Trellix’e göre askeri tatbikatlar, siyasi veya ekonomik zirveler, siyasi toplantılar ve seçimler gibi önemli bölgesel ve küresel olaylar siber tehdit faaliyetlerini tetikledi.
“Son altı ay eşi benzeri görülmemiş bir durum; çoklu kriz durumu devam ediyor ve seçimlerden savaşlara ve kolluk kuvvetleri faaliyetlerine kadar her şey küresel olarak siber tehdit aktörlerinin faaliyetlerini hızlandırdı. Davranışlarda radikal değişiklikler görüyoruz” dedi Trellix Tehdit İstihbaratı Başkanı John Fokker. “Siber güvenliğin kedi-fare oyunu giderek daha karmaşık hale geliyor. Güvenlik liderlerinin siber suçluları geride bırakmak için daha fazla operasyonel tehdit istihbaratına ihtiyacı var.”
Çin ve Rusya saldırıları artırıyor
Volt Typhoon gibi Çin bağlantılı tehdit grupları, tüm tespitlerin %68,3’ünü oluşturarak gelişmiş kalıcı tehdit (APT) faaliyetlerinin en üretken yaratıcısı olmaya devam ediyor. Trellix Gelişmiş Araştırma Merkezi ayrıca Çin bağlantılı grupların tüm faaliyetlerinin %23’ünün küresel hükümet sektörüne yönelik olduğunu ortaya çıkardı.
Ek olarak, Rusya bağlantılı APT grubu Sandworm, bu raporun döneminde Nisan – Eylül 2023’e kıyasla %40 daha fazla tespitle aktivitede keskin bir artış gördü.
İran bağlantılı tehdit grupları da tespitlerde %8, orantılı katkılarda ise %3,89 artışla siber faaliyetlerini önemli ölçüde artırdı. Bu, İran’ın jeopolitik amaçları ve İsrail-Hamas savaşına katılımı doğrultusunda siber operasyonlarında önemli bir genişleme olduğunu vurgulamaktadır.
Trellix, tüketicileri seçimlere bağış yapmaları için kandırmayı amaçlayan kötü amaçlı e-postalar buldu. E-postalar, sıradan insanları seçim kampanyalarına bağış olarak gizlenen parayla dolandırmak amacıyla ikna edici ancak sahte bağış sayfaları oluşturmak için meşru pazarlama hizmetlerini kötüye kullanıyor.
Fidye yazılımı aktörleri, 2023’ün 4. çeyreğinde ve 2024’ün ilk çeyreğinde küresel fidye yazılımı tespitlerinin sırasıyla %53’ünü ve %45’ini oluşturarak ulaştırma ve nakliye sektörünü en çok tehdit etti ve onu finans sektörü izledi. Ayrıca fidye yazılımı çetesi LockBit’i çökertmek için küresel bir kolluk kuvveti eyleminin ardından Trellix, sahtekarların grubu kopyaladığını gözlemledi.
Siber suçlular tarafından GenAI kullanımı
Kobalt Saldırısı, tespitlerdeki %17’lik düşüşe rağmen birçok tehdit grubunun tercih ettiği araç olmaya devam ediyor. Orantılı katkı varyansındaki nispeten küçük düşüş (+%1), siber operasyonlarda popülerliğini ve etkinliğini koruduğunu gösteriyor; bu da çok yönlü ve yaygın olarak kullanılan saldırı araçlarına karşı savunmanın zorluğunu vurguluyor.
Siber suç geliştiricisi Spyboy’un “Terminatör” adlı bir EDR kaçırma aracı, Ocak 2024’te yeni bir kampanyada kullanıldı ve tespitlerin %80’i telekom sektörünü hedef aldı. Spesifik hedefler göz önüne alındığında Trellix, kampanyanın Rusya-Ukrayna çatışmasıyla ilgili olduğunu yüksek düzeyde bir güvenle değerlendiriyor.
Trellix, yeraltı siber suçlularında mevcut olan ücretsiz bir ChatGPT 4.0 Jabber aracını gözlemledi; bu araç, tehdit aktörlerinin operasyonlarında GenAI’yı benimsemelerine ve diğer siber suçlulardan bilgi edinmek ve hatta onların fikirlerini ve araçlarını çalmak için bir GenAI bilgi tabanı oluşturmalarına olanak tanıyor.
Bazı ülkelerin APT ile ilgili faaliyetlerde önemli artışlar yaşamasıyla birlikte hedefleme uygulamalarındaki dramatik değişiklikler, bu siber operasyonları yönlendiren jeopolitik motivasyonları vurgulamaktadır. Benzer şekilde, “toprakla yaşama” taktiklerindeki dikkate değer artış da dahil olmak üzere araç kullanımındaki değişiklikler, meşru ve kötü niyetli faaliyetlerin giderek daha fazla iç içe geçtiği bir ortamda APT tehditlerini tespit etme ve bunlara karşı koyma konusunda süregelen zorluğu vurguluyor.
Trellix Gelişmiş Araştırma Merkezi’nin en son Siber Tehdit Raporu, Ekim 2023 – Mart 2024 arasındaki bulguları ayrıntılarıyla anlatıyor.