Fidye yazılımı tehdit aktörleri, güvenlik çözümleri alarmı çalmadan önce güvenliği ihlal edilmiş ağlarda daha az zaman harcıyor. Yılın ilk yarısında bilgisayar korsanlarının ortalama bekleme süresi 2022’deki dokuz günden beş güne düştü
Siber güvenlik şirketi Sophos’un istatistikleri, tüm siber saldırılar için genel ortalama bekleme süresinin, 2022’de on gün iken yılın ilk yarısında sekiz gün olduğunu gösteriyor.
Şirket, fidye yazılımı saldırılarının bu yıl Sophos tarafından kaydedilen tüm siber saldırıların %68,75’ini oluşturduğunu belirtiyor.
Sophos, fidye yazılımı dışındaki olaylar için ortalama bekleme süresinin bu yıl 11 günden 13 güne çıktığını bildirdi. Bu, fidye yazılımı tehdit aktörlerinin daha hızlı hareket ederken, ağa izinsiz giriş yapan diğer siber suçluların “oyalanma eğiliminde” olduğunu ve bir fırsat beklediğini gösteriyor.
Ortalama bekleme süresi tüm vakalarda 15-16 gün iken, bu yıl gözlemlenen maksimum süre üç aydan fazlaydı.
Sophos, geçen yıla göre %1,3 artışla vakaların %43,42’sinde veri sızıntısının meydana geldiğini gözlemledi.
Şirketin bu tür saldırılara daha az maruz kalması nedeniyle veri hırsızlığının daha yaygın hale geldiği görülüyor; bu oran 2022’deki %42,76’dan 2023’ün ilk yarısında %31,58’e düştü. Bu eğilimi destekleyen, hiçbir verinin sızdırılmadığının doğrulandığı olaylardaki artıştır (yukarı doğru) %1,32’den %9,21’e.
Günler ve saatlerle ilgili Sophos verilerine bakıldığında ilginç modeller ortaya çıkıyor; bu da fidye yazılımı operatörleri de dahil olmak üzere tehdit aktörlerinin kuruluşlara Salı, Çarşamba ve Perşembe günleri saldırmayı tercih ettiğini gösteriyor.
Tehdit aktörleri, yetersiz personele sahip olan ve ağdaki izinsiz girişi ve bunun gelişimini tespit etme olasılığı düşük olan BT ekiplerini yakalamak için yerel iş gününün ilerleyen saatlerinde hedeflerine saldırır.
Ancak Sophos, fidye yazılımı olaylarının çoğunun, teknoloji ekiplerine ulaşmanın daha zor olması nedeniyle şirketlerin en yavaş tepki verdiği Cuma ve Cumartesi günleri meydana geldiğini tespit etti.
En çok kötüye kullanılan araçlardan biri, çoğu Windows sürümünde yerleşik olan uzak masaüstü protokolüdür (RDP). Sophos, “Güvenliği aşılmış kimlik bilgilerinin kullanımının yaygın olduğu ve tek faktörlü kimlik doğrulamanın norm olduğu gerçeğiyle birleştiğinde, saldırganların bunu neden sevdiği bir sır değil” diyor.
İstatistikler izinsiz girişlerin %95’inde RDP’nin kullanıldığını gösteriyor. Ancak saldırganlar RDP’yi çoğunlukla dahili etkinlikler için (vakaların %93’ü) ve yalnızca %18’i harici etkinlikler için kullandı.
Bu nedenlerden dolayı Sophos, şirketlere RDP’nin güvenliğini sağlamayı bir öncelik haline getirmelerini tavsiye ediyor çünkü bu tür bir erişimin reddedilmesi, bilgisayar korsanının içeri girmek için çok fazla zaman ve çaba harcamasına neden olabilir, bu da izinsiz girişi tespit etmek için daha fazla zaman anlamına gelir.
Verilerin makul bir süre saklanması ve düzenli olarak kontrol edilmesi de önemli bir faktördür çünkü halihazırda ağda bulunan tehdit aktörlerinin, saldırının son aşamasına geçmeden önce yakalanmasına yardımcı olabilir.
Aynı zamanda savunuculara ve olay müdahale ekiplerine ne yapılması gerektiğine ve sorunun nasıl hızla çözüleceğine ilişkin net bir resim sunarak önemli bilgiler sağlayabilir.