Tehdit aktörleri, daha verimli ve etkili operasyonlar yürütmek için taktik değiştiriyor ve yeni araçları benimsiyor.
“Saldırganlar artık genellikle bir ölçek ekonomisi oluşturmak istiyor” Wendi Whitmore, Palo Alto Networks’te Unit 42’nin Kıdemli Başkan Yardımcısı Çarşamba günü şirketin açılış konuşmasında söyledi yıllık kullanıcı zirvesi.
Tehdit aktörleri, tek bir şirkete karşı tek bir saldırı vektörü kullanmak yerine tüm tedarik zincirini hedefliyor.
Benzer şekilde, fidye yazılımı grupları verileri şifreleyip ardından arka uçta şifresini çözmek yerine, bilgileri çalabilir ve fidye talepleri karşılanmazsa bu bilgileri herkese açık bir şekilde yayınlamakla tehdit edebilir.
Whitmore, dün fidye yazılımlarında sıcak bir trend olan dörtlü gasp kavramının daha az revaçta olduğunu söyledi. Bu dört saldırı modu arasında veri şifreleme, verilerin çalınması ve serbest bırakılması, bir DDoS saldırısı ve çalınan bilgilerle hedeflenen kuruluşun en hassas müşterilerinin taciz edilmesi yer alır.
Aynı şey, araştırmak, inşa etmek ve oluşturmak için önemli ölçüde zaman ve para harcayan sıfır günlük istismarlar için de geçerli.
Whitmore, “Saldırganlar operasyonlarını olabildiğince verimli bir şekilde yürütmeye doğru ilerliyor” dedi.
Veriler çalındığında, kuruluşların en büyük önceliği sorunları hızlı bir şekilde çözmek ve müşteri verilerinin açığa çıkmamasını sağlamaktır. Bu, düzenleyici ve bildirim gerekliliklerine uyumu içerir.
Whitmore, tehdit aktörlerinin bunu bildiğini ve iş operasyonlarını yalnızca teknikler veya süreçlerde değil, aynı zamanda kullandıkları araçlarda da optimize ettiklerini söyledi.
“Kullandıkları bu gerçek araç setlerinin ortaklığını ve yakınsamasını görüyoruz” dedi. Bu, orijinal olarak kırmızı ekip güvenlik araştırmacıları tarafından geliştirilen araçları içerir.
Brute Ratel C4 bir uyarı işareti veriyor
Ünite 42 araştırmacıları geçen yıl Brute Ratel C4’ü konuşlandıran tehdit aktörlerini keşfettiantivirüs ve uç nokta algılama ve yanıt korumalarını atlayabilen kötü amaçlı bir yük.
Whitmore’un meslektaşları, orijinal olarak meşru kullanım için tasarlanan aracın bir kurumsal istemciye yönelik bir fidye yazılımı saldırısında yer aldığını belirledi.
“Şaşırtıcı olmayan bir şekilde, ilk saldırı vektörü bir kimlik avı e-postası yoluylaydı” dedi. Alıcı e-postayı açtığında, kuruluşun on binlerce sistemi kapsayan tüm ortamı boyunca bir uç noktaya yüklenmiş kötü amaçlı yazılım indiricisini içeren bir zip dosyasını çalıştırdı.
Tehdit aktörü, dört sunucuya erişim kazanmasına izin veren bir ters kabuk kurduğunda, Brute Ratel C4’ü kurdu.
Whitmore, “Hangi verileri çalmak istediklerini çok çabuk anladılar ve bu verileri başarıyla sızdırdılar” dedi. “Verileri çaldıktan sonra, ortama kötü amaçlı yazılım yüklediler ve on milyonlarca dolarlık bir anlaşma talep ettiler.”
Unit 42, onu kimin geliştirdiğine bakılmaksızın, piyasada bulunan beceri, teknik ve teknolojilerden yararlanan daha fazla tehdit aktörü görmeyi bekliyor.
Whitmore, “İlerlemeyi beklediğimiz şey, işi yapmak için gereken araçları kullanan ve verimliliklerini mümkün olduğunca artıran daha fazla aktördür” dedi. “Çalınacak sırlar ve kazanılacak para olduğu sürece, başa çıkmamız gereken yeni saldırılar ve yeni saldırganlar olacaktır.”