WatchGuard’a göre siber suçlular hâlâ açık uzaktan erişim ürünlerini hedeflemeyi tercih ediyor veya kötü amaçlı eylemlerini gizlemek için yasal uzaktan erişim araçlarından yararlanmayı tercih ediyor.
WatchGuard güvenlik şefi Corey Nachreiner, “Tehdit aktörleri saldırı kampanyalarında farklı araç ve yöntemler kullanmaya devam ediyor, bu da kuruluşların güvenlik stratejilerini güçlendirmek için en son taktikleri takip etmelerini kritik hale getiriyor” dedi.
“Güvenlik duvarları ve uç nokta koruma yazılımı içeren modern güvenlik platformları, ağlar ve cihazlar için gelişmiş koruma sağlayabilir. Ancak sosyal mühendislik taktiklerini kullanan saldırılar söz konusu olduğunda, son kullanıcı, kötü niyetli aktörler ile onların bir kuruluşa sızmadaki başarısı arasındaki son savunma hattı haline gelir. Kuruluşların sosyal mühendislik eğitimi vermesinin yanı sıra, yönetilen hizmet sağlayıcılar tarafından etkili bir şekilde yönetilebilecek savunma katmanları sağlayan birleşik bir güvenlik yaklaşımını benimsemesi de önemlidir,” diye ekledi Nachreiner.
Medusa fidye yazılımı çeşidi üçüncü çeyrekte artış gösterdi
Tehdit aktörleri, hem FBI hem de CISA’nın da kabul ettiği, kötü amaçlı yazılım önleme tespitinden kaçınmak için giderek daha fazla uzaktan yönetim araçlarını ve yazılımlarını kullanıyor. Örneğin, Tehdit Laboratuvarı, en yaygın kimlik avı alan adlarını araştırırken, kurbanın TeamViewer’ın önceden yapılandırılmış, yetkisiz bir sürümünü indirmesine neden olan ve saldırganın bilgisayarına tam uzaktan erişmesine olanak tanıyan bir teknik destek dolandırıcılığı gözlemledi.
Medusa fidye yazılımı çeşidi üçüncü çeyrekte artış göstererek uç nokta fidye yazılımı saldırılarının %89 artmasına neden oldu. Görünüşte uç nokta fidye yazılımı tespitleri 3. çeyrekte azaldı. Ancak ilk kez Top 10 kötü amaçlı yazılım tehdidi arasında yer alan Medusa fidye yazılımı çeşidi, Threat Lab’ın otomatik imza motorundan gelen genel bir imzayla tespit edildi. Medusa tespitleri de hesaba katıldığında fidye yazılımı saldırıları önceki çeyreğe göre %89 arttı.
Tehdit aktörleri senaryoya dayalı saldırılardan vazgeçiyor ve giderek daha fazla başka arazide yaşama tekniklerini kullanıyor. Kötü amaçlı komut dosyaları, saldırı vektörü olarak 2. çeyrekte %41 oranında düştükten sonra 3. çeyrekte %11 oranında azaldı. Yine de komut dosyası tabanlı saldırılar, toplam saldırıların %56’sını oluşturarak en büyük saldırı vektörü olmaya devam ediyor ve PowerShell gibi komut dosyası yazma dilleri, karadan yaşayan saldırılarda sıklıkla kullanılıyor.
Alternatif olarak, Windows’un arazide yaşayan ikili dosyaları %32 arttı. Bu bulgular, Threat Lab araştırmacılarına, tehdit aktörlerinin muhtemelen PowerShell ve diğer komut dosyaları etrafında daha fazla koruma sağlanmasına yanıt olarak birden fazla arazide yaşama tekniğini kullanmaya devam ettiğini gösteriyor. Karada yaşayan saldırılar, uç nokta saldırılarının çoğunu oluşturur.
Şifrelenmiş kanallar üzerindeki kötü amaçlı yazılımlarda kayda değer bir düşüş görülüyor
Şifreli bağlantılar üzerinden gelen kötü amaçlı yazılımların oranı %48’e düştü; bu, tespit edilen tüm kötü amaçlı yazılımların yarısından biraz azının şifreli trafik yoluyla geldiği anlamına geliyor. Bu rakam dikkat çekici çünkü önceki çeyreklere göre oldukça düşük. Genel olarak, toplam kötü amaçlı yazılım tespitleri %14 arttı.
Kötü amaçlı veri yükleri sağlayan e-posta tabanlı bir damlalık ailesi, 3. çeyrekteki en iyi 5 şifreli kötü amaçlı yazılım tespitinden dördünü oluşturdu. İlk 5’teki varyantlardan biri hariç tümü, e-posta hedefli kimlik avı girişiminde ek olarak gelen Stacked adlı damlalık ailesini içeriyordu.
Tehdit aktörleri, son kullanıcıları kötü amaçlı yazılım indirmeleri için kandırmayı amaçlayan, bilinen bir gönderenden geliyormuş gibi görünen ve incelenmek üzere bir fatura veya önemli bir belge içerdiğini iddia eden kötü amaçlı ekler içeren e-postalar gönderecektir. Stacked varyantlarından ikisi (Stacked.1.12 ve Stacked.1.7) de İlk 10 kötü amaçlı yazılım tespitinde yer aldı.
En önemli kötü amaçlı yazılım tehditleri arasında, yeni bir kötü amaçlı yazılım ailesi olan Lazy.360502, İlk 10 listesine girdi. Reklam yazılımı varyantı 2345explorer’ın yanı sıra Vidar şifre hırsızını da sunar. Bu kötü amaçlı yazılım tehdidi, kimlik bilgileri çalan bir program sağlayan Çin web sitesine bağlanıyor ve tehdit aktörlerinin çalınan kimlik bilgileri için ödeme yapabileceği bir “hizmet olarak şifre çalan program” gibi çalışıyor gibi görünüyor; bu da metalaştırılmış kötü amaçlı yazılımların nasıl kullanıldığını gösteriyor.
Ağ saldırıları artıyor
Ağ saldırıları üçüncü çeyrekte %16 artış gördü. ProxyLogon, ağ saldırılarında hedeflenen bir numaralı güvenlik açığıydı ve toplamda tüm ağ tespitlerinin %10’unu oluşturuyordu.
İlk 50 ağ saldırısında üç yeni imza ortaya çıktı. Bunlar arasında 2012’de ortaya çıkan ve arabellek taşmasına neden olabilecek bir PHP Ortak Ağ Geçidi Arayüzü Apache güvenlik açığı da vardı. Bir diğeri, 2016’da ortaya çıkan ve hizmet reddi saldırısına neden olabilecek bir Microsoft .NET Framework 2.0 güvenlik açığıydı.
Açık kaynaklı CMS olan Drupal’da da 2014’te bir SQL enjeksiyon güvenlik açığı vardı. Bu güvenlik açığı, saldırganların herhangi bir kimlik doğrulamaya gerek kalmadan Drupal’dan uzaktan yararlanmasına olanak tanıyordu.