Dalış Özeti:
- CrowdStrike’ın Salı günü yayınlanan 2023 Tehdit Avı Raporuna göre, tehdit aktörleri otomasyonun yükselişini reddediyor ve kuruluşların ağlarına izinsiz girmek ve hassas verilere hızla erişmek için manuel taktikler kullanıyor.
- CrowdStrike’ın ifade ettiği klavyede uygulamalı etkinliği kullanan saldırılar etkileşimli Araştırmaya göre izinsiz giriş sayısı 1 Temmuz 2022 ile 30 Haziran 2023 arasında %40 arttı. Tehdit aktörleri, bu saldırıların 5’te 3’ünden fazlasını başlatmak için geçerli hesap kimlik bilgileri kullandı.
- Teknoloji sektörü, art arda altıncı yıl boyunca uygulamalı klavye saldırılarının en sık hedef aldığı sektör olmaya devam etti. CrowdStrike’a göre finansal hizmetler endüstrisini hedef alan saldırılar %80 artarak onu en çok hedeflenen ikinci sektör haline getirdi ve ardından perakende, sağlık ve telekomünikasyon sektörleri geldi.
Dalış Bilgisi:
Araştırma, siber saldırılar için bir giriş noktası olarak geçerli hesap kimlik bilgilerinin aşırı rolünün ve yaygınlığının altını çiziyor.
Tehdit aktörleri, 30 Haziran’da sona eren bir yıllık dönemde CrowdStrike tarafından incelenen tüm ihlallerin 5’te 4’ünde güvenliği ihlal edilmiş kimlikler kullandı. Araştırmaya göre, etkileşimli izinsiz girişlerin üçte birinden fazlası etki alanı hesaplarının veya varsayılan hesapların kullanımını içeriyordu.
Güvenlik satıcısı ve olay müdahale firması raporda, siber suçluların sistemlere girmek, ayrıcalıkları yükseltmek ve tespit edilmekten kaçmak için güvenilir hesaplar kullandığını söyledi.
CrowdStrike, “Düşmanların – genellikle sadece satın alma yoluyla – ilk erişimi elde etmedeki endişe verici kolaylığı, meşru kullanıcılar ve sahtekarlar arasındaki ayrımı bulanıklaştırıyor” dedi.
Tehdit aktörleri öncelikle kritik altyapıya saldırmak için geçerli hesap kimlik bilgilerini kullanma ağlar ve eyalet ve yerel kurumlar da. Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın geçen ay yayınlanan yıllık risk ve güvenlik açığı değerlendirmesi tarafından incelenen tüm saldırıların %54’ünü geçerli hesap ihlallerinden sorumluydu.
Bu manuel tabanlı saldırılar daha da hızlanıyor ve ortalama 79 dakikalık tüm zamanların rekor hızına ulaşarak 2022’deki 84 dakikalık önceki rekoru geride bırakıyor. CrowdStrike, yalnızca yedi dakikalık bir kırılma süresi gözlemlediğini söyledi.
Tehdit aktörleri, kimliğe dayalı saldırılarda yalnızca güvenliği ihlal edilmiş geçerli kimlik bilgilerine güvenmekle kalmaz, bunun yerine daha fazla potansiyel kurbanı hedeflemek için kimlik avı taktiklerini ve sosyal mühendislik tekniklerini geliştirirken diğer kimlik ve kimlik doğrulama biçimlerini kötüye kullanır.
CrowdStrike, tehdit aktörlerinin bulut örneği meta veri API’leri aracılığıyla gizli anahtarlara ve diğer kimlik bilgilerine erişme girişimlerinde yıllık %160 artış bildirdi.
CrowdStrike Karşı Düşman Operasyonları başkanı Adam Meyers yaptığı açıklamada, “İhlalleri durdurmaktan bahsederken, rakiplerin hızlandığı ve geleneksel tespit yöntemlerinden kaçınmak için kasıtlı olarak tasarlanmış taktikler kullandıkları gerçeğini göz ardı edemeyiz” dedi.