Güvenliği ihlal edilmiş sistemlere, hizmetlere ve ağlara erişim etrafında odaklanan siber suç ekonomisi, kötü amaçlı yazılım yoluyla çalınan ve satışa sunulan kimlik bilgilerinin sayısında altı kat artışla geçen yıl önemli ölçüde büyüdü.
Kimlik bilgilerini toplamak için bilgi çalan kötü amaçlı yazılım kullanan siber saldırganlarla birlikte, hizmet olarak erişim tekliflerinin genişletilmesi, siber suçlulara güvenliği ihlal edilmiş sistemlere erişim sunan binlerce reklamla yeraltında çiçek açtı.Recorded Future’ın yeni yayınlanan yıllık raporundaki bulgulara göre.
Ayrıca, rapora göre veri toplama, çalıntı hesapların kullanımı ve kimlik avı siber suçlu forumlarında en çok tartışılan ilk 10 taktik arasında yer alıyor.
Recorded Future’ın Insikt araştırma grubunun üst düzey yöneticisi David Carver, yeraltı forumlarındaki en popüler konuların analizinin, çalınan kimlik bilgilerinin ve ilk erişimin satışının siber suç pazarlarına hakim olmaya devam ettiğini gösterdiğini söylüyor.
“Yetki belgeleri çok büyük bir iş çünkü suçlular için başarılı ve kârlı olmaya devam ediyorlar” diyor. “Uzun süredir suç pazarları için geçerli olan, kimlik bilgilerinden büyük ölçekte para kazanmanın oldukça kolay yolları olduğu sürece, bu tür hırsızlık dürtüsünün değiştiğini görmüyorum.”
On yıl önce, siber suçlular değerli verileri çalmaya veya yalnızca istismar edilebilecek değil, aynı zamanda saldırgana onları rahat bırakması için ödeme yapacak belirli şirketlerin güvenliğini tehlikeye atmaya odaklandılar. Yine de, fidye yazılımlarının popülaritesi ve kripto para birimlerini bir ödeme yöntemi olarak kullanma yeteneği sayesinde, saldırganlar bir kuruluşun neredeyse tüm ihlallerinden para kazanmayı başardılar. Bu nedenle, çalınan kimlik bilgilerinin satışı ve fırsatçı erişim, kayıt dışı ekonominin vazgeçilmez ürünü haline geldi.
MFA Başarısız
Çok faktörlü kimlik doğrulama (MFA) sayesinde çalınan kimlik bilgilerinin dağıtılması siber suçlular için daha zor hale geldi, ancak saldırganlar birçok MFA türü için baypas teknikleriyle karşılık verdi, bu nedenle kimlik bilgisi hırsızlığı standart bir ihlal sonrası taktiği ve erişim olarak erişim olmaya devam ediyor. Recorded Future’dan Carver, hizmetin gelişmeye devam ettiğini açıklıyor.
“Kavramımız veya kimlikle ilgili temel yöntemlerimiz değişene kadar, suç piyasasında veya en azından şu anda gördüğümüz şekilde bir değişiklik olmayacak” diyor.
2021’de saldırganlar, Recorded Future tarafından ortaya çıkarılan trend taktikler, teknikler ve prosedürler listesinin başında etki için şifrelenmiş veriler (T1486) ve sistem bilgisi keşfi (T1082) ile değerli sistemler bulmaya ve bunları fidye yazılımıyla şifrelemeye odaklandı. “2022 Yıllık Raporu”na göre, 2022’de siber suçlular odak noktalarını yerel sistemlerden veri toplamaya (T1005) ve erişim için geçerli hesapları (T1078) kullanmaya kaydırdı.
Firma, siber suçluların güvenliği ihlal edilmiş sistemlerden para kazanmak için fidye yazılımdan daha fazla seçeneğe sahip olduğundan ve bilgi çalma işlevinin popüler hale gelmesine yol açtığından, bu trend erişimin giderek daha önemli hale geldiğini gösteriyor. Recorded Future’ın verilerine göre, fidye yazılımı ödemeleri 2022’de 2021’e kıyasla yaklaşık %60 azaldı.
Raporda, “Kimlik bilgisi satışları, genellikle hesap devralma ve kimlik bilgisi doldurma saldırılarında kullanılmak üzere karanlık web pazar yerlerinde popüler olmaya devam ediyor.” “Bilgi çalan kötü amaçlı yazılımların yükselişi ve hizmet olarak kötü amaçlı yazılım modelinin yaygınlaşmasıyla bu taktik karmaşıklaştı.”
Recorded Future, kimlik bilgilerinin nereden geldiğini ayrıntılı olarak tartışmaz, ancak araştırmacıları, büyük bilgi hırsızlarından toplam kampanyaların en az yarısının kanıtlarını ele geçirdiklerine inanırlar.
Carver, “Bu, birden fazla farklı bilgi hırsızı kötü amaçlı yazılım kampanyasının bir parçası olarak neyin dışarı sızdığı ve ifşa edildiği açısından ‘çıplak metal’e en yakın şey” diyor. “Dolayısıyla, bir dereceye kadar, bunları doğrudan kötü amaçlı yazılımın hangi verileri çektiğini anlamamızın bir sonucu olarak alıyoruz.”
Sadece Kullanıcı Adları ve Parolalar Değil
Bazı güvenlik denetimlerini atlamak için kullanıcı hakkında daha fazla bilgi gerekli hale geldikçe, bir saldırganın güvenlik ihlalinin ardından kimlik bilgilerini toplamaya odaklanması gelişti. Carver, artık saldırganların tarayıcı önbelleğinden, coğrafi bilgilerden, tarayıcı sürüm bilgilerinden ve kullanıcı adları ve parolalara ek olarak diğer verilerden oturum belirteçleri toplamasının muhtemel olduğunu söylüyor.
“Kimlik bilgisi hırsızlığı hakkında düşündüğümüzde, aslında düşünmemiz gereken şey, bu bilgi mühürleyenlerin bazılarının aradığı eksiksiz tarayıcı parmak izi türüdür” diyor.
Carver, şirketlerin tehdit aktörlerinin çalışanların temel kimlik bilgilerine sahip olduğunu ve çok faktörlü kimlik doğrulamanın atlanabileceğini varsayması gerektiğini söyledi. Ayrıca, anormal hesap davranışını tespit edebildiklerinden emin olmaları gerekir.
“Mutlak olan ilk şey [companies should] Bakın, kimlik ve erişim yönetimi, kimliklerin veya platformların veya dahili herhangi bir şeye erişimi olan kullanıcıların, gerçekten sağlam ve iyi anlaşılmış bir güvenlik programı olduğundan emin olun” diyor. “Bana göre bu, bilgi hırsızlarının yükselişi göz önüne alındığında, masa şu anda daha güvenli bir program için bahis yapıyor.”