Huntress tarafından hazırlanan ilk KOBİ Tehdit Raporu, “Kötü amaçlı yazılım içermeyen” saldırılar, saldırganların yasal araçlara ve komut dosyası oluşturma çerçevelerine artan bağımlılığı ve BEC dolandırıcılıklarının, küçük ve orta ölçekli işletmelerin (KOBİ’ler) 2023’ün üçüncü çeyreğinde karşılaştığı en belirgin tehditler olduğunu söylüyor. KOBİ’lere ve yönetilen hizmet sağlayıcılara (MSP’ler) yönelik bir güvenlik platformu ve hizmetleri.
“Kötü amaçlı yazılım içermeyen” saldırılar artıyor
Saldırganlar, vakaların %44’ünde kötü amaçlı yazılım kullandı ancak vakaların geri kalan %56’sı, “karadan geçinen” ikili dosyaların (LOLBins), komut dosyası çerçevelerinin (PowerShell gibi) ve uzaktan izleme ve yönetim (RMM) yazılımının kullanımını içeriyordu.
“KOBİ düzeyinde, birçok kuruluşun izleme ve inceleme durumu göz önüne alındığında, LOLBin kullanımı özellikle endişe vericidir. Araştırmacılar, yerel okul bölgelerinden tıbbi ofislere kadar pek çok kritik kuruluşun kendilerini en iyi ihtimalle kripto madenciliği veya botnet amaçları için kullanılmış, en kötü ihtimalle ise yıkıcı fidye yazılımlarının kurbanı olarak bulabileceğini belirtti.
RMM yazılımının artan kullanımı da tersine çevrilmesi zor olabilecek endişe verici bir eğilimdir.
“Olayların %65’inde tehdit aktörleri, kurban ortamlarına ilk erişimin ardından kalıcılık veya uzaktan erişim mekanizmaları için bir yöntem olarak RMM yazılımını kullandı” dediler.
RMM araçları yaygın olarak kullanılan yasal yazılımlardır; bu nedenle, izinsiz giriş amacıyla kullanıldıklarında, kötü amaçlı yazılımdan koruma korumasından kolayca kaçabilir ve ortama karışabilirler. Ayrıca küçük kuruluşlar RMM aracı kullanımını nadiren denetler.
“Bazı durumlarda Huntress, kurban ortamlarına yedekli erişim sağlamak için ticari ve açık kaynak öğelerin bir kombinasyonunu kullanmak gibi çeşitli RMM araçları arasında çeşitlilik gösteren rakipleri gözlemledi” dedi.
“Bu nedenle, korunan veya yönetilen ortamlarda RMM aracı kullanımını ve dağıtımını izlemek, sahiplerin ve operatörlerin potansiyel kötü amaçlı kurulumları tespit edebilmelerini sağlamak için giderek daha önemli bir güvenlik hijyen önlemi haline geliyor.”
Ek bulgular
Hem fidye yazılımı bağlı kuruluşları hem de iş e-postası ihlali (BEC) operatörleri, son kullanıcıları hedeflemeye ve kimlik avından yararlanmaya devam ediyor.
KOBİ’lerin 2023’ün 3. çeyreğinde karşılaştığı kimlik odaklı saldırıların %64’ü kötü amaçlı yönlendirme veya diğer gelen kutusu kurallarını içerirken, %24’ü olağandışı veya şüpheli konumlardan yapılan oturum açmalarla ilişkilendirildi.
“Bu tür faaliyetlerin nihai hedefi çoğu durumda BEC olmaya devam etse de, savunma görünürlüğü ve düşman öldürme zinciri bağımlılıkları, bu eylemlerin büyük ölçüde operasyonların hesap ele geçirme (ATO) aşamasında yakalandığı anlamına geliyor” dediler.
2023 yılı boyunca Qakbot kaynaklı olaylarda azalma gözlemlendi ve bu düşüş eğiliminin devam etmesi bekleniyor.
Ayrıca KOBİ’leri etkileyen fidye yazılımı olaylarının %60’ı kategorize edilmemiş, bilinmeyen veya “geçersiz” fidye yazılımı türlerine atfedildi. Bu, kurumsal ortamlarda yaygın olarak tespit edilen ve çoğunlukla “bilinen varyant fidye yazılımı dağıtımları” ile hedeflenen fidye yazılımı türlerinde bir farklılığı gösteriyor.
Araştırmacılar, “İster fidye yazılımı veya BEC aracılığıyla para kazanma amacıyla, ister potansiyel olarak devlete yönelik casusluk faaliyeti olsun, KOBİ’ler çeşitli kuruluşlardan kaynaklanan risk altında olmaya devam ediyor” diye ekledi.
“Daha da endişe verici olanı, bu düşmanların birçok eski güvenlik kontrolünü bozmak veya bunlardan kaçınmak için görünürlüğümüz ve farkındalığımızdaki ‘boşluklardan’ yararlanmasıdır. Bir zamanlar küçük bir kuruluş, iyi bir kötü amaçlı yazılımdan koruma çözümü ve spam filtreleme kombinasyonuyla muhtemelen “başa çıkabilir”ken, mevcut tehdit ortamı, bu basit (tarihsel olarak makul derecede etkili olsa da) çabaları artık tatmin edici olmaktan çıkarıyor.”