2023’ün 2. çeyreğinde, kötü amaçlı yazılımların %95’i artık şifreli bağlantılar üzerinden geliyor, kampanyaların daha da yaygınlaşmasına rağmen uç nokta kötü amaçlı yazılım hacimleri azalıyor, çifte gasp saldırılarındaki artış nedeniyle fidye yazılımı tespitleri azalıyor ve eski yazılım güvenlik açıkları, modern yazılımlar arasında istismar için popüler hedefler olmaya devam ediyor WatchGuard’a göre diğer trendlerin yanı sıra tehdit aktörleri de var.
WatchGuard CSO’su Corey Nachreiner şunları söyledi: “En son raporumuz için Tehdit Laboratuvarımız tarafından analiz edilen veriler, gelişmiş kötü amaçlı yazılım saldırılarının meydana gelme sıklığının nasıl dalgalandığını ve çok yönlü siber tehditlerin gelişmeye devam ettiğini, bunlarla etkili bir şekilde mücadele etmek için sürekli dikkat ve katmanlı bir güvenlik yaklaşımı gerektirdiğini güçlendiriyor.”
“Tehdit aktörlerinin saldırılarında kullandığı tek bir strateji yok ve belirli tehditler genellikle yılın farklı zamanlarında farklı düzeylerde risk sunuyor. Kuruluşların bu tehditleri izlemek için sürekli tetikte olmaları ve en iyi savunmaları için yönetilen hizmet sağlayıcılar tarafından etkili bir şekilde yönetilebilecek birleşik bir güvenlik yaklaşımı kullanmaları gerekiyor,” diye devam etti Nachreiner.
Şifrelemenin arkasına gizlenmiş kötü amaçlı yazılım
Çoğu kötü amaçlı yazılım, güvenli web siteleri tarafından kullanılan SSL/TLS şifrelemesinin arkasında gizlenir. Ağ çevresindeki SSL/TLS trafiğini denetlemeyen kuruluşlar muhtemelen çoğu kötü amaçlı yazılımı kaçırıyor. Ayrıca, sıfır gün kötü amaçlı yazılımları, tüm zamanların en düşük seviyesi olan toplam kötü amaçlı yazılım tespitlerinin %11’ine düştü. Ancak, şifrelenmiş bağlantılar üzerinden kötü amaçlı yazılımları incelerken, kaçma amaçlı tespitlerin payı %66’ya yükseldi; bu da saldırganların gelişmiş kötü amaçlı yazılımları öncelikle şifreleme yoluyla sunmaya devam ettiğini gösteriyor.
2023’ün ikinci çeyreğinde uç nokta kötü amaçlı yazılım tespitlerinde önceki çeyreğe kıyasla %8’lik hafif bir düşüş görüldü. Ancak 10 ila 50 sistem veya 100 veya daha fazla sistem tarafından yakalanan uç nokta kötü amaçlı yazılım tespitlerine bakıldığında, bu tespitlerin hacminin sırasıyla %22 ve %21 arttığı görüldü. Daha fazla makinede artan tespitler, yaygın kötü amaçlı yazılım kampanyalarının 2023 yılının 1. çeyreğinden 2. çeyreğine kadar arttığını gösteriyor.
Tehdit Laboratuvarı’nın 13 yeni gasp grubu tespit etmesiyle, fidye yazılımı gruplarından gelen çifte şantaj saldırıları önceki çeyreğe göre %72 arttı. Ancak çifte şantaj saldırılarındaki artış, uç noktalardaki fidye yazılımı tespitlerinin önceki çeyreğe göre %21 ve geçen yıla göre %72 oranında azalmasıyla gerçekleşti.
İlk 10 uç nokta tespitinde altı yeni kötü amaçlı yazılım çeşidi vardı. Threat Lab, ele geçirilen 3CX yükleyicisinin tespitlerinde büyük bir artış gördü; bu, kötü amaçlı yazılım tehditlerinin İkinci Çeyrek İlk 10 listesindeki toplam tespit hacminin %48’ini oluşturdu. Dahası, çok yönlü bir yükleyici, botnet, bilgi hırsızı ve dünya çapında ayrım gözetmeksizin kurbanları hedef alan bir kripto madenci olan Glupteba, 2021’de kesintiye uğradıktan sonra 2023’ün başlarında yeniden dirildi.
Siber suçlular eski yazılım açıklarını hedeflemeye devam ediyor
Tehdit aktörleri, kötü amaçlı yazılım dağıtmak için Windows’un kara dışında yaşayan ikili dosyalarından giderek daha fazla yararlanıyor. Saldırı vektörleri ve tehdit aktörlerinin uç noktalara nasıl erişim sağladığı analiz edildiğinde, WMI ve PSExec gibi Windows işletim sistemi araçlarını kötüye kullanan saldırılar %29 artış göstererek toplam hacmin %17’sini oluştururken, PowerShell gibi komut dosyaları kullanan kötü amaçlı yazılımların hacmi %41 azaldı. Komut dosyaları, genel olarak tespitlerin %74’ünü oluşturarak en yaygın kötü amaçlı yazılım dağıtım vektörü olmaya devam ediyor. Tarayıcı tabanlı istismarlar %33 oranında azalarak toplam hacmin %3’ünü oluşturdu.
Threat Lab araştırmacıları, eski güvenlik açıklarına dayalı olarak 2. çeyrekte yapılan en iyi 10 ağ saldırısında üç yeni imza buldu. Bunlardan biri, 2018’de kullanımdan kaldırılan, açık kaynaklı bir öğrenme yönetim sistemi (GitHub) ile ilişkili 2016 tarihli bir güvenlik açığıydı. Diğerleri, birçok web sitesi tarafından kullanılan komut dosyası dili olan PHP’deki tamsayı taşmalarını ve 2010’daki arabellek taşmasını ve HP yönetimini yakalayan bir imzaydı. Open View Ağ Düğümü Yöneticisi adı verilen uygulama.
Tehdit Laboratuvarı ekibi, kötü amaçlı alan adlarını araştırırken, kendi kendini yöneten web siteleri (WordPress blogları gibi) örnekleriyle ve kötü amaçlı yazılım veya kötü amaçlı yazılım komuta ve kontrol çerçevesini barındırmak üzere tehlikeye atılmış bir alan adı kısaltma hizmetiyle karşılaştı. Ayrıca Qakbot tehdit aktörleri, botnet’leri için komuta ve kontrol altyapısını barındırmak amacıyla Asya Pasifik bölgesindeki bir eğitim yarışmasına adanmış bir web sitesini tehlikeye atmıştı.