlemlerini kullanıcı farkındalığıyla birlikte uygulamak olarak gösteriliyor.

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.