Fidye yazılımı, tedarikçinin en son verilerinden alınan verilere göre, bir siber saldırıda en yaygın “oyunun sonu” senaryosu olmaya devam ediyor ve Sophos X-Ops olay müdahale (IR) ekibinin 2022’de yanıt verdiği tüm olayların %68,4’ünü oluşturuyor. İş dünyasının liderleri için aktif düşman raporugelişen saldırı tekniklerine ve tehdit aktörlerinin davranışlarına derinlemesine bir bakış.
Son birkaç yıldır gözlemlenen fidye yazılımı saldırılarının üstel büyüme oranı, geçen yıl bir miktar azalmış olsa da – Ukrayna savaşının Rusya’nın suç ekosistemi üzerindeki etkisi başta olmak üzere çeşitli nedenlerle – diğer tüm saldırı biçimlerinden çok daha yaygın olmaya devam ediyor , Sophos’a göre. Karşılaştırıldığında, en yaygın ikinci olay türü olan fidye yazılımı unsuru olmayan basit ağ ihlalleri, olayların yalnızca %18,4’ünü oluşturuyordu.
Sophos, fidye yazılımlarının yıkıcı, gürültülü ve gözle görülür bir siber saldırı türü olduğu ve çok sayıda uzman yardımı gerektirdiği göz önüne alındığında, genel istatistiklerde her zaman önemli yer tutacağını söyledi. X-Ops ekibi ayrıca, yanıt verdikleri ağ ihlallerinin çoğunun net bir nedeni olmadığını, bu nedenle, rotalarını izleselerdi pekala fidye yazılımı olaylarına dönüşmüş olabileceklerini belirtti.
Başka yerlerde, X-Ops yanıtlarının %4’ü veri hırsızlığı vakalarıyla ve %2,6’sı veri gaspı vakalarıyla ilgili olup, bunlar genellikle bir fidye yazılımı olayının ayırt edici özelliğidir, ancak tehdit aktörleri tarafından verileri şifrelemeden giderek daha fazla taktik olarak kullanılır; %3,3 kötü amaçlı yazılım yükleyicilerin konuşlandırılmasıyla ilgili; Web kabuklarının konuşlandırılmasına %2,6; ve yasa dışı kripto madencilerin konuşlandırılmasına %0,7.
Raporun yazarı, Sophos’un ticari iş biriminin saha baş teknoloji sorumlusu John Shier, “Bu yılki verilerdeki farklı saldırı türlerinin çeşitliliği hafif bir artış gösterdi” diye yazdı. “Bu çeşitlilik, saldırganların nihai hedeflerine ulaşamamalarından kaynaklanıyor olabilir. Daha fazla şirket EDR gibi teknolojileri benimsiyor [Endpoint Detection and Response]NDR [Network Detection and Response] ve XDR [Extended Detection and Response]veya MDR gibi hizmetler [Managed Detection and Response]bunların tümü sorunları daha erken fark etmelerini sağlar.
“Daha hızlı saldırılar, daha erken tespit edilmesini gerektirir. Saldıranlar ve savunanlar arasındaki yarış artmaya devam edecek ve proaktif izlemeye sahip olmayanlar en büyük sonuçlara katlanacak”
John Shier, Sophos
“Bu da, devam eden bir saldırıyı durdurabilecekleri ve birincil hedefe ulaşılmadan davetsiz misafirleri tahliye edebilecekleri anlamına geliyor – veya daha kötü niyetli başka bir davetsiz misafir, önce daha küçük bir düşman tarafından bulunan bir koruma boşluğu bulmadan önce. Ağınızdaki madeni para madenciliği veya web kabuğu hala kabul edilemez olsa da, bunlar gibi tehditleri tam gelişmiş fidye yazılımı saldırılarına, hırsızlık veya gasp veya bildirilebilir bir ihlale dönüşmeden önce tespit etmek ve düzeltmek çok daha iyidir.” gözlemlendi.
Belki de bununla bağlantılı olarak, X-Ops ekibi, aynı zaman diliminde, fidye yazılımı olaylarında 2021’de 11 günden 2022’de dokuz güne ve diğerlerinde 34 günden 11 güne düşerek, pano genelinde ortalama saldırgan kalma sürelerinde düşüşler gözlemledi.
Shier, bunun yine etkili savunma duruşuyla bağlantılı olduğunu öne sürdü. “Sürekli izleme ile katmanlı savunmaları başarıyla uygulayan kuruluşlar, saldırı şiddeti açısından daha iyi sonuçlar görüyor, [but] Gelişmiş savunmaların yan etkisi, düşmanların saldırılarını tamamlamak için hızlanmaları gerektiği anlamına geliyor” dedi.
“Bu nedenle, daha hızlı saldırılar daha erken tespit edilmesini gerektirir. Saldıranlar ve savunanlar arasındaki yarış artmaya devam edecek ve proaktif izlemeye sahip olmayanlar en büyük sonuçlara katlanacak.”
Giriş yapmak, içeri girmemek
X-Ops ekibinin en son verileri ayrıca, tehdit aktörlerinin kurbanlarının ağlarına en başta nasıl eriştiklerine ve içeri girdikten sonra başka neler yaptıklarına dair bazı içgörüler ortaya koyuyor.
Ekip, yama uygulanmamış güvenlik açıklarının en yaygın tek erişim yöntemi olduğunu tespit etti – X-Ops’un 2022 araştırmalarının tamamı Log4Shell ve ProxyShell güvenlik açıklarının istismarını içeriyordu. Saldırıların bir sonraki en yaygın temel nedeni, güvenliği ihlal edilmiş kimlik bilgileriydi – Shier’in dediği gibi, “günümüzün saldırganları izinsiz girmediğinde, oturum açıyorlar”. Bunu bilinmeyen erişim yöntemleri izledi – bu rahatsız edici çünkü IR ekipleri temel nedeni belirleyemediğinde, düzeltmeyi önemli ölçüde zorlaştırıyor – kötü amaçlı belgelerin kullanımı, kaba kuvvet saldırıları ve kimlik avı.
Ekip, günlük çalışmaları sırasında tehdit aktörlerinin kullandığı 524 benzersiz araç ve teknik de belirledi. Bunların arasında 204 saldırgan veya bilgisayar korsanlığı aracı vardı ve Cobalt Strike sömürü sonrası çerçeve kullanımı en popüler olanıydı, ardından AnyDesk, mimikatz, SoftPerfect’in Ağ Tarayıcısı, Gelişmiş IP Tarayıcısı ve TeamViewer geldi.
Ek olarak, X-Ops, işletim sistemlerinde “doğal olarak” oluşan ve daha sonra kötü niyetli aktörler tarafından birlikte tercih edilen yasal yürütülebilir dosyalar olan yaklaşık 120 karada yaşayan ikili dosya (LOLBins) buldu. Bu, güvenlik ekiplerinin onları tespit etmesini ve engellemesini önemli ölçüde zorlaştırır. PowerShell, LOLBin kullanımı açısından başı çekerken, onu cmd.exe, PSExec, Görev Zamanlayıcı ve net.exe izledi. Uzak Masaüstü Protokolü (RDP) istismarı da bir LOLBIn olarak sayılır, ancak “mutlak her yerde bulunabilmesi” nedeniyle örnekleme dışında tutuldu.
Genel olarak Sophos, oyundaki çok çeşitli seçenekler göz önüne alındığında, bunlardan birine odaklanmanın pek yardımcı olmayacağını tavsiye ediyor – güvenlik ekipleri gerçekten mevcut olmasına izin verilen araçları sınırlamaya çalışmalı, yapabileceklerini sınırlamalı, ve tüm kullanımlarını denetleyin. Örneğin, Cobalt Strike muhtemelen her zaman engellenmelidir, ancak TeamViewer’ın bazı kullanımlarına oldukça kontrollü bir temelde güvenle izin verilebilir.
Benzer şekilde, LOLBins’in doğrudan bloke edilmesi yararlı değildir, çünkü bazıları günlük çalışma için gereklidir – güvenlik ekiplerinin, bunları içeren etkinliği yakalamak için algılama araçları için tetikleyiciler geliştirmesi daha iyi olacaktır.
Shier, “Gerçek şu ki, tehdit ortamı, savunucuların yararlanabileceği fark edilebilir boşlukların olmadığı bir noktaya kadar hacim ve karmaşıklık açısından büyüdü” dedi.
“Çoğu kuruluş için, tek başına devam etme günleri artık geride kaldı. Gerçekten her şey, her yerde, hepsi aynı anda. Ancak işletmelerin savunma yükünün bir kısmını hafifletebilecek ve temel iş önceliklerine odaklanmalarını sağlayacak araçlar ve hizmetler mevcut.”