Siber suçlular, pandemi sonrası dünyada her zamanki gibi işlerine dönüyor


Proofpoint’e göre, pandemi kaynaklı iki yıllık kesintinin ardından 2022, dünyanın siber suçluları için her zamanki gibi işlerine dönüş oldu.

pandemi sonrası tehdit ortamı

COVID-19 tıbbi ve ekonomik programları yavaşlamaya başladığında, saldırganlar sosyal mühendislik becerilerini geliştirerek, bir zamanlar gelişmiş saldırı tekniklerini ticarileştirerek ve beklenmedik yerlerde yaratıcı bir şekilde yeni fırsatlar arayarak geçimlerini sağlamanın yeni yollarını bulmak zorunda kaldılar.

Tehdit aktörleri arasında yaratıcılık

Bulut kiracılarına yönelik kaba kuvvet ve hedefli saldırıların ölçeklendirilmesinden, konuşmaya dayalı smishing saldırılarındaki artışa ve çok faktörlü kimlik doğrulama (MFA) baypasının yaygınlaşmasına kadar, siber saldırı ortamı 2022’de birçok cephede önemli gelişmelere tanık oldu.

Proofpoint Siber Güvenlik Stratejisinden Sorumlu Başkan Yardımcısı Ryan Kalember, “Microsoft 365’in tipik bir kuruluşun saldırı yüzeyinin büyük bir yüzdesini oluşturmasıyla, Office makrolarından OneNote belgelerine kadar bu platformun yaygın şekilde kötüye kullanılması, tehdit ortamının genel hatlarını şekillendirmeye devam ediyor” dedi. .

“Güvenlik kontrolleri yavaş yavaş iyileşirken, tehdit aktörleri de bypass’larını yeniledi ve ölçeklendirdi; Örneğin, bir zamanlar kırmızı takımların alanı olan MFA baypas ve telefon odaklı saldırı teslimi gibi teknikler artık olağan hale geldi. Pek çok tehdit aktörü hala denemeler yaparken, aynı kalan şey, saldırganların insanları sömürmesi ve günümüzün saldırı zincirindeki en kritik değişkendir.” Kalember’i ekledi.

Çok faktörlü kimlik doğrulama baypası gibi karmaşık tekniklerden telefon odaklı saldırı teslimine ve yalnızca saldırganın cazibesine dayanan konuşma tehditlerine kadar 2022, çeşitli saldırı zincirleri ve hızla test edilip atılan dağıtım mekanizmaları nedeniyle tehdit aktörleri arasında benzeri görülmemiş bir yaratıcılık yılıydı. .

Microsoft bunları engellemek için denetimler sunduktan sonra Office makro kullanımı çöktü

Popüler bir kötü amaçlı yazılım dağıtım yöntemi olarak neredeyse otuz yıllık hizmetin ardından, Microsoft’un yazılımının web’den indirilen dosyaları işleme biçimini güncellemesinin ardından Office makrolarının kullanımı nihayet azalmaya başladı. Değişiklikler, tehdit aktörlerinin hedefleri tehlikeye atmak için alternatif teknikler aramaya yönelik devam eden bir deney telaşını başlattı.

Saldırganların zararsız gibi görünen mesajlar göndermesiyle başlayan, konuşma yoluyla vurma ve domuz kesme tehditleri geçen yıl arttı. Mobil alanda, hacimde on iki kat artış yaşayan, yılın en hızlı büyüyen tehdidi oldu.

Ve telefon odaklı saldırı teslimi (TOAD) ayda 13 milyon mesajla zirve yaptı. Devlet destekli birkaç APT aktörü, haftalar ve aylar boyunca yakınlık kurmak için hedefleriyle iyi niyetli mesajlar alışverişinde bulunmak için önemli ölçüde zaman harcadı.

Kullanıma hazır MFA kimlik avı kitlerini atlar

EvilProxy, Evilginx2 ve NakedPages gibi MFA baypas çerçeveleri, ayda bir milyondan fazla kimlik avı iletisinden sorumluydu.

Çoğu kuruluş, altyapıları kuruluşların güvendiği sayısız meşru hizmeti barındıran tanınmış bulut devleri Microsoft ve Amazon’dan kaynaklanan tehditlerle karşı karşıya kaldı.

SocGholish’in (TA569) arkasındaki tehdit aktörü, arabadan indirmeleri ve sahte tarayıcı güncellemelerini içeren yeni bir dağıtım yöntemiyle, yalnızca arabadan indirmeler yoluyla kötü amaçlı yazılım dağıtmak için web sitelerine giderek daha fazla bulaşabiliyor ve kurbanları sahte tarayıcı güncellemeleri yoluyla indirmeleri için kandırıyor. SocGholish kötü amaçlı yazılımını barındıran birçok site, onu barındırdıklarından habersizdir ve bu da dağıtımını daha da artırır.

Bulut tehditleri her yerde bulunur hale geldi

Bulut kiracılarının %94’ü her ay bir hassas veya kaba kuvvet bulut saldırısı tarafından hedefleniyor, bu da e-posta ve mobil vektörlerle eşit bir sıklık gösteriyor. Başta parola püskürtme olmak üzere kaba kuvvet saldırılarının sayısı, 2022’de aylık ortalama 40 milyondan 2023’ün başlarında yaklaşık 200 milyona yükseldi.

Büyük markalara olan aşinalığı ve güveni kötüye kullanmak, toplum mühendisliğinin en basit biçimlerinden biridir: Microsoft ürünleri ve hizmetleri, kötüye kullanılan markalar arasında ilk beşte dördünü işgal etti ve Amazon en çok kötüye kullanılan marka oldu.

Yanlış yapılandırılmış veya “gölge” yönetici kimliklerinin %40 kadarı, ayrıcalıkları yükseltmek için bir alan parolasının sıfırlanması gibi tek bir adımda kullanılabilir. Ve gölge yöneticilerin %13’ünün, saldırganların kimlik bilgilerini toplamasına ve kurumsal sistemlere erişmesine izin veren etki alanı yöneticisi ayrıcalıklarına zaten sahip olduğu bulundu. Uç noktaların yaklaşık %10’u korumasız ayrıcalıklı bir hesap parolasına sahiptir ve açığa çıkan hesapların %26’sı etki alanı yöneticileridir.

Pandemi sonrası tehdit ortamı

2022’de 25 milyondan fazla mesaj göndermesine rağmen (en önde gelen ikinci tehdit aktörünün hacminin iki katından fazla) Emotet’in varlığı aralıklı oldu ve grup ayrıca pandemi sonrası tehdit ortamına uyum sağlama konusunda uyuşukluk belirtileri gösteriyor.

Mali kaynaklı suç, pandemi sonrası tehdit ortamına büyük ölçüde hakim olsa da, Gelişmiş Kalıcı Tehdit (APT) aktörü tarafından yapılacak tek bir aykırı saldırının büyük bir etkisi olabilir: Rusya bağlantılı bir APT grubu olan TA471’in hem kurumsal hem de hükümet casusluğu, bu aktörü APT mesaj hacmi çizelgelerinin en üstüne çıkardı.

Çin devletiyle uyumlu bir APT aktörü olan TA416, en aktif olanlardan biriydi. Özellikle, TA416’nın mülteci ve göçmen hizmetlerinde yer alan Avrupa diplomatik varlıklarını hedef alan önemli yeni kampanyaları, Rusya-Ukrayna savaşının başlamasıyla aynı zamana denk geldi.



Source link