SecureWorks’e göre, fidye yazılımı saldırılarında ortalama bekleme süresi, önceki yıl 4,5 gün ve ondan önceki yıl ise 5,5 gün iken 24 saatin biraz altına düştü. Hatta vakaların %10’unda fidye yazılımı ilk erişimden sonraki beş saat içinde dağıtıldı.
Güncelliğini yitirmiş güvenlik açıkları hâlâ siber saldırıların başlıca hedefi
“Ortalama bekleme süresindeki azalmanın nedeni muhtemelen siber suçluların daha düşük bir tespit şansı istemesinden kaynaklanıyor. Siber güvenlik sektörü, fidye yazılımının öncüsü olan etkinlikleri tespit etme konusunda çok daha usta hale geldi. Sonuç olarak, tehdit aktörleri, çok daha karmaşık olan büyük, çok siteli, kurumsal çapta şifreleme olayları yerine, daha basit ve daha hızlı uygulanan operasyonlara odaklanıyor. Ancak bu saldırılardan kaynaklanan risk hala yüksek” dedi Secureworks Karşı Tehdit Birimi Tehdit İstihbaratı Başkan Yardımcısı Don Smith.
“Tanıdık isimleri hâlâ en aktif tehdit aktörleri olarak görsek de, birçok yeni ve çok aktif tehdit grubunun ortaya çıkışı kurban ve veri sızıntılarında önemli bir artışa neden oluyor. Yüksek profilli yayından kaldırma ve yaptırımlara rağmen, siber suçlular uyum sağlama konusunda ustalar ve bu nedenle tehdit hız kazanmaya devam ediyor,” diye devam etti Smith.
GOLD MYSTIC (LockBit), GOLD BLAZER (BlackCat/ALPV) ve GOLD TAHOE (Cl0p) gibi tanıdık isimler hâlâ fidye yazılımı ortamına hakim olsa da, yeni gruplar ortaya çıkıyor ve “isim ve utanç” sızıntı sitelerinde önemli kurban sayılarını listeliyor. Bu raporlama döneminin son dört ayı, isim ve utanç saldırılarının başladığı 2019 yılından bu yana kurban sayısı açısından en verimli ay oldu.
2022 ve öncesindeki bilinen güvenlik açıklarından yararlanmaya devam edildi ve raporlama döneminde en çok yararlanılan güvenlik açıklarının yarısından fazlasını oluşturdu.
Aynı tehdit grupları 2022’de olduğu gibi 2023’te de hakim olmaya devam etti. GOLD MYSTIC’in LockBit’i, GOLD BLAZER tarafından işletilen bir sonraki en aktif grup olan BlackCat’in neredeyse üç katı kurban sayısıyla grubun liderliğini sürdürüyor.
Fidye yazılımı kurbanlarında endişe verici artış
Yeni planlar da ortaya çıktı ve çok sayıda kurban yayınladı. MalasLocker, 8BASE ve Akira (14. sırada yer alıyor) 2023’ün 2. çeyreğinden itibaren etki yaratan yeni isimler. 8BASE, Haziran 2023’te sızıntı sitesinde yaklaşık 40 kurban listeledi; bu sayı LockBit’ten yalnızca biraz daha az. Analizler, kurbanlardan bazılarının 2022’nin ortalarına kadar uzandığını, ancak aynı zamanda atıldıklarını gösteriyor.
MalasLocker’ın Nisan 2023’ün sonundan itibaren Zimbra sunucularına saldırısı, Mayıs ayında sızıntı sitesinde 171 kurbanın oluşmasına neden oldu. Rapor, sızıntı sitesi etkinliğinin fidye yazılımı saldırılarının başarı oranları hakkında neler ortaya çıkardığını inceliyor; bu göründüğü kadar basit değil.
Rapor ayrıca, Nisan-Temmuz 2023 dönemindeki aylık kurban sayısının, isim ve utancın ortaya çıktığı 2019’dan bu yana en yüksek seviyede olduğunu ortaya koyuyor. En fazla aylık kurban sayısı, 600 kurbanla sızdırılan sitelerde Mayıs 2023’te yayınlandı; bu, Mayıs ayına göre üç kat fazlaydı. 2022.
Müşterilerin Secureworks olay müdahale ekipleriyle iletişime geçtiği fidye yazılımı etkileşimlerinde gözlemlenen en büyük üç ilk erişim vektörü (IAV): tara ve yararlan (%32), çalıntı kimlik bilgileri (%32) ve kimlik avı e-postaları aracılığıyla ticari amaçlı kötü amaçlı yazılım (%14).
Tarama ve yararlanma, potansiyel olarak Shodan gibi bir arama motoru veya bir güvenlik açığı tarayıcısı aracılığıyla savunmasız sistemlerin tanımlanmasını ve ardından belirli bir istismarla bunların güvenliğinin aşılmasına çalışılmasını içerir. En sık yararlanılan 12 güvenlik açığının %58’inin CVE tarihleri 2022’den öncedir. One (CVE-2018-13379) ayrıca 2021 ve 2020’de rutin olarak en çok yararlanılan 15 güvenlik açığı arasında yer aldı.
“ChatGPT ve AI tarzı saldırılarla ilgili çok fazla abartılı reklama rağmen, 2023’ün şu ana kadarki en yüksek profilli iki saldırısı, yama yapılmamış altyapının sonucuydu. Günün sonunda, siber suçlular denenmiş ve test edilmiş saldırı yöntemlerinden meyvelerini alıyor; bu nedenle kuruluşların kendilerini temel siber hijyenle korumaya odaklanmaları ve abartılı reklamlara kapılmamaları gerekiyor,” diye devam etti Smith.
Ulus devlet saldırganları taktiklerini çeşitlendirmeye başladı
Raporda ayrıca Çin, Rusya, İran ve Kuzey Kore’ye ait devlet destekli tehdit gruplarının davranışlarındaki önemli faaliyetler ve eğilimler inceleniyor. Jeopolitik, devlet destekli tehdit gruplarının ana itici gücü olmaya devam ediyor.
Çin: Çin, dikkatinin bir kısmını Doğu Avrupa’ya kaydırırken, Tayvan ve diğer yakın komşularına da odaklanmayı sürdürüyor. Siber casusluk saldırılarında gizli ticarete giderek artan bir vurgu yapıyor; önceki “parçala ve yakala” itibarından farklı olarak. Cobalt Strike gibi ticari araçların yanı sıra Çin’in açık kaynaklı araçlarının kullanılması, atıf riskini en aza indirir ve izinsiz giriş sonrası fidye yazılımı gruplarının etkinlikleriyle harmanlanır.
İran: İran, muhalif faaliyetlere, İbrahim Anlaşmaları’nda ilerlemeyi engellemeye ve Batı’nın nükleer anlaşmaların yeniden müzakere edilmesine yönelik niyetlerine odaklanmayı sürdürüyor. İran’ın ana istihbarat servisleri – İstihbarat ve Güvenlik Bakanlığı (MOIS veya VAJA) ve İslam Devrim Muhafızları Birliği (IRGC) – saldırgan siber stratejileri desteklemek için bir yüklenici ağı kullanıyor. Kişilerin kullanılması (gerçek kişilerin veya sahte yaratılmış kişilerin kimliğine bürünmek), İranlı tehdit gruplarında temel bir taktiktir.
Rusya: Ukrayna’daki savaş Rus faaliyetlerinin odak noktası olmaya devam etti. Bu iki kampa ayrılıyor; Siber casusluk ve kesinti. Bu yıl, Rusya’nın düşmanı olarak kabul edilen kuruluşları hedef alan vatansever siber grupların sayısında bir artış görüldü. Çetelerin işe alım, hedefleme ve başarı kutlamaları için tercih ettiği sosyal medya/mesajlaşma platformu Telegram’dır. Güvenilir üçüncü taraf bulut hizmetlerinin kötü niyetli kullanımı sıklıkla Rus tehdit grubu operasyonlarına dahil ediliyor.
Kuzey Kore: Kuzey Kore tehdit grupları iki gruba ayrılıyor: siber casusluk ve izole edilmiş rejim için gelir elde etme. AppleJeus, Kuzey Kore’nin mali hırsızlık girişimleri için temel bir araç oldu ve Elliptic’e göre, Kuzey Koreli tehdit grupları Mayıs 2017 ile Mayıs 2023 arasında 2,3 milyar dolarlık kripto varlığı çaldı (bunun %30’u Japonya’dan).