Yeni yayınlanan bir HP-Bromium Threat Insights raporuna göre, tespit edilen tehditlerin neredeyse üçte biri önceden bilinmiyordu. Analiz, hizmet olarak kötü amaçlı yazılım (MaaS) kitlerinin kullanımının arttığını ve tehditlerin günlerce keşfedilmeden kaldığını gösteriyor.
HP-Bromium’un 2020’nin son çeyreğini kapsayan en son üç aylık raporu, yakalanan kötü amaçlı yazılımların %29’unun önceden bilinmediğini gösteriyor. Yüksek hacimli yeni tehditler, tespitten kaçmak isteyen saldırganlar tarafından paketleyicilerin ve şaşırtma tekniklerinin yaygın olarak kullanılmasıyla açıklanmaktadır.
Raporun yazarları, kullanıcıların kötü amaçlı yazılımın gerçek hayatta nasıl çalıştığını görmelerine olanak tanıdığını iddia ediyor: HP’nin güvenlik ürünü, kötü amaçlı yazılımın çalışmasına izin vererek, onu kendi kendine çalıştırması için kandırarak sistemin mikro sanal makinelerde tüm bulaşma zincirini yakalamasına izin veriyor.
Rapor, kötü amaçlı yazılımların %88’inin, çoğu durumda ağ geçidi filtrelerini atlayarak kullanıcıların gelen kutularına e-posta yoluyla teslim edildiğini buldu. Ortalama olarak, tehditlerin antivirüs motorlarına hash tarafından bilinmesi 8,8 gün sürdü ve tehdit aktörlerine kampanyalarını ilerletmek için uzun bir başlangıç sağladı.
Rapor, truva atlarının kötü amaçlı yazılım örneklerinin üçte ikisini oluşturduğunu ve en yaygın dağıtım yönteminin e-posta olduğunu belirtti. Algılanan kötü amaçlı yazılımların %88’i e-posta tabanlıydı ve kalan %12’si web indirmeleri yoluyla dağıtıldı.
En yaygın tehlikeli ek türü belgeler (%31), arşiv dosyaları (%28), elektronik tablolar (%19) ve yürütülebilir dosyalardır (%17).
2020’nin 4. çeyreğinde ortaya çıkan APOMacroSploit gibi kitler, 50 $ gibi düşük bir fiyata satın alınabiliyor ve bu da fırsatçı siber suçlar için giriş engelinin ne kadar düşük olduğunu gösteriyor.
Alex Hollanda.
“Düşük maliyetli MaaS kitleri, siber suçlular için çekici bir olasılık ve bunların yeraltı forumlarında artmaya devam ettiğini gördük. HP’nin kıdemli kötü amaçlı yazılım analisti Alex Holland bir basın açıklamasında, 2020’nin 4. çeyreğinde ortaya çıkan APOMacroSploit gibi kitlerin 50 $ gibi düşük bir fiyata satın alınabilmesi, fırsatçı siber suçlar için giriş engelinin ne kadar düşük olduğunu gösteriyor.
2020’nin 4. çeyreği boyunca analiz edilen verilerle ilgili rapor, web tarayıcı istismarlarının genellikle kurbanları FickerStelaer kötü amaçlı yazılım bulaşmış sayfalara yönlendirdiğini gösteriyor. HP analistleri, popüler anlık mesajlaşma hizmetlerinin yanlış yazılmış etki alanlarına dayanan bir kampanya gözlemledi. Ziyaretçiler, cezbedildikten sonra, ziyaretçilerin bilgisayarlarına FickerStealer adlı bilgi çalan kötü amaçlı yazılımları bulaştırmak için web tarayıcılarından ve eklenti güvenlik açıklarından yararlanmaya çalışan RigEk açılış sayfalarına yönlendirildi.
Raporun yazarları, uzaktan erişim Truva Atlarının (RAT’ler) dağıtımında artan etkinlik fark ettiler. Failler, kurbanları, bilgisayarlarında BitRAT Trojan’ın konuşlandırılmasına yol açan silahlaştırılmış Excel dosyalarını açmaları için kandırdı.
Diğer tehdit aktörleri de kurbanları virüslü belgeleri açmaları için kandırmak için Office ürünlerini kullandı. Örneğin, yalnızca belge kapatıldıktan sonra kötü amaçlı makrolar çalıştıran ilaç faturaları gibi görünen Word belgelerini kullandılar.
Europol tarafından Ocak ayı sonunda kapatılan bir kötü amaçlı yazılım ağı olan Emotet, istatistiklere de damgasını vurmayı başardı. Yazarlar, Emotet’in son faaliyet patlamasının, operatörlerinin indirmeyi daha karmaşık hale getirmek için DOSfuscation tekniklerini kullanarak indiriciyi değiştirdiğini gördüğünü iddia ediyor. Şüpheden kaçınmak için, indirici açıldığında bir hata mesajı oluşturur.
“Ayrıca tehdit aktörlerinin ağlara tutunma şanslarını artırmak için kötü amaçlı yazılım dağıtım tekniklerini denemeye devam ettiğini gördük. 2020’nin 4. çeyreğinde gördüğümüz en etkili yürütme teknikleri, algılama araçlarına genellikle çok az görünürlük sunan Excel 4.0 makroları gibi eski teknolojileri içeriyordu,” diyor Holland.
Ona göre, geçen yılın sonunda Dridex kampanyalarında en büyük artış görüldü. Böyle bir kampanya sırasında tehdit aktörleri, bir sisteme bulaşmak için Microsoft Office makrolarından yararlanarak bankacılık ve finansal erişimi hedefleyen kötü amaçlı yazılımlar kullanır. Dridex kampanyalarının kullanımı şaşırtıcı bir şekilde %229 arttı.
“Nihayetinde, herhangi bir saldırganın bir uç noktada yer edinmesi kötü haberdir – bu erişimi kimlik bilgilerini sıyırmak, sistemler arasında yanal olarak hareket etmek, verileri sızdırmak veya erişimlerini diğer siber suçlulara satmak için kullanabilirler – bu nedenle işletmeler için büyük bir risk oluşturur.” açıkladı.
Raporun yazarları, saldırganların, örneğin otomasyonu giderek daha fazla benimsemek gibi, algılamayı atlamak için yeni yollar bularak, biraz endişe verici bir şekilde yenilik yapmaya devam ettiğini belirtiyor. Tespit edilmeyen operasyonlardan sonraki birkaç gün içinde, tehdit aktörleri hedeflenen işletmeleri önemli ölçüde etkilemeyi başarır.