Siber güvenlik sektörü, fidye yazılımı saldırısının habercisi olabilecek şüpheli etkinlikleri tespit etmede o kadar başarılı oldu ki, içerilen verilere göre siber suçlular bir kurbanın ağına girmeyi başardıklarında, dolaplarını her zamankinden daha hızlı bir şekilde devreye alıp çalıştırıyorlar. Secureworks’ün yıllık Tehdidin Durumu rapor.
Sadece 12 ay içinde, Secureworks’ün Karşı Tehdit Biriminin (CTU) müdahale ettiği olaylarda gözlemlenen ortalama bekleme süresi dört buçuk günden 24 saatin altına düştü ve vakaların %10’unda fidye yazılımı dolapları ele geçirildi. İlk erişimden sonraki beş saat içinde dağıtılır.
“Ortalama bekleme süresindeki azalmanın nedeni muhtemelen siber suçluların daha düşük bir tespit şansı istemesinden kaynaklanıyor. Secureworks CTU tehdit istihbaratından sorumlu başkan yardımcısı Don Smith, siber güvenlik endüstrisinin fidye yazılımının öncüsü olan etkinlikleri tespit etme konusunda çok daha usta hale geldiğini söyledi.
“Sonuç olarak tehdit aktörleri, önemli ölçüde daha karmaşık olan büyük, çok siteli, kurumsal çapta şifreleme olayları yerine daha basit ve uygulaması daha hızlı operasyonlara odaklanıyor. Ancak bu saldırılardan kaynaklanan risk hâlâ yüksek.”
CTU ekibinin bulguları, Sophos X-Ops’taki meslektaşları tarafından hazırlanan ve genel olarak – sadece fidye yazılımı olaylarında değil – ortalama bekleme sürelerinin 2022’nin başından bu yana neredeyse bir hafta düştüğünü gösteren Ağustos ayındaki raporun bulgularını bir ölçüde yansıtıyor.
Haziran 2022’den Temmuz 2023’e kadar olan dönemi kapsayan Secureworks raporu, pek de sürpriz olmayan bir dizi tanıdık ismin hâlâ bu alanda hakim olduğunu ortaya çıkardı. Ancak Smith, en aktif tehdit aktörlerinin hâlâ LockBit (Secureworks sınıflandırmasında Gold Mystic), ALPHV/BlackCat (Gold Blazer) ve Clop/Cl0p (Gold Tahoe) olmasına rağmen, birçok yeni ve son derece aktif tehdit grubunun da bulunduğunu söyledi. kurban sayılarında ve veri sızıntısı hacimlerinde önemli bir artışa neden oluyor.
Gerçekten de, raporun kapsadığı dönemin son dört ayı, isim ve utanç saldırılarının hız kazanmaya başladığı 2019’dan bu yana kurban sayısı açısından en verimli ay oldu; yalnızca Mayıs 2023’te 600 kurban sızıntı sitelerine gönderildi; 2022.
Smith, “Yüksek profilli yayından kaldırma ve yaptırımlara rağmen, siber suçlular uyum sağlama konusunda ustalar, dolayısıyla tehdit hız kazanmaya devam ediyor” dedi.
CTU’nun dikkatle izlediği yeni ortaya çıkan gruplar arasında MalasLocker, 8BASE ve Akira gibi isimler yer alıyor. Özellikle 8BASE, Haziran 2023’te sızıntı sitesinde yaklaşık 40 kurbanı listeledi; bu neredeyse LockBit ile aynı seviyedeydi. Nisan 2023’te savunmasız Zimbra sunucularının ele geçirilmesiyle büyük başarı elde eden MalasLocker, sitesinde 171 yeni kurban yayınladı.
Fidye yazılımı çeteleri için gözlemlenen en yaygın erişim araçları, çeşitli şekillerde toplamın %32’si ile çalıntı kimlik bilgileri yoluyla tarama ve yararlanma ve %14’ü ile kimlik avı yoluyla yayılan ticari amaçlı kötü amaçlı yazılımlar oldu.
Shodan gibi bir arama motoru aracılığıyla savunmasız sistemleri aramayı ve ardından bunları tehlikeye atmak için belirli bir istismar kullanmayı içeren tara ve yararlan tekniğinin başarısı, genel olarak yamalamaya gösterilen dikkat eksikliğinin devam ettiğini yansıtıyor. En yaygın olarak cinsiyet istismarı yapılan güvenlik açıklarının %58’inin CVE tarihleri 12 aydan eskidir.
Smith, güvenlik ekiplerinin ChatGPT ve üretken yapay zeka etrafındaki abartılı reklam nedeniyle dikkatlerinin dağılma riskiyle karşı karşıya olduğunu ancak 2023’teki en yüksek profilli saldırıların yama yapılmamış altyapıdan kaynaklanma eğiliminde olduğunu söyledi.
“Siber suçlular denenmiş ve test edilmiş saldırı yöntemlerinden meyvelerini alıyor, bu nedenle kuruluşların kendilerini temel siber hijyenle korumaya odaklanmaları ve abartılı reklamlara kapılmamaları gerekiyor” dedi.
Ulus devletler
Ulus devlet destekli gelişmiş kalıcı tehdit (APT) aktörlerinin dünyasına dönen Secureworks raporu, aynı zamanda bu konuda en aktif devletlerle (Çin, İran, Kuzey Kore ve Rusya) ilişkili tehdit gruplarının davranışlarına ilişkin içgörüleri de ortaya koyuyor.
Secureworks, Çin’in yakın komşularına ve Tayvan’a odaklanmayı sürdürürken, giderek daha fazla Doğu Avrupa’ya baktığını ve atıf riskini en aza indirmek için Cobalt Strike ve Çin tarafından geliştirilen açık kaynaklı araçlar gibi ticari araçları kullanan daha gizli ticari araçlara giderek daha fazla vurgu yaptığını ortaya çıkardı. ve diğer aktivitelerle harmanlayın. Ekip, bunun geleneksel “parçala ve yakala” itibarından belirgin bir sapma olduğunu söyledi.
Bu arada İran, APT’lerini dünya çapındaki muhaliflere ve İran diasporasının üyelerine, İsrail, Bahreyn ve BAE arasındaki ilişkileri normalleştiren İbrahim Anlaşmalarını ve Batı’nın nükleer anlaşmaları yeniden müzakere etmeye yönelik niyetlerini engellemeye odaklamaya devam ediyor. Genellikle İstihbarat ve Güvenlik Bakanlığı veya İslam Devrim Muhafızları Teşkilatı tarafından desteklenen İran APT’leri, hem faaliyetlerini desteklemek için dışarıdan yüklenicileri kullanma konusunda uzmanlaşıyor hem de sahte çorap kuklası kişilikleri oluşturma veya işleri sakinleştirmek için meslektaşları ve işbirlikçileri taklit etme konusunda dikkat çekiyor. kurbanlarını sahte bir güvenlik duygusuna kaptırıyorlar.
Kuzey Kore’de amaç, Pyongyang’daki izole edilmiş parya rejimini finansal olarak desteklemek olmaya devam ediyor, ancak aynı zamanda bir siber casusluk unsuru da işin içinde. Kötü amaçlı bir kripto para birimi olan AppleJeus gibi araçların, 2017’den bu yana 2 milyar dolardan fazla kripto varlığını çaldığı düşünülen Kuzey Koreliler için paha biçilmez olduğu kanıtlandı.
Moskova’nın APT’leri elbette hala büyük ölçüde Ukrayna’daki savaşa odaklanmış durumda ve faaliyetler iki kampa ayrılıyor: casusluk veya yıkıcı ve yıkıcı siber saldırılar. Özellikle 2023 yılında, Rusya’nın düşman olarak gördüğü kuruluşları hedef alan ve Telegram gibi platformlarda örgütlenen “vatansever” hacktivist grupların sayısında belirgin bir artış görüldü. Daha genel anlamda, Rus APT’lerinin kurbanlarını hedeflerken güvenilir üçüncü taraf bulut hizmetlerini daha kötü niyetli kullandıkları gözlemlendi.