Siber güvenlik tehditlerinin sürekli gelişen doğası, ortaya çıkan tehditlere karşı sürekli tetikte olmayı gerektirir. İlgi çeken bu tür tehditlerden biri de kripto kötü amaçlı yazılımdır. Son istatistikler rahatsız edici bir eğilimi ortaya koyuyor: Yalnızca 2023'ün ilk yarısında 300 milyondan fazla kripto kötü amaçlı yazılım saldırısı kaydedildi; bu, 2022'nin aynı dönemine kıyasla neredeyse %400'lük bir artışı temsil ediyor.
Endişe verici istatistikler, siber suç ortamındaki dinamiklerin değiştiğini gösteriyor ve bu da kripto kötü amaçlı yazılımlara giderek daha fazla odaklanıldığını gösteriyor. Peki, kripto kötü amaçlı yazılım tam olarak nedir? Kripto kötü amaçlı yazılım, kripto para madenciliği amacıyla bilgisayarların veya cihazların işlem gücünü ele geçirmek için tasarlanmış bir kötü amaçlı yazılım sınıfıdır.
Kripto kötü amaçlı yazılımları bunu cryptojacking adı verilen bir işlemle gerçekleştirir. Genellikle çalınan işlem gücü, Monero (XMR) gibi, yetkililerin takip etmesini zorlaştıran gelişmiş gizleme özelliklerine sahip gizlilik odaklı kripto para birimlerinin madenciliği için kullanılıyor.
Bununla birlikte, halka açık ilk kripto hırsızlığı komut dosyası 2017 yılında Coinhive tarafından yayımlandı. Komut dosyası, web yöneticilerinin, ziyaretçilerinin cihazlarının bilgi işlem gücünden yararlanmak için web sitelerine madencilik kodu yerleştirmelerine olanak tanıdı. Bu, kripto kötü amaçlı yazılım saldırılarının sonraki yıllarda hızla artmasıyla büyüyen bir trendin başlangıcı oldu.
Kripto kötü amaçlı yazılım saldırıları neden artıyor ve nasıl gerçekleştiriliyor?
Mevcut trendlere göre bilgisayar korsanları, fidye yazılımı gibi yıkıcı siber güvenlik saldırılarından, daha pasif kabul edilen kripto kötü amaçlı yazılım saldırılarına yöneliyor. Siber güvenlik uzmanları bu paradigma değişimini çeşitli faktörlere bağlıyor.
Bunlardan en önemlisi, kripto hırsızlığı saldırılarının, suçla mücadele kurumlarının rutin olarak dikkatini çeken fidye yazılımı saldırıları gibi taktiklerle karşılaştırıldığında nispeten düşük riskli olmasıdır. Dahası, kripto madenciliğinin yasa dışı olması gri bir alandır ve kötü niyetli grupların incelemeden kaçınmasını kolaylaştırır.
Kripto kötü amaçlı yazılım saldırılarının maliyet etkinliği, bilgisayar korsanlarının işlem gücünü çalmaya daha fazla odaklanmasına neden olan başka bir faktördür. İşlem gücü çalmanın maliyeti neredeyse sıfırdır ve ganimet, minimum zorlukla kolayca nakde dönüştürülebilir. Bu özellik, cryptojacking'i hain gruplar için oldukça uygun hale getiriyor. Ek olarak, geleneksel kötü amaçlı yazılımların aksine, cryptojacking saldırıları, tespit edilmesi zor olan tarayıcı boşlukları gibi düşük seviyeli istismarları kullanır.
Nesnelerin İnterneti (IoT) cihazlarının yaygın kullanımı, kripto kötü amaçlı yazılım saldırılarındaki artışa katkıda bulunan bir başka faktördür. IoT cihazları genellikle bilgisayarlara kıyasla daha zayıf güvenlik önlemlerine sahip olduğundan, istismara karşı daha savunmasızdırlar. Bu da onları bilgisayar korsanlarının öncelikli hedefi haline getiriyor. Bu faktör, kripto kötü amaçlı yazılım saldırılarına yönelik saldırı yüzeyini yanlışlıkla artırır.
Kripto kötü amaçlı yazılım ve fidye yazılımı karşılaştırması
Kripto kötü amaçlı yazılım ve fidye yazılımı iki farklı kötü amaçlı yazılım türüdür. Kripto kötü amaçlı yazılımları, kullanıcıların izni olmadan bilgisayarlarda kripto para madenciliği yapmak için kullanılan kötü amaçlı yazılımlar olsa da fidye yazılımları, bilgisayar korsanları tarafından bilgisayarlardaki dosyaları şifrelemek ve şifrelerinin çözülmesi için fidye ödemesi talep etmek için kullanılır.
Aşağıda bunların temel farklılıklarına genel bir bakış yer almaktadır:
Kripto kötü amaçlı yazılım saldırıları nasıl yayılır?
Yıllar geçtikçe siyah şapkalılar, kripto kötü amaçlı yazılım saldırıları gerçekleştirmek için bilgi işlem cihazlarını tehlikeye atmanın birçok yolunu geliştirdi. Bilgisayar korsanlarının kullandığı bazı temel stratejilerin dökümü aşağıda verilmiştir:
Kripto madenciliği kodunu yükleme
Kripto madenciliği amaçlı kötü amaçlı yazılımların bir bilgisayara enjekte edilmesi, bilgisayar korsanlarının ele geçirilen cihazların bilgi işlem kaynaklarından yararlanmak için kullandığı yaygın bir taktiktir. Çoğu durumda saldırganlar, kurbanları kripto madenciliği amaçlı kötü amaçlı yazılımlarla dolu görünüşte zararsız dosyaları indirmeleri için kandırarak veya onları kötü amaçlı yazılım yükleri dağıtmak üzere tasarlanmış kötü amaçlı web sitelerine yönlendiren bağlantılara tıklamaya yönlendirerek kötü amaçlı yazılımı bir bilgisayara yükler.
Bazı durumlarda, bilgisayar korsanı grupları kötü amaçlı yazılımı güvenliği ihlal edilmiş yönlendiriciler aracılığıyla yayarak tespit ve hafifletme çabalarını daha da karmaşık hale getirir.
Kripto madenciliği komut dosyalarını reklamlara ve web sitelerine enjekte etme
Siber suçlular, reklamlara ve web sitelerine kötü amaçlı komut dosyaları yerleştirerek kripto madenciliği yapan kötü amaçlı yazılımları açığa çıkarabilir. Komut dosyaları, genellikle ziyaretçilerin bilgisayarlarını, virüslü sayfaları açtıklarında kripto para madenciliği yapmaya zorlamak için tarayıcıdaki güvenlik açıklarından yararlanır. Bu, kurbanın virüslü reklamlara veya web sitesindeki tetikleyici öğelere tıklamaktan kaçınması durumunda bile meydana gelebilir.
Yazılım ve işletim sistemlerindeki güvenlik açıklarından yararlanma
Bilgisayar korsanları, kurbanların cihazlarına kripto madenciliği kodu yüklemek için yazılım ve işletim sistemlerindeki güvenlik açıklarından düzenli olarak yararlanıyor. Çoğu durumda bunu, bilinen güvenlik açıklarından yararlanarak veya sıfır gün açıklarından faydalanarak başarırlar.
Bazı cryptojacking kampanyalarının, meşru sistem süreçlerini taklit eden cryptojacking modüllerini yüklemek için yandan yükleme açıklarından yararlandığı da tespit edildi. Yan yükleme, bir geliştirici tarafından bir cihazda çalıştırılması onaylanmayan kodun eklenmesidir. Bu teknik, kripto kötü amaçlı yazılımlar da dahil olmak üzere kalıcı kötü amaçlı yazılımların konuşlandırılmasına olanak tanır.
Bulut tabanlı altyapı güvenlik açıklarından yararlanma
Bilgisayar korsanlarının, kripto madenciliği için muazzam işlem güçlerini çalmak amacıyla bulut tabanlı altyapıdaki güvenlik açıklarından yararlandıkları biliniyor.
Bazı durumlarda saldırganlar, kripto kötü amaçlı yazılım saldırılarını gerçekleştirmek için gizli, dosyasız veriler kullanmaya başvurdu. Yükler genellikle bulut iş yükleri durdurulduğunda bellekten kaybolacak şekilde programlanır, bu da algılama çabalarını daha da karmaşık hale getirir.
Kötü amaçlı tarayıcı uzantıları
Siber suçlular bazen cryptojacking saldırıları gerçekleştirmek için kötü amaçlı tarayıcı uzantılarını kullanır. Genellikle meşru amaçlarla eklenti olarak gizlenen uzantılar, kurbanların makinelerini dijital varlık madenciliği yapmaya zorluyor.
Bu tür uzantıların kötü amaçlı etkinliklerinin, görünüşte meşru işlevleri nedeniyle tespit edilmesi genellikle zordur.
Kripto kötü amaçlı yazılım bulaşmasının belirtileri
Kripto kötü amaçlı yazılım enfeksiyonları, göz kamaştırıcı derecede açık olanlardan aldatıcı derecede ince olanlara kadar çeşitli şekillerde ortaya çıkabilir. Aşağıda kripto kötü amaçlı yazılım bulaşmasının bazı işaretlerinin dökümü yer almaktadır:
Artan CPU kullanımı
Kripto kötü amaçlı yazılımlar genellikle bir bilgisayarın merkezi işlem birimini (CPU) hedefleme eğilimindedir. CPU, bir makinenin donanımını, işletim sistemlerini ve uygulamalarını koordine etmekten sorumlu birincil işlem bileşenidir. Çeşitli bileşenlerden gelen talimatları işlemek için karmaşık elektronik devrelerden yararlanır.
Bu nedenle, kripto madenciliği kötü amaçlı yazılımlarının bulaştığı bilgisayarlarda genellikle CPU kullanımında anormal bir artış yaşanıyor. CPU etkinliği, Windows'ta Görev Yöneticisi veya macOS'ta Etkinlik Monitörü kullanılarak izlenebilir. Özellikle sistem boştayken CPU kullanımında ani ve sürekli bir artış, kripto kötü amaçlı yazılım bulaştığına işaret edebilir.
Yavaş performans
Kripto kötü amaçlı yazılımların CPU kaynaklarına yoğun bağımlılığı, genellikle genel sistem performansında gözle görülür bir düşüşe yol açar. Performans sorunları, CPU'nun kripto para birimi madenciliği işlemleriyle aşırı yüklenmesine bağlanabilir.
Kripto kötü amaçlı yazılım bulaşması durumunda, performanstaki düşüşe genellikle aşırı ısınma sorunları gibi ikincil sorunlar eşlik eder ve bu sorunlar bazen bilgisayarın soğutma sistemini (fanlarını) ısıyı dağıtmak için daha fazla çalışmaya zorlar. Çoğu zaman bu, artan elektrik tüketimiyle örtüşür.
Olağandışı ağ etkinliği
Olağandışı bilgisayar ağı etkinliği, kripto kötü amaçlı yazılım bulaştığını gösterebilir. Bunun nedeni, kripto kötü amaçlı yazılımların genellikle güncellemeleri ve talimatları almak için harici sunuculara ping atacak şekilde ayarlanmış olmasıdır. Sonuç olarak, sık sık giden bağlantılar gibi düzensiz ağ düzenleri potansiyel bulaşmaların habercisi olabilir.
Bu tür faaliyetlere genellikle alışılmadık süreçlerin veya normalden daha fazla CPU kaynağı tüketen uygulamaların ortaya çıkması eşlik eder.
Kripto kötü amaçlı yazılım saldırılarına karşı koruma
Kripto kötü amaçlı yazılım saldırıları çeşitli yöntemlerle caydırılabilir. Aşağıda bunlardan bazılarının dökümü yer almaktadır.
İşletim sistemini ve yazılımı güncel tutmak
Bir bilgisayarın işletim sisteminin düzenli olarak güncellenmesi, yazılımın en son güvenlik yamalarına sahip olmasını sağlar ve kripto kötü amaçlı yazılım saldırılarını caydırabilir. Önlem tedbirinin ardındaki mantık, güncellemelerin siber suçluların saldırı başlatmak için eski sistemlerdeki boşlukları kullanmasını önleyecek olmasıdır.
Saygın antivirüs ve kötü amaçlı yazılımdan koruma yazılımını yükleyin ve kullanın
Güçlü kötü amaçlı yazılımdan koruma yazılımı yüklemek, kripto kötü amaçlı yazılımlar da dahil olmak üzere siber güvenlik tehditlerini caydırmak için çok önemli bir adımdır. En yüksek puan alan kötü amaçlı yazılımdan koruma programları genellikle cihazları kötü amaçlı yazılımlara karşı düzenli olarak tarar ve kripto madencileri de dahil olmak üzere tehditleri tanımlamak için gelişmiş algılama yöntemleri kullanır.
Güçlü antivirüs yazılımlarının çoğu aynı zamanda kripto kötü amaçlı yazılımların bir sisteme yayılmasını tanımlayabilen ve engelleyebilen gerçek zamanlı tarama özelliklerine de sahiptir.
E-posta ekleri ve bağlantılarına karşı dikkatli olun
E-posta, siber suçluların kripto kötü amaçlı yazılımlar da dahil olmak üzere kötü amaçlı yazılım yayması için tercih edilen bir araç olmaya devam ediyor. Kötü amaçlı e-posta dağıtım planlarının kurbanı olmaktan kaçınmak için, bilinmeyen veya şüpheli kaynaklardan gelen e-postalardaki ekleri açmaktan veya bağlantılara tıklamaktan kaçınılmalıdır.
Bunun nedeni, siber suçluların, kullanıcıları farkında olmadan cihazlarına kripto kötü amaçlı yazılım indirmeleri için kandırmak amacıyla yanıltıcı e-postalar kullanmasıdır. Bu nedenle şüpheli e-postaları göz ardı etmek, kripto kötü amaçlı yazılım saldırılarını önlemeye yardımcı olabilir.
Yazılımı yalnızca güvenilir kaynaklardan indirin
Saygın kaynaklardan yazılım indirmek, kötü amaçlı programlarla karşılaşma riskini azaltır. Bunun nedeni saygın platformların, güvenliği ihlal edilmiş yazılımları dağıtma olasılığını azaltmak için genellikle sıkı güvenlik kontrollerinden geçmesidir. Öte yandan güvenilmez web siteleri genellikle bu tür güvenlik önlemlerine sahip değildir ve bu nedenle kripto madenciliği kötü amaçlı yazılımları da dahil olmak üzere kötü amaçlı yazılım içeren yazılımları dağıtma olasılıkları yüksektir.
Güvenlik duvarı kullanın
Güvenlik duvarı, bilgisayar cihazı ile internet arasında bariyer görevi görür ve genellikle gelen ve giden bağlantıları filtreleyerek yetkisiz erişimi engelleyecek şekilde ayarlanır. Eklenen güvenlik katmanı, kripto kötü amaçlı yazılımların makinelere bulaşmasını zorlaştırıyor.
Install an anti-cryptojacking extension
Kripto hırsızlığına karşı özel tarayıcı uzantıları yüklemek, tarayıcı öğelerini hedeflemek için tasarlanmış kripto madenciliği komut dosyalarının tespit edilmesine ve engellenmesine yardımcı olabilir. Meşru anti-cryptojacking uzantıları genellikle resmi tarayıcı geliştirici web mağazalarında bulunur.
Daha ekstrem bir yaklaşım olsa da bir alternatif, tarayıcıdaki JavaScript desteğini devre dışı bırakmaktır. Azaltma önlemi, JavaScript tabanlı cryptojacking komut dosyalarının yürütülmesini önleyecektir.
Gelecekteki kripto kötü amaçlı yazılım eğilimleri
Mevcut eğilimlere bağlı olarak, kaydedilen kripto kötü amaçlı yazılım saldırılarının sayısının gelecekte artması muhtemeldir. Bu kısmen kolluk kuvvetlerinin önceliklerinin fidye yazılımı ve veri ihlalleri gibi yüksek profilli siber suçlara yönelmesinden kaynaklanıyor. Yetkililerin dikkatinin azalması muhtemelen siber suçluları cesaretlendirecek ve cryptojacking saldırılarında artışa yol açacaktır.
Geçmiş eğilimler, siber suçluların gelişen teknolojilerdeki güvenlik açıklarından yararlanmak için yeni kripto hırsızlığı teknikleri geliştirmeye devam edeceğini gösteriyor. Bu evrimin, geleneksel güvenlik çözümlerinin en azından başlangıçta bu tür saldırıları tespit etmesini ve önlemesini zorlaştırması muhtemeldir.
Son olarak, kripto korsanlığı ve bununla ilişkili riskler hakkındaki sınırlı kullanıcı farkındalığı, kripto kötü amaçlı yazılımlarla mücadelede önemli bir engel olmaya devam ediyor. Anlayış eksikliği çoğu zaman önleyici tedbirlerin göz ardı edilmesine yol açarak daha fazla makinenin savunmasız kalmasına ve enfeksiyon oranlarının artmasına katkıda bulunur.