Mandiant’a göre, küresel medyan bekleme süresi iki haftadan biraz fazla düşerek, ortaklıkların ve bilgi alışverişinin daha dayanıklı bir siber güvenlik ekosistemi oluşturmada oynadığı temel rolü yansıtıyor.
Modern siber savunma yetenekleri
Rapor, kuruluşların giderek daha karmaşık hale gelen düşmanlara karşı savunmaları güçlendirmede küresel olarak kaydettiği ilerlemeyi ortaya koyuyor.
“M-Trends 2023, sektörümüz siber güvenlikte daha iyiye giderken, sürekli gelişen ve giderek daha sofistike hale gelen rakiplerle mücadele ettiğimizi açıkça ortaya koyuyor. Google Cloud’da Mandiant Danışmanlık Başkan Yardımcısı Jurgen Kutscher, “2021’de gördüğümüz bazı trendler, artan sayıda yeni kötü amaçlı yazılım ailelerinin yanı sıra ulus-devlet destekli aktörlerden artan siber casusluk gibi 2022’de de devam etti” dedi.
“Sonuç olarak, kuruluşlar gayretli kalmalı ve modern siber savunma yetenekleriyle siber güvenlik duruşlarını geliştirmeye devam etmelidir. Bu en son tehditlere karşı siber dayanıklılığın sürekli olarak doğrulanması ve genel müdahale yeteneklerinin test edilmesi de eşit derecede kritiktir,” diye ekledi Kutscher.
Siber saldırılar için küresel medyan bekleme süresi 2022’de tüm zamanların en düşük seviyesine ulaştı
Rapora göre, bir saldırganın tespit edilmeden önce bir hedefin ortamında bulunduğu medyan gün sayısı olarak hesaplanan küresel medyan kalma süresi, yıldan yıla düşmeye devam ederek 2022’de 16 güne düşüyor. 2021’de 21 günlük bir medyan bekleme süresi ile tüm M-Trends raporlama dönemlerinden en kısa medyan küresel kalma süresi.
Tehditlerin nasıl tespit edildiğini karşılaştırırken Mandiant, harici bir varlık tarafından geçmişteki veya devam eden bir uzlaşma konusunda uyarılan kuruluşların sayısında genel bir artış gözlemledi. Merkezi Amerika’da bulunan kuruluşlar, geçen yılki olayların %40’ına kıyasla, olayların %55’inde harici bir kuruluş tarafından bilgilendirildi.
Bu, Amerika’nın son altı yılda gördüğü en yüksek dış bildirim yüzdesidir. Benzer şekilde, Avrupa, Orta Doğu ve Afrika’daki (EMEA) kuruluşlar, 2021’deki %62’ye kıyasla, 2022’deki soruşturmaların %74’ünde harici bir kuruluşun izinsiz girişine ilişkin uyarı aldı.
Fidye yazılımı saldırılarında hafif düşüş
Mandiant uzmanları, 2021 ile 2022 yılları arasında fidye yazılımları içeren küresel soruşturmaların yüzdesinde bir düşüş olduğunu kaydetti. 2021’deki %23’e kıyasla, 2022’de soruşturmaların %18’i fidye yazılımı içeriyordu. Bu, 2020 öncesinden bu yana fidye yazılımla ilgili Mandiant soruşturmalarının en küçük yüzdesini temsil ediyor. .
Sandra Joyce, “Fidye yazılımıyla ilgili saldırılarda gözlemlediğimiz hafif düşüşün tek bir nedeni olduğunu gösteren verilerimiz olmasa da, işletim ortamında bu düşük rakamlara muhtemelen katkıda bulunan çok sayıda değişiklik oldu” dedi. , Başkan Yardımcısı, Google Cloud’da Mandiant Intelligence.
“Bu faktörler şunları içerir, ancak bunlarla sınırlı değildir: fidye yazılımı hizmetlerini ve bireyleri hedef alan ve en azından aktörlerin yeni ortaklıklar geliştirmesini veya yeniden düzenlemesini gerektiren devam eden hükümet ve kolluk kuvvetleri engelleme çabaları; Ukrayna’daki çatışma; aktörlerin ilk erişim operasyonlarını, makroların genellikle varsayılan olarak devre dışı bırakılabildiği bir dünyaya ve ayrıca fidye yazılımı olaylarını daha hızlı tespit etme ve önleme veya bunlardan kurtarma konusunda potansiyel olarak daha iyi hale gelen bir dünyaya göre ayarlaması gereken aktörler,” diyerek sözlerini tamamladı Joyce.
Mandiant, Rusya’nın 24 Şubat 2022’de Ukrayna’yı işgaline kadar uzanan kapsamlı siber casusluk ve bilgi operasyonlarını tespit etti. En önemlisi, Mandiant, Ukrayna’nın işgalinden önce UNC2589 ve APT28 faaliyetlerini gördü ve Ukrayna işgali sırasında Ukrayna’da daha yıkıcı siber saldırılar gözlemledi. 2022’nin ilk dört ayında önceki sekiz yıla göre.
Yeni kötü amaçlı yazılım aileleri yükselişte
2022’de araştırmacılar, rakiplerin araç setlerini nasıl genişletmeye devam ettiğini ortaya çıkaran 588 yeni kötü amaçlı yazılım ailesini izlemeye başladı. Yeni izlenen kötü amaçlı yazılım aileleri arasında ilk beş kategori arka kapılar (%34), indiriciler (%14), düşürücüler (%11), fidye yazılımı (%7) ve başlatıcılardan (%5) oluşuyordu. Bu kötü amaçlı yazılım kategorileri yıllar boyunca tutarlılığını koruyor ve arka kapılar, yeni izlenen kötü amaçlı yazılım ailelerinin üçte birinden biraz fazlasını temsil etmeye devam ediyor.
Önceki yıllara paralel olarak, Mandiant’ın araştırmalarında tespit ettiği en yaygın kötü amaçlı yazılım ailesi, çok işlevli bir arka kapı olan BEACON’du. 2022’de BEACON, Mandiant tarafından araştırılan tüm izinsiz girişlerin %15’inde tespit edildi ve bölgeler genelinde yapılan araştırmalarda açık farkla en çok görüleni olmaya devam ediyor.
Çin, Rusya ve İran’a atfedilen ulus devlet destekli tehdit gruplarının yanı sıra finansal tehdit grupları ve 700’den fazla UNC grubu da dahil olmak üzere Mandiant tarafından takip edilen çok çeşitli tehdit grupları tarafından kullanılmıştır. Rapora göre, bu her yerde bulunma, kötü amaçlı yazılımın yüksek düzeyde özelleştirilebilirliği ve kullanım kolaylığı ile birlikte BEACON’un yaygın olarak bulunmasından kaynaklanıyor olabilir.
Düşmanlar giderek daha etkili hale geliyor
“Mandiant, giderek daha anlayışlı ve etkili hale gelen yeni düşmanlar tarafından gerçekleştirilen birkaç izinsiz girişi araştırdı. Google Cloud’da Mandiant Consulting CTO’su Charles Carmakal, “Yeraltı siber suç pazarlarından gelen verileri kullanıyorlar, sesli aramalar ve kısa mesajlar üzerinden ikna edici sosyal mühendislik planları yürütüyorlar ve hatta ağlara erişim sağlamak için çalışanlara rüşvet vermeye çalışıyorlar” dedi.
“Bu gruplar, güçlü güvenlik programlarına sahip olanlar da dahil olmak üzere kuruluşlar için önemli bir risk oluşturuyor çünkü bu tekniklere karşı savunma yapmak zor. Kuruluşlar güvenlik ekiplerini, altyapılarını ve yeteneklerini oluşturmaya devam ettikçe, bu tehdit aktörlerine karşı koruma sağlamak tasarım hedeflerinin bir parçası olmalıdır,” diye sözlerini tamamladı Carmakal.
Rapordan çıkarılacak ek çıkarımlar şunları içerir:
enfeksiyon vektörü
Art arda üçüncü yıl boyunca, açıklardan yararlanmalar, %32 ile düşmanlar tarafından kullanılan en güçlü ilk bulaşma vektörü olmaya devam etti. Bu, 2021’de tespit edilen izinsiz girişlerin %37’sinden bir düşüş olsa da, açıklardan yararlanmalar, düşmanların hedeflerine karşı kullanmaları için kritik bir araç olmaya devam etti. Kimlik avı, 2021’de %12 olan izinsiz girişlerin %22’sini temsil ederek en çok kullanılan ikinci vektör olarak geri döndü.
Etkilenen hedef sektörler
Devletle ilgili kuruluşlara yönelik müdahale çabaları, 2021’deki %9’a kıyasla tüm soruşturmaların %25’ini ele geçirdi. Bu, öncelikle Mandiant’ın Ukrayna’yı hedef alan siber tehdit faaliyetine yönelik soruşturma desteğini yansıtıyor. 2022’den sonraki en çok hedeflenen dört sektör, Mandiant uzmanlarının 2021’de gözlemledikleri ile tutarlıdır; iş ve profesyonel hizmetler, finans, yüksek teknoloji ve sağlık sektörleri rakipler tarafından tercih edilmektedir. Bu endüstriler, hem finansal hem de casusluk amaçlı aktörler için çekici hedefler olmaya devam ediyor.
kimlik hırsızlığı
Araştırmalar, 2022’de hem yaygın bilgi çalan kötü amaçlı yazılımların kullanımında hem de kimlik bilgisi satın almada önceki yıllara göre artan bir yaygınlık ortaya çıkardı. Çoğu durumda, incelemeler kimlik bilgilerinin muhtemelen kuruluş ortamının dışında çalındığını ve daha sonra parolaların yeniden kullanılması veya kurumsal cihazlarda kişisel hesapların kullanılması nedeniyle kuruluşa karşı kullanıldığını tespit etti.
Veri hırsızlığı
Zorunlu uzmanlar, 2022’deki izinsiz girişlerin %40’ında, saldırganların veri hırsızlığına öncelik verdiğini belirledi. Araştırmacılar, 2022’de önceki yıllara göre daha sık hırsızlık girişiminde bulunan veya veri hırsızlığı operasyonlarını başarıyla tamamlayan tehdit aktörlerini gözlemledi.
Kuzey Kore’nin kripto kullanımı
Geleneksel istihbarat toplama görevleri ve yıkıcı saldırıların yanı sıra, 2022’de Kore Demokratik Halk Cumhuriyeti operatörleri kripto para birimini çalmaya ve kullanmaya daha fazla ilgi gösterdi. Bu operasyonlar oldukça kazançlı oldu ve muhtemelen 2023 boyunca hız kesmeden devam edecek.