Darktrace’e göre siber tehditlerin karmaşıklığı önemli ölçüde arttı ve kötü niyetli aktörler, güvenlik açıklarını istismar etmek ve tespit edilmekten kaçınmak için gelişmiş taktikler, teknikler ve prosedürler (TTP’ler) kullanıyor.
Kötü Amaçlı Yazılım Hizmeti (MaaS) ve Fidye Yazılımı Hizmeti (RaaS) gibi abonelik tabanlı araçlar da daha az deneyimli saldırganlar için giriş engellerini düşürerek karmaşık, çok aşamalı saldırıların gerçekleştirilmesini kolaylaştırdı.
“Tehdit manzarası gelişmeye devam ediyor, ancak yeni tehditler genellikle eski temelleri değiştirmek yerine bunların üzerine kuruluyor. Yeni kötü amaçlı yazılım ailelerinin ortaya çıktığını gözlemlesek de, saldırıların çoğu son birkaç yıldır gördüğümüz olağan şüpheliler tarafından gerçekleştiriliyor ve hala tanıdık teknikler ve kötü amaçlı yazılım çeşitleri kullanılıyor,” diyor Darktrace’de Stratejik Tehdit ve Katılım Direktörü Nathaniel Jones.
Jones, sözlerine şöyle devam etti: “Qilin fidye yazılımı gibi yeni tehditlerin ortaya çıkmasıyla birlikte MaaS/RaaS hizmet modellerinin devamlılığı, hızla gelişen tehdit ortamıyla başa çıkabilen, uyarlanabilir, makine öğrenimi destekli güvenlik önlemlerine olan ihtiyacın devam ettiğini gösteriyor.”
MaaS, kuruluşlar için önemli bir risk oluşturmaya devam ediyor
Bulgular, siber suç-hizmet-olarak tehdit manzarasına hakim olmaya devam ettiğini, Malware-as-a-Service (MaaS) ve Ransomware-as-a-Service (RaaS) araçlarının saldırganlar tarafından kullanılan kötü amaçlı araçların önemli bir bölümünü oluşturduğunu gösteriyor. Lockbit ve Black Basta gibi Siber Suç-hizmet-olarak grupları, saldırganlara önceden hazırlanmış kötü amaçlı yazılımlardan kimlik avı e-postaları için şablonlara kadar her şeyi sağlayarak sınırlı teknik bilgiye sahip siber suçlular için giriş engelini düşürüyor.
MaaS’ın öngörülebilir gelecekte tehdit manzarasının yaygın bir parçası olmaya devam etmesi bekleniyor. Bu devamlılık, TTP’lerini bir kampanyadan diğerine değiştirebilen ve geleneksel güvenlik araçlarını atlatabilen MaaS türlerinin uyarlanabilir doğasını vurgular. Bu nedenle, kuruluşların belirli taktikler hakkında önceden bilgi sahibi olmadan gerçek zamanlı olarak anormal aktiviteyi tespit edebilen ve karmaşık ve gelişen MaaS tehditlerine karşı koyabilen AI odaklı güvenlik önlemlerinden yararlanmaları hayati önem taşımaktadır.
Ocak-Haziran 2024 arasında gözlemlenen en yaygın tehditler şunlardı:
- Bilgi çalan kötü amaçlı yazılım (erken sınıflandırılmış araştırmaların %29’u)
- Truva atları (araştırılan tehditlerin %15’i)
- Uzaktan Erişim Truva Atları (RAT’ler) (%12’si araştırılan tehditler)
- Botnetler (araştırılan tehditlerin %6’sı)
- Yükleyiciler (araştırılan tehditlerin %6’sı)
Rapor ayrıca kalıcı tehditlerin yanı sıra yeni tehditlerin de ortaya çıktığını ortaya koyuyor. Özellikle, güvenlik araçlarını atlatmak ve insan güvenlik ekiplerinin hızlı tepki vermesini zorlaştırmak için enfekte olmuş makineleri güvenli modda yeniden başlatma gibi rafine taktikler kullanan Qilin fidye yazılımının yükselişi.
Rapora göre, çift gasp yöntemleri artık fidye yazılımı türleri arasında yaygın. Fidye yazılımları kuruluşlar için en önemli güvenlik endişesi olmaya devam ederken, Darktrace’in Tehdit Araştırma Ekibi müşterileri etkileyen üç baskın fidye yazılımı türünü belirledi: Akira, Lockbit ve Black Basta. Üçünün de çift gasp yöntemlerini kullandığı gözlemlendi.
E-posta kimlik avı yavaşlama belirtisi göstermiyor
Kimlik avı, kuruluşlar için önemli bir tehdit olmaya devam ediyor. Araştırmacılar, 21 Aralık 2023 ile 5 Temmuz 2024 tarihleri arasında müşteri filosunda 17,8 milyon kimlik avı e-postası tespit etti. Endişe verici bir şekilde, bu e-postaların %62’si, e-posta alan adlarını yetkisiz kullanımdan korumak için tasarlanmış sektör protokolleri olan Alan Adı Tabanlı Mesaj Kimlik Doğrulama, Raporlama ve Uygunluk (DMARC) doğrulama kontrollerini başarıyla atlattı ve %56’sı mevcut tüm güvenlik katmanlarından geçti.
Rapor, siber suçluların geleneksel güvenlik parametrelerinden kaçınmak için tasarlanmış daha karmaşık taktikleri, teknikleri ve prosedürleri (TTP’ler) nasıl benimsediğini vurguluyor. Darktrace, normal ağ trafiğine uyum sağlamak için operasyonlarında Dropbox ve Slack gibi popüler, meşru üçüncü taraf hizmetlerinden ve sitelerinden yararlanan saldırganlarda bir artış gözlemledi. Ayrıca, uzaktan izleme ve yönetim (RMM) araçları, tünelleme ve proxy hizmetleri de dahil olmak üzere gizli komuta ve kontrol (C2) mekanizmalarının kullanımında bir artış oldu.
Uç altyapının tehlikeye atılması ve kritik güvenlik açıklarının istismarı en büyük endişeler arasında yer alıyor
Darktrace, özellikle Ivanti Connect Secure, JetBrains TeamCity, FortiClient Enterprise Management Server ve Palo Alto Networks PAN-OS ile ilgili olanlar olmak üzere uç altyapı cihazlarındaki güvenlik açıklarının toplu olarak istismar edilmesinde bir artış gözlemledi. Bu ihlaller genellikle daha fazla kötü amaçlı faaliyet için sıçrama tahtası görevi görür.
Kuruluşların mevcut saldırı eğilimlerini ve CVE’leri gözden kaçırmaması zorunludur; siber suçlular kuruluşları kandırmak için daha önce kullanılan, çoğunlukla uykuda olan yöntemlere başvurabilir. Ocak ve Haziran ayları arasında, Threat Research ekibi tarafından araştırılan vakaların %40’ında saldırganlar Ortak Güvenlik Açıkları ve Maruziyetleri (CVE’ler) istismar etti.