Crowdstrike’ın en yeni siber suç eğilimlerine göre, kötü amaçlı yazılım içermeyen siber suçlar, 2021’de %62’den, yıllık kaydedilen vakaların %71’ine ulaştı.
Çoğu durumda, sistemlere erişim elde etmek ve cihazın meşru kullanıcısı olarak ayrıcalıklara sahip olmak için geçerli kimlik bilgilerinden yararlanıldı. Kamuoyunun siber saldırı algısının aksine, kötü amaçlı yazılım hiçbir şekilde sistemlere erişim elde etmek veya cihazı ve bağlı sistemleri kullanma kararlılığını sürdürmek için kullanılmadı.
CrowdStrike Global Threat Report 2023’e göre, siber suçlular kötü amaçlı yazılım yerine ilk erişim elde etmek için çalınan kimlik bilgilerinden yararlanıyor. Aslında, güvenlik kontrollerinden geçmelerine ve bağlı sistemlere ve kullanıcılara erişim kazanmalarına yardımcı olduğu için meşru kimlik bilgilerinin kötüye kullanımı bu yıl iki katına çıktı.
Raporda, yama yapılmamış güvenlik açıklarını takip etme ve bunlara dokunmaya yönelik asırlık tekniğin de aynı derecede popüler olduğu belirtildi.
Güvenlik açıkları, hâlâ zararlı: Siber Suç Eğilimleri
2022’de tehdit aktörleri, başarılı bir istismar elde etmek için sürekli olarak önceden oluşturulmuş saldırı vektörlerine ve bileşenlerine güvendi.
Aktörler, bir güvenlik açığı keşfettikten sonra, diğer benzer güvenlik açığı bulunan ürünleri hedeflemek için aynı açıktan yararlanmayı değiştirebilir veya yeniden uygulayabilir veya bilinen güvenlik açığı bulunan bileşenlere odaklanabilir ve diğer yararlanma vektörlerini keşfederek düzeltme ekini engelleyebilir.
Raporda, “Bu, özellikle çeşitli enjeksiyon tekniklerine ve keyfi dosya teslimi istismarlarına karşı savunmasız olan uç cihazlar için geçerlidir” dedi.
2022’de güvenlik açığı keşfi ve istismarının öne çıkan örneklerinden biri, çok sayıda ürünü hedef alan Log4Shell istismarıydı. Açıktan yararlanmanın varyasyonları, başlangıçta elde edilemeyen diğer ürünlerde özel kullanıma izin verdi. CVE-2021-44228 istismarı hakkında yeraltındaki tehdit aktörleri arasındaki tartışmalar, Log4Shell’e olan sürekli ilgiyi yansıtacak şekilde yıl boyunca devam etti.
Benzer şekilde, Ocak 2022’de Polkit paketini hedef alan PwnKit istismarı bağlamında çeşitli ürünlerde bir keşif ve istismar süreci ortaya çıktı. Dış kaynaklardan gelen savunmasız paketler de yıl boyunca tescilli yazılım kullanımına katkıda bulundu.
Siber Suç Eğilimleri yamalardaki hataların aşıldığını gösteriyor
Tehdit aktörleri, 2022’de sıfır gün ve N gün güvenlik açıklarından yararlanmak için özel bilgilerden yararlanarak önceki yamalardaki azaltmaları atlatma yeteneklerini gösterdi.
“Örneğin, 2021’deki ProxyLogon ve ProxyShell kampanyaları sırasında Microsoft Exchange’i tehlikeye atmak için istismar edilen proxy mekanizmaları, bu sefer ProxyNotShell (CVE-2022-41040 ve CVE-2022-41082) adlı kimliği doğrulanmış bir varyasyon kullanılarak 2022’nin 4. çeyreğinde tekrar hedeflendi” dedi. rapor
“ProxyNotShell azaltmaları, fidye yazılımıyla bağlantılı aktörler aynı hedefleri gerçekleştirmek için CVE-2022-41080’i kötüye kullanan alternatif bir istismar vektörü kullandığında daha sonra atlandı.”
Benzer bir model, Mart ve Ağustos 2022 arasında gözlemlenen Windows Ortak Günlük Dosya Sistemi (CLFS) sürücüsüyle ilişkili bir dizi sıfır gün açığıyla ortaya çıktı.
CVE-2022-37969 istismarının geliştiricileri, daha önceki bir CLFS güvenlik açığına (CVE-2022-24521) yönelik azaltmaları belirlemek ve atlamak için bir teknik kullanarak uzmanlıklarını gösterdiler.
2022’de siber suçlular
Pandemi ile ilgili siber suçlar ve bilgisayar ağı operasyonlarını kullanan ulus devlet siber suçları, 2022 yılı boyunca devlet hedeflerini gerçekleştirerek gözlemlendi. Devlet destekli tehdit aktörleri tarafından etkilenen sistemlere Ukrayna karşıtı sloganlar bırakılarak birkaç siber saldırı düzenlendi.
İran’ın bölgesel casusluk siber saldırıları yürüttüğü tespit edildi ve Kore Demokratik Halk Cumhuriyeti devlet bağlantı noktası bilgisayar korsanları, COVID-19 pandemisinden sonra sağlanacak devlet fonlarını artırmak için kripto cüzdanlarını hacklemeye devam etti.
Yasal kurumlar ve araştırmacılar, siber suçluları bulundukları yere kadar takip etseler de, şirketler tarafından benimsenen gelişmiş savunma teknolojisine ayak uydurmak için daha fazla geliştirilen araçlarla kendilerini yeniden gruplandırdıkları ve yeniden markalaştırdıkları gözlemlendi.
Erişim aracısı hizmetleri, 2021’e kıyasla %112 artan, siber suçluların artan erişim ihtiyacını gösteren karanlık ağda yoğun bir şekilde aranıyordu. Suçlu yeraltı platformlarında aynı şey için 2.500’den fazla reklam bulundu. 2022’deki siber suç ortamına ilişkin diğer bazı gözlemler şöyleydi:
- Vishing, çok faktörlü kimlik doğrulama isteklerini atlatmak ve kötü amaçlı yazılım indirmek için tercih edildi. Sesli arama kimlik avı, siber suçluların hedeflerle doğrudan iletişim kurmasına da yol açtı.
- 2022’nin ikinci yarısında Avrupalı ve ABD’li şirketlerin hedeflenmesinin artmasıyla birlikte yanlış bilgilendirme, yanlış mesajı yaymak için bir araç olarak kullanıldı.
- CrowdStrike, yıl boyunca 200’den fazla siber suçlunun izini sürdü ve e-Suçların çoğu Doğu Avrupa ve Rusya’da izlendi. Adını DEADEYE HAWK olarak değiştiren Suriye bağlantılı DEADEYE JACKAL, 2022’de kuruldu.
2022 siber suç ortamının 1-10-60 kuralı
Bir ana cihazdan yatay olarak hareket etmek için geçen süre 2021’de 98 dakikaydı ve 2022’de 84 dakikaya düşürüldü. Bu, daha hızlı bir hafifletme süresi gereksinimine duyulan ihtiyacı vurguladı.
1-10-60, 1’in tehdidin tespit edilmesi gereken zaman çerçevesini, tehdidin anlaşılması gereken 10 dakika olduğunu ve 60, ekibin olayı hafifletmek için yeterli şekilde yanıt vermesi gereken zaman aralığını belirtir.