Siber Suçlar, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar
Her Avantajı Arayan Çoğu Fidye Yazılımı Grubu Mesai Saatleri Dışında Saldırıyor
Prajeet Nair (@prajeetspeaks) •
23 Ağustos 2023
Fidye yazılımı kullanan bilgisayar korsanları, kötü amaçlı şifreleme konusunda tetiği çekmek için her zamankinden daha hızlı hareket ediyor; ancak Sophos’un güvenlik araştırmacıları, hız sınırlarını zorluyor olabileceklerini söylüyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Firma, yılın ilk altı ayına ilişkin eğilimleri özetleyen bir raporda, 2023’ün ilk yarısında fidye yazılımı olaylarının ortalama bekleme süresinin dokuz günden beş güne düştüğünü söylüyor. Araştırmacılar, bunun tersine, fidye yazılımı dışındaki tüm olaylar için ortalama bekleme süresinin 11 günden 13 güne hafif bir artış gösterdiğini söyledi.
Sophos uygulamalı araştırma saha CTO’su Chester Wisniewski, fidye yazılımı korsanlarını daha hızlı harekete geçmeye teşvik eden olası bir nedenin, gelişmiş uç nokta tespitinden kaynaklanan baskı olduğunu söyledi. Information Security Media Group’a “Baştan sona 2 saat 12 dakika süren bir saldırı gerçekleşti” dedi.
Fidye yazılımı kullanarak bir ağdaki sistemleri kriptoyla kilitlemek isteyen fidye yazılımı kullanan saldırganların, savunmacılar izinsiz girişleri tespit edip engellemeye çalışmadan önce kötü amaçlı yazılımlarını serbest bırakma becerisini kazanmaları gerekir.
Fidye yazılımı grupları, izinsiz girişten şifrelemeye geçmek için gereken süreyi azaltmak amacıyla, dosyaların yalnızca bölümlerini şifreleyen aralıklı şifrelemenin yanı sıra tipik iş makinelerinden daha hızlı çalışan şifreleme algoritmaları kullanmak da dahil olmak üzere daha hızlı hareket etme taktiklerini keşfetmeye devam ediyor. AES. Wisniewski, bu tür tekniklerle bile, fidye yazılımı kullanan bilgisayar korsanlarının büyük çoğunluğunun, beş günden daha hızlı bir çift gasp saldırısını gerçekleştirmesinin pek mümkün olmadığını söyledi.
“Veri sızdırma işlemini gerçekleştirmek ve bubi tuzaklarını kurmak birkaç gün sürüyor” dedi. “Suçluların verimliliğinin zirvesine ulaşıp ulaşmadığımızı merak ediyorum.” Ortalama bekleme süresinin azalması durumunda, “Beş günden bu yana çok fazla azalmayacağını sanıyorum” dedi.
Saldırganlar sadece teknolojiyi değil aynı zamanda zamanı da kendi avantajlarına kullanıyor. Fidye yazılımı saldırılarının %81’inde Sophos araştırmacıları, bilgisayar korsanlarının son veri yükünü kurbanın geleneksel çalışma saatleri dışında başlattığını tespit etti. Mesai saatleri içinde görevlendirilenlerden yalnızca birkaçı hafta içi günlerde gerçekleşti.
Araştırmacılar, “Tespit edilen saldırıların sayısı, özellikle fidye yazılımı saldırıları incelenirken, hafta ilerledikçe arttı” dedi. “Fidye yazılımı saldırılarının neredeyse yarısı (%43) Cuma veya Cumartesi günü tespit edildi.” Personel sayısının muhtemelen düşük olduğu hafta sonları veya tatil günlerinde bir hedefi vurmak, başarılı bir saldırı şansını arttırdığı için en sevilen hacker tekniği olmaya devam ediyor.
Active Directory’yi Hedefleme
Kurumsal bir ağda gezinmek için kesintisiz bir hafta sonu geçirmek, bir saldırganın ihtiyaç duyduğu her zaman olabilir. 2023’ün ilk yarısı için saldırganların davranışlarını ve araçlarını toplu olarak analiz eden Sophos araştırmacıları, saldırganların ilk güvenlik ihlalinden Microsoft Active Directory erişimine kadar ilerlemelerinin bir günden az (ortalama yalnızca 16 saat) sürdüğünü tespit etti.
Çok sayıda kuruluş, çalışanların kimliklerini ve kaynaklara erişimini yönetmek için Active Directory’yi kullanıyor. Saldırganlar, Active Directory’ye erişerek kendi sistem düzeyindeki ayrıcalıklarını yükseltebilir, böylece istedikleri sistemlerde kolayca oturum açabilir ve çok çeşitli kötü amaçlı etkinlikleri açığa çıkarabilirler.
Sophos’un saha CTO’su John Shier daha önce ISMG’ye, saldırı açısından bakıldığında vakit nakittir ve bir kuruluşun AD altyapısına saldırmanın mantıklı olduğunu söylemişti. AD, tüm kurumsal altyapılar arasında genellikle en güçlü ve ayrıcalıklı sistemdir; saldırganların hedeflerine ulaşmak için ihtiyaç duyduğu ve yararlanmak istediği sistemlere, uygulamalara, kaynaklara ve verilere geniş erişim sağlar.
Shier, “Bir saldırgan AD’yi kontrol ettiğinde organizasyonu da kontrol edebilir. Bir Active Directory saldırısının etkisi, tırmanması ve kurtarma yükü, saldırının hedeflenmesinin nedenidir” dedi.
AD sunucusuna erişim, saldırganlara bir sonraki hamlelerini planlarken daha uzun süre fark edilmeden oyalanma yeteneği de dahil olmak üzere birçok avantaj sağlar. “Gitmeye hazır olduklarında, kurbanın ağını hiçbir engelle karşılaşmadan patlatabilirler” dedi.
Ayrıca saldırganların lehine de çalışıyor: Araştırmacılar, çoğu AD sunucusunun yalnızca Microsoft Defender kullanılarak korunduğunu ve bazen hiç korunmadığını buldu. Defender’ı ve bazen diğer güvenlik savunmalarını da devre dışı bırakmak, saldırganların favori taktiği olmaya devam ediyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı bu yılın başlarında yaptığı uyarıda, LockBit 3.0 da dahil olmak üzere şu anda var olan en kötü şöhretli fidye yazılımı türlerinden bazılarının Defender’ı devre dışı bırakma yeteneklerini içerdiği konusunda uyarmıştı.
Sophos, bu taktiği kullanan saldırganların sayısında istikrarlı bir artış görüldüğünü söyledi.
Washington DC’deki ISMG’den David Perera’nın raporuyla