Siber saldırganlar, gözden kaçan ve alışılmadık ağ köşelerinde yeni yollar buluyor. Forescout 2025H1 Tehdit İncelemesi İleri taktiklerde bir artış gösteriyor, sıfır gün istismarları yüzde 46 ve fidye yazılımı saldırıları günde ortalama 20.
Raporda, 23.000’den fazla güvenlik açıkının ve 159 ülkede 885 tehdit aktörünün analizine dayanarak, rakiplerin Edge cihazları, IP kameraları ve BSD sunucuları gibi geleneksel olmayan ekipmanı giderek daha fazla hedeflediğini gösteriyor. Bu dayanaklar genellikle, OT ve IoT ortamlarında yanal hareket sağlar ve saldırganların ağlara daha derinlere ulaşmasına ve kritik sistemleri tehlikeye atmasına izin verir.
Forescout’ta tehdit avcılığı kıdemli müdürü Sai Molige, “Saldırganların gözden kaçan IoT cihazları veya infosterers aracılığıyla ilk erişim elde ettiğini görüyoruz, daha sonra BT, OT ve IoT ortamlarında döndürmek için yanal hareket kullanıyor” dedi. “Çin tehdit oyuncusu Silver Fox sağlık sistemlerini hedefleyen Silver Fox’u ortaya çıkaran Vallevrat Hunt’ımız en iyi örnek. Bu saldırganlar, erişimi sessizce artırmak için kör noktalardan yararlanıyor.”
Forescout CEO’su Barry Mainz, “Hastanelerden tıbbi cihazlara, kritik altyapıya kadar, hepsi sıfır gün istismarları, alışılmadık giriş noktaları ve ulus destekli hacktivizm yoluyla hedefleniyor” dedi. “Kritik altyapıyı dünün araçlarıyla savunamazsınız. Güvenlik sürekli, proaktif ve cihaz-agnostik olmalıdır.”
İstismarlar eski güvenlik açıklarına ve alışılmadık cihazlara geçiş, sıfır gün artış
- Yeni sömürülen güvenlik açıklarının% 47’si başlangıçta 2025’ten önce yayınlandı.
- Yayınlanmış güvenlik açıkları% 15 arttı,% 45 oranında yüksek veya kritik oldu.
- Sıfır gün sömürüsü%46 arttı ve CISA Kev’e CVES eklenen%80 arttı.
- MODBUS, Honeypot’larda OT protokol trafiğinin% 57’sini oluşturuyordu.
- Fidye yazılımı aktörleri, genellikle EDR’den yoksun olan, tespit edilmeyen yanal hareket için ideal giriş noktaları haline getiren ve entegre algılama çözümlerine duyulan ihtiyacın altını çizen, kenar cihazları, IP kameraları ve BSD sunucuları gibi geleneksel olmayan ekipmanı giderek daha fazla hedef aldı.
H1’de 3.649 belgelenmiş saldırı ile fidye yazılımı yıldan yıla% 36 artar
- Saldırılar frekans olarak ayda 608’e veya günde yaklaşık 20’ye yükseldi.
- ABD, tüm olayların% 53’ünü oluşturan en büyük hedefti.
- Hedeflenen en iyi sektörler hizmetler, üretim, teknoloji, perakende ve sağlık hizmetleridir.
- Yeni saldırı vektörleri, IP kameraları ve BSD sistemlerini, işletme ortamlarında yanal hareketin arttırılmasını içeriyordu.
Sağlık Hizmetleri Kuşatma Altında, Günde İki Sağlık İhlali Ortalama
- 2025’in ilk yarısında, sağlık sektörü veri ihlalleri için en çok etkilenen dikey olarak ortaya çıktı.
- H1 2025’teki ihlallerden yaklaşık 30 milyon kişi etkilendi.
- İhlallerin% 76’sı hack veya BT olaylarından kaynaklandı.
- İhlallerin% 62’si ağ sunucularında depolanan verileri içeriyordu; % 24’ü e -posta sistemlerindeydi.
- Araştırmacılar, kötü amaçlı yazılımları doğrudan hasta sistemlerine sunan truva atlı DICOM görüntüleme yazılımı tespit ettiler.
Hacktivistler ve devlet destekli aktörler arasında çizgiler bulanık
- Araştırmacılar H1 2025’te 137 tehdit oyuncusu güncellemesini izledi,% 40’ı devlet destekli gruplara ve% 9’u hacktivist olarak atfedildi. Kalan% 51’i fidye yazılımı grupları gibi siber suçlulardı.
- İran’a bağlı Ghostsec ve Arap Hayaletler gibi gruplar, İsrail medya ve su sistemlerine bağlı programlanabilir mantık kontrolörlerini (PLC’ler) hedefledi.
- Cyberav3ngers, 2023-2024 yıllarında büyük OT saldırılarından önce doğrulanmamış iddiaları güçlendirerek, şimdi yeni bir kimlik altında benzer taktikleri yineledi: İran.
- Apt İran, Cyberav3ngers ve diğer İranlı hacktivist kişiler, İran’ın OT/IC’lere yönelik tehditlerinin bir sürekliliğini oluşturuyor.
Forescout araştırma başkanı Daniel Dos Santos, “Hacktivist operasyonlar artık sadece sembolik veya izole değil. Gerçek dünya sonuçlarıyla eleştirel altyapıyı hedefleyen koordineli kampanyalara dönüşüyorlar” dedi. “İranlı hizalanmış gruplardan gördüğümüz şey, aktivizm olarak maskelenen daha agresif, devletten etkilenen bozulma taktiklerine doğru bir değişimdir. Jeopolitik gerilimler arttıkça, bu aktörler daha hızlı, daha yüksek ve daha zorlaşıyor ve bu da tehditlerini savunucuların ele alması için daha da acil hale geliyor.”
Riski azaltma ve siber esneklik oluşturma adımları
- Bağlantılı tüm varlıkları tanımlamak ve izlemek için Ajansız keşif kullanın – OT, IoT ve Sağlık Sistemleri.
- Güvenlik açıklarını düzenli olarak değerlendirin, yamaları uygulayın, kullanılmayan hizmetleri devre dışı bırakın ve MFA ile güçlü, benzersiz kimlik bilgilerini uygulayın.
- Uzlaşma durumunda cihaz türlerini izole etmek ve yanal hareketi sınırlamak için segment ağları.
- Tüm hassas verileri transit ve dinlenmedeki, özellikle PII, PHI ve finansal bilgilerde şifreleyin.
- Kullanıcı ve sistem etkinliğinin ayrıntılı günlüğe kaydedilmesini sağlarken, EDR, IDS ve güvenlik duvarlarından verileri yutan tehdit algılama araçlarını dağıtın.