WatchGuard’a göre, 2022’nin 4. çeyreğinde ağ tarafından algılanan kötü amaçlı yazılımlardaki düşüşe rağmen, uç nokta fidye yazılımı %627 oranında artarken, kimlik avı kampanyalarıyla ilişkili kötü amaçlı yazılımlar bir tehdit olarak varlığını sürdürdü.
Kötü amaçlı yazılım tespit edilmiyor
Kötü amaçlı yazılımda genel bir düşüş görülmesine rağmen, HTTPS (TLS/SSL) trafiğinin şifresini çözen Firebox’ları inceleyen WatchGuard Threat Lab araştırmacıları tarafından yapılan daha ayrıntılı analiz, kötü amaçlı yazılım etkinliğinin şifreli trafiğe kaydığını gösteren daha yüksek bir kötü amaçlı yazılım vakası buldu.
Bu rapor için veri sağlayan Firebox’ların yalnızca yaklaşık %20’sinde şifre çözme etkin olduğundan, bu, kötü amaçlı yazılımların büyük çoğunluğunun tespit edilmediğini gösterir.
WatchGuard CSO’su Corey Nachreiner, “Verilerimiz ve araştırmalarımızdaki devam eden ve endişe verici bir eğilim, şifrelemenin – veya daha doğrusu ağ çevresinde şifre çözme eksikliğinin – kötü amaçlı yazılım saldırı eğilimlerinin tüm resmini gizlediğini gösteriyor” dedi.
Nachreiner, “Güvenlik uzmanlarının, bu tehditlerin zarar vermeden önce tespit edilmesini ve ele alınmasını sağlamak için HTTPS denetimini etkinleştirmesi çok önemlidir” diye ekledi.
Uç nokta fidye yazılımı algılamaları %627 arttı
Bu artış, proaktif önleme için modern güvenlik kontrollerinin yanı sıra iyi felaket kurtarma ve iş sürekliliği (yedekleme) planları gibi fidye yazılımı savunmalarına duyulan ihtiyacı vurguluyor.
Kötü amaçlı yazılımların %93’ü şifrelemenin arkasına saklanıyor
Araştırma, kötü amaçlı yazılımların çoğunun güvenli web siteleri tarafından kullanılan SSL/TLS şifrelemesinde gizlendiğini göstermeye devam ediyor. 4. Çeyrek, bu trendi %82’den %93’e çıkarak sürdürüyor. Bu trafiği incelemeyen güvenlik uzmanları, kötü amaçlı yazılımların çoğunu muhtemelen gözden kaçırıyor ve onu yakalamak için uç nokta güvenliğine daha büyük bir sorumluluk yüklüyor.
Ağ tabanlı kötü amaçlı yazılım tespitleri, 4. Çeyrek boyunca çeyrek bazda yaklaşık %9,2 düştü
Bu, son iki çeyrekte kötü amaçlı yazılım algılamalarındaki genel düşüşü sürdürüyor. Ancak belirtildiği gibi, şifrelenmiş web trafiği düşünüldüğünde, kötü amaçlı yazılım ortaya çıkar. Ekip, bu düşüş eğiliminin tüm resmi göstermeyebileceğine inanıyor ve bu iddiayı doğrulamak için HTTPS incelemesinden yararlanan daha fazla veriye ihtiyaç duyuyor.
Uç nokta kötü amaçlı yazılım algılamaları %22 arttı
Ağ kötü amaçlı yazılım tespitleri düşerken, uç nokta tespiti 4. çeyrekte arttı. Bu, ekibin kötü amaçlı yazılımların şifreli kanallara geçtiği hipotezini destekliyor. Bir tarayıcı Threat Lab’in uç nokta yazılımının görmesi için şifresini çözdüğünden, uç noktada TLS şifrelemesi daha az önemli bir faktördür.
Önde gelen saldırı vektörleri arasında çoğu tespit, tüm tespitlerin %90’ını oluşturan Komut Dosyalarıyla ilişkilendirildi. Tarayıcı kötü amaçlı yazılım tespitlerinde, tehdit aktörleri tespitlerin %42’si ile en çok Internet Explorer’ı hedef alırken, onu %38 ile Firefox izledi.
Sıfır gün veya kaçamak amaçlı kötü amaçlı yazılım, şifrelenmemiş trafikte %43’e düştü
Genel kötü amaçlı yazılım tespitlerinin önemli bir yüzdesi hâlâ önemli olsa da, bu, araştırmacıların yıllardır gördüğü en düşük oran. Bununla birlikte, TLS bağlantılarına bakıldığında hikaye tamamen değişiyor. Şifreli bağlantılar üzerinden kötü amaçlı yazılımların %70’i imzalardan kaçar.
Kimlik avı kampanyaları arttı
Raporun ilk 10 listesinde (bazıları yaygın listede de gösteriliyor) görülen üç kötü amaçlı yazılım çeşidi, çeşitli kimlik avı kampanyalarına yardımcı oluyor. En çok tespit edilen kötü amaçlı yazılım ailesi olan JS.A gent.UNS, kullanıcıları iyi bilinen web siteleri gibi görünen meşru görünen etki alanlarına yönlendiren kötü amaçlı HTML içerir.
Başka bir değişken olan Agent.GBPM, kullanıcıların hesap bilgilerine erişmeye çalışan “PDF Maaş Artışı” başlıklı bir SharePoint kimlik avı sayfası oluşturur. İlk 10’daki son yeni varyant olan HTML.Agent.WR, bilinen bir kimlik avı alanına yönlendiren bir giriş bağlantısı içeren Fransızca sahte bir DHL bildirim sayfası açar.
Kimlik avı ve iş e-postasının ele geçirilmesi (BEC), en önemli saldırı vektörlerinden biri olmaya devam ediyor; bu nedenle, buna karşı savunmak için hem doğru önleyici savunmalara hem de güvenlik farkındalığı eğitim programlarına sahip olduğunuzdan emin olun.
ProxyLogin istismarları büyümeye devam ediyor
Bu iyi bilinen, kritik Exchange sorunu için bir istismar, üçüncü çeyrekte sekizinci sıradan geçen çeyrekte dördüncü sıraya yükseldi. Uzun süre yamalanmalıdır, ancak değilse, güvenlik uzmanları saldırganların onu hedeflediğini bilmelidir. Saldırganlar bir uzlaşmaya varabilirlerse, eski güvenlik açıkları yenileri kadar yararlı olabilir.
Ayrıca, birçok saldırgan Microsoft Exchange Sunucularını veya yönetim sistemlerini hedef almaya devam etmektedir. Kuruluşlar, bu alanları savunmak için çabalarını nereye koyacaklarının farkında olmalı ve bunu bilmelidir.
Ağ saldırı hacmi çeyrekten çeyreğe sabit
Teknik olarak, sadece %0,0015’lik bir artış olan 35 vuruş arttı. Bir sonraki en küçük değişiklik 2020’nin 1. çeyreğinden 2. çeyreğine kadar 91.885 olduğu için bu küçük değişiklik dikkat çekicidir.
LockBit, yaygın bir fidye yazılımı grubu ve kötü amaçlı yazılım varyantı olmaya devam ediyor
Ekip, LockBit türevlerini sık sık görmeye devam ediyor çünkü bu grup, şirketleri (bağlı kuruluşları aracılığıyla) fidye yazılımıyla ihlal etme konusunda en başarılı grup olarak görünüyor.
Önceki çeyreğe göre düşüş olsa da LockBit, WatchGuard Tehdit Laboratuvarı tarafından izlenen 149 kişiyle (3. Çeyrek’teki 200’e kıyasla) yine en çok kamuya açık gasp kurbanı oldu. Ekip ayrıca 4. çeyrekte 31 yeni fidye yazılımı ve gasp grubu tespit etti.