Yanıtlanan yüzlerce olaydan derlenen verilere göre, İş E-postası Ele Geçirme (BEC) saldırılarının hacmi, çeşitli yüksek profilli ve başarılı kimlik avı kampanyaları sayesinde 2022 boyunca iki katına çıktı ve fidye yazılımlarının yerini en sık gözlemlenen mali amaçlı siber saldırı vektörü olarak aldı. Secureworks Karşı Tehdit Birimi (CTU) tarafından.
Secureworks, rakamlarının, gelişmiş yapay zeka güdümlü tehditlerle ilgili konuşmaların güvenlik ortamına hakim olabileceğini, ancak başarılı siber saldırıların daha mütevazı kökenlere sahip olduğunu gösterdiğini söyledi. Mevcut manzarayı “BT’de daha az ChatGPT, daha çok Chad” olarak tanımladı.
BEC saldırısı, siber suçluların şirket fonlarına erişimi olan bir çalışanı kilitlediği ve genellikle bir bölüm yöneticisini, süpervizörü veya kuruluştaki diğer üst düzey kişileri ikna edici bir şekilde taklit ederek onları kendilerine para aktarmaya ikna ettiği bir uzlaşma biçimidir.
Genellikle, bu tür saldırılar bir mali çeyreğin sonunda gerçekleşir ve kimlik avı tuzakları, acilen ilgilenilmesi gereken zamana duyarlı veya gizli konulara atıfta bulunarak bir aciliyet duygusu uyandırabilir. Yaygın olarak görülen bazı örneklerde yönetici, çalışan teşviki veya ödül programı için Amazon hediye kuponlarına ihtiyaç duyduğunu iddia edebilir.
Secureworks, BEC’nin ilk erişim vektörünü (IAV) oluşturabildiği olayların %33’üne karıştığını tespit etti (2021’de bu oran %13’tü).
“İş e-postası uzlaşması çok az teknik beceri gerektirir veya hiç gerektirmez, ancak son derece kazançlı olabilir. Secureworks İstihbarat Direktörü Mike McLellan, “Saldırganlar, gelişmiş beceriler kullanmaya veya karmaşık ortaklık modelleri çalıştırmaya gerek duymadan, potansiyel kurbanlar arayan birden fazla kuruluşa eş zamanlı olarak kimlik avı yapabilir” dedi.
Ancak bu, diğer IAV’lerin aynı derecede karlı olmadığı anlamına gelmez. İnternete bakan sistemlerdeki güvenlik açıklarından yararlanma, CTU’nun harekete geçtiği olayların yaklaşık üçte birinde de görüldü. Tipik olarak tehdit aktörleri, ProxyLogon, ProxyShell veya Log4Shell gibi kamuya açıklanan güvenlik açıklarına güvenir.
McLellan şunları söyledi: “Siber suçlular fırsatçıdır – hedef alınmaz. Saldırganlar hala otoparkta dolaşıyor ve hangi kapıların açık olduğunu görüyor. Toplu tarayıcılar, bir saldırgana hangi makinelere yama uygulanmadığını hızlı bir şekilde gösterecektir. İnternete bakan uygulamalarınız güvenli değilse, onlara krallığın anahtarlarını veriyorsunuz. İçeri girdiklerinde, bir saldırganın bu müdahaleyi kendi lehlerine çevirmesini durdurmak için saat işlemeye başlar.”
Fidye yazılımı olayları azaldı
Bu arada, diğer gözlemcilerle ortak olarak Secureworks, fidye yazılımı olaylarının toplam sayısında büyük olasılıkla %57 oranında büyük bir düşüş gördü.
McLellan, yüksek profilli fidye yazılımı olaylarının etkisi düşünüldüğünde, bu ikinci faktörün verileri bir dereceye kadar çarpıtabileceği konusunda uyardı. CTU istatistiklerinde görünmüyor.
Örneklemin %79’unu temsil eden CTU tarafından araştırılan olayların çoğundan mali amaçlı saldırıların sorumlu olduğu görüldü, önceki yıllara göre bir düşüş ve muhtemelen Rusya’nın Ukrayna’ya karşı savaşının neden olduğu kesintinin bir sonucu.
Son olarak, düşman devlet APT’leri tarafından desteklenen izinsiz girişler, Rusya çevresindeki gürültüye rağmen, bu faaliyetin %90’ı Çin’e atfedilebilir olmak üzere, yıldan yıla %3 artışla %9’a yükseldi.
McLellan, “Devlet destekli tehdit aktörleri, finansal olarak motive olanlardan farklı bir amaca sahiptir, ancak kullandıkları araçlar ve teknikler genellikle aynıdır” dedi.
“Örneğin, Çinli tehdit aktörlerinin casusluk için bir sis perdesi olarak fidye yazılımı dağıttığı tespit edildi. Amaç farklı, ancak fidye yazılımının kendisi değil. Aynısı IAV’ler için de geçerlidir; Hangi gruba ait olursanız olun, her şey mümkün olan en hızlı ve en kolay şekilde kapıya ayak basmakla ilgili.
“Devlet destekli bir aktör bir kez o kapıdan girdiğinde, tespit edilmesi çok zor ve tahliyesi daha da zor. Çin, Rusya, İran ve Kuzey Kore gibi devletler, ülkelerinin ekonomik ve politik hedeflerini ilerletmek için siber kullanmaya devam ederken, işletmelerin saldırıları korumak, tespit etmek ve düzeltmek için doğru kontrolleri ve kaynakları devreye sokması daha da önemlidir. ”