POPÜLER APT (ADVANCED PERSİSTENT THREAT/GELİŞMİŞ KALICI TEHDİT) VE RANSOMWARE (FİDYE YAZILIM) GRUPLARI HANGİLERİDİR?
APT (Advanced Persistent Threat/Gelişmiş Kalıcı Tehdit) grupları; hedefledikleri sisteme veya sistemlere fark edilmeden haftalar, aylar veya belki de sistem içerisinde yıllarca kalabilen profesyonel hacker gruplarıdır. APT grupları gerek kullandıkları saldırı yöntemleri gerekse kullandıkları yazılımlar sebebiyle devlet destekli hareket eden gruplar olarakta faaliyet göstermektedir. Ancak son dönemlerde devlet destekli olmayan geniş çaplı saldırılar da gerçekleştirilmektedir. "Peki, sıklıkla gündeme gelen popüler APT grupları hangileridir?" sorumuzun cevabına istinadan saymakla başlayalım.
CactusPete
HoneyMyte
Lazarus,
MuddyWater ve XDSpy şeklinde devam etmekteyken "https://attack.mitre.org/groups/" bağlantısını ziyaret edebilirseniz APT gruplarının sayılarla ifade edildiğini ve detayı detayına yazıldığını göreceksinizdir. "groups" bağlantısının altındaki "https://attack.mitre.org/groups/G0016/", "https://attack.mitre.org/groups/G0128/", "https://attack.mitre.org/groups/G0050/" ve "https://attack.mitre.org/groups/G0087/" bağlantılarındaki APT29, APT31, APT32 ve APT39 gruplarına göz atmanızı öneririm.
APT gruplarının kullandıkları saldırı vektörleri ve tekniklere ilişkin çıkarımlar MITRE ATT&CK kullanarak yapılmaktadır. Bu Framework bugüne kadar gerçekleştirilmiş saldırıların büyük bir kısmının atak vektörlerinin tutulduğu bir yapıdır. Saldırı sürecinde sosyal mühendislik ve 0day (Zero-Day/Sıfır-Gün) açıklarını kullanan zararlı yazılımlar geliştirilip hedefe sızma gerçekleştirilebilmektedir. APT saldırıları çok dikkatli bir hazırlık sürecinden geçirilerek gerçekleştirildiğinden saldırı mevcut güvenlik önlemlerini atlatabilmek üzerine kuruludur ve dolayısıyla güvenlik teknolojilerinin güvenliğine önem verilmelidir.
Ransomware (Fidye Yazılım) gruplarının nihai hedefleriyse, hedefledikleri sistemi veya sistemlere bulaştırıldığı elektronik cihazın veya cihazların verilerini şifrelemeye, silmeye veya değiştirmeye yönelik saldırılar gerçekleştirilmektedir ve karşılığında sıklıkla takip edilmesi zor olan kripto para karşılığı ile düzenleneceği söylenmektedir. Halbuki tüm günlük kayıtlarını silebilmesini bir yana bırakalım tüm dosyaları silip “README.md” tanımlandırmasıyla yetkililer ile dalga geçercesine hacktivist faaliyetleri de tercih etmektedirler. Art niyet sahibi insanın veya insanların kurum çalışanını veya çalışanlarını takip etmesini ilkte hedef alır ve sonrasında kurumun içerisine kolaylıkla dahil olunmaktadır. Gündemde sıklıkla yer alan ransomware grupları:
BianLian,
CL0P,
Conti,
Cuba,
DoppelPaymer,
Everest,
Hive,
Karakurt,
LockBit,
Lorenz,
Lorenz,
Maze/Egregor,
NetWalker
Pysa,
RansomHouse,
REvil,
Snatch,
Vice Society ve türevleri şeklinde uzayıp gitmektedir.
