Tehdit ortamı ve kuruluşların saldırı yüzeyi sürekli dönüşüyor ve siber suçluların tekniklerini bu gelişen ortama uyacak şekilde tasarlama ve uyarlama becerileri, sektör veya coğrafyadan bağımsız olarak her büyüklükteki işletme için önemli risk oluşturmaya devam ediyor.
Yıkıcı APT benzeri silecek kötü amaçlı yazılımı geniş bir alana yayılıyor
Silici kötü amaçlı yazılım verilerinin analizi, siber saldırganların hedeflerine karşı sürekli olarak yıkıcı saldırı teknikleri kullandığını ortaya koyuyor. Ayrıca, internetteki sınırların olmaması nedeniyle siber saldırganların, büyük ölçüde Hizmet Olarak Siber Suç (CaaS) modeli tarafından etkinleştirilen bu tür saldırıları kolayca ölçeklendirebileceğini de gösteriyor.
2022’nin başlarında FortiGuard Labs, Rusya-Ukrayna savaşına paralel olarak birkaç yeni silecek bulunduğunu bildirdi. Yılın ilerleyen saatlerinde, silici kötü amaçlı yazılım diğer ülkelere yayıldı ve yalnızca üçüncü çeyrekten dördüncü çeyreğe kadar silici etkinliğinde %53’lük bir artış sağladı.
Bu etkinliğin bir kısmı, başlangıçta savaşı çevreleyen ulus-devlet aktörleri tarafından geliştirilmiş ve dağıtılmış olabilecek kötü amaçlı yazılım silici tarafından etkinleştirilirken, siber suç grupları tarafından alınıyor ve sadece Avrupa’nın ötesine yayılıyor.
Ne yazık ki, 4. Çeyrek’te görülen faaliyet hacmine bakıldığında, silici kötü amaçlı yazılımın gidişatı yakın zamanda yavaşlayacak gibi görünmüyor, bu da yalnızca Ukrayna veya çevre ülkelerdeki kuruluşlar değil, herhangi bir kuruluşun potansiyel bir hedef olmaya devam ettiği anlamına geliyor.
“Günümüzde siber savunmalar kuruluşları korumak için ilerlemeye devam ederken, siber düşmanlar için erişimi sürdürmek ve tespitten kaçmak hiç de azımsanmayacak bir başarı. Karşı koymak için, düşmanlar daha fazla keşif teknikleri ile çoğalıyor ve kötü amaçlı yazılım silici veya diğer gelişmiş yükler gibi APT benzeri tehdit yöntemleriyle yıkıcı girişimlerini mümkün kılmak için daha sofistike saldırı alternatifleri kullanıyorlar,” dedi Baş Güvenlik Stratejisti ve Küresel Tehdit İstihbaratı Başkan Yardımcısı Derek Manky, FortiGuard Laboratuvarları.
Manky, “Bu gelişmiş kalıcı siber suç taktiklerine karşı korunmak için kuruluşların, şüpheli eylemleri tespit etmek ve genişletilmiş saldırı yüzeyinde koordineli hafifletme başlatmak için tüm güvenlik cihazlarında gerçek zamanlı olarak makine öğrenimi odaklı koordineli ve eyleme geçirilebilir tehdit istihbaratını etkinleştirmeye odaklanması gerekiyor.”
CVE’leri eşleme
Açıklardan yararlanma eğilimleri, siber suçluların saldırmakla ilgilendiklerini, gelecekteki saldırıları araştırdıklarını ve aktif olarak hedef aldıklarını göstermeye yardımcı olur. FortiGuard Labs, bilinen güvenlik açıklarından oluşan bir arşive sahiptir ve veri zenginleştirme yoluyla, aktif olarak istismar edilen güvenlik açıklarını gerçek zamanlı olarak tespit edebildi ve saldırı yüzeyindeki aktif risk bölgelerini haritalayabildi.
2022’nin ikinci yarısında, kurumsal boyuttaki bir kuruluşta keşfedilen toplam güvenlik açıklarının %1’inden azı uç noktalarda ve aktif olarak saldırı altındaydı; risklerini en aza indirme çabalarına ve yama uygulama çabalarının nereye odaklanılacağına öncelik verin.
Mali güdümlü siber suç
FortiGuard Labs Olay Müdahalesi (IR) çalışmaları, mali güdümlü siber suçların en yüksek olay hacmine (%73,9) yol açtığını ve uzak bir saniyenin casusluğa (%13) atfedildiğini ortaya çıkardı.
2022’nin tamamında, mali amaçlı siber suçların %82’si fidye yazılımı veya kötü amaçlı komut dosyalarının kullanılmasını içeriyordu; bu, küresel fidye yazılımı tehdidinin, Hizmet Olarak Fidye Yazılımının artan popülaritesi sayesinde hiçbir yavaşlama kanıtı olmadan tam olarak yürürlükte kaldığını gösteriyor ( RaaS) karanlık ağda.
Aslında, fidye yazılımı hacmi 2022’nin ilk yarısına göre %16 arttı. Gözlemlenen toplam 99 fidye yazılımı ailesinden ilk beş aile, 2022’nin ikinci yarısındaki tüm fidye yazılımı etkinliğinin kabaca %37’sini oluşturdu.
2018 yılında ortaya çıkan bir RaaS kötü amaçlı yazılımı olan GandCrab, listenin başında yer aldı. GandCrab’ın arkasındaki suçlular, 2 milyar doların üzerinde kar elde ettikten sonra emekli olduklarını açıklasalar da, aktif olduğu süre boyunca GandCrab’ın birçok yinelemesi vardı.
Bu suç grubunun uzun kuyruklu mirasının hala devam ediyor olması veya kodun basitçe üzerine inşa edilmiş, değiştirilmiş ve yeniden yayınlanmış olması olasıdır; bu da, suç operasyonlarını kalıcı olarak ortadan kaldırmak için her türden kuruluş arasında küresel ortaklıkların önemini göstermektedir.
Siber suçlu tedarik zincirlerini etkili bir şekilde bozmak, kamu ve özel kuruluşlar ve sektörlerdeki siber güvenlik paydaşları arasında güçlü, güvenilir ilişkiler ve işbirliği ile küresel bir grup çalışması gerektirir.
Rakiplerin becerikli doğası
Siber saldırganlar doğası gereği girişimcidir ve saldırı çabalarını daha etkili ve karlı hale getirmek için her zaman mevcut yatırımları ve bilgileri en üst düzeye çıkarmaya çalışırlar. Kodun yeniden kullanımı, siber suçluların saldırılarına ince ayar yapmak ve savunma engellerini aşmak için yinelemeli değişiklikler yaparken başarılı sonuçlar elde etmesinin verimli ve kazançlı bir yoludur.
FortiGuard Labs, 2022’nin ikinci yarısı için en yaygın kötü amaçlı yazılımları analiz ettiğinde, en üstteki noktaların çoğu bir yıldan eski kötü amaçlı yazılımlar tarafından tutuldu.
FortiGuard Labs, kodu ödünç alma ve yeniden kullanma eğilimlerini analiz etmek için farklı Emotet türevlerinden oluşan bir koleksiyonu daha da inceledi. Araştırma, Emotet’in kabaca altı farklı kötü amaçlı yazılım “türüne” ayrılan varyantlarla önemli bir türleşmeden geçtiğini gösterdi.
Siber saldırganlar yalnızca tehditleri otomatikleştirmekle kalmıyor, aynı zamanda kodu daha da etkili hale getirmek için aktif olarak uyarlıyor.
Rakip tedarik zincirlerinin dayanıklılığı
Saldırganlar, kodun yeniden kullanımına ek olarak, fırsatı en üst düzeye çıkarmak için mevcut altyapıdan ve eski tehditlerden de yararlanıyor. Yaygınlığa göre botnet tehditlerini incelerken FortiGuard Labs, en iyi botnet’lerin çoğunun yeni olmadığını keşfeder.
Örneğin, ilk olarak 2011’de gözlemlenen Morto botnet, 2022’nin sonlarında artış gösterdi. Mirai ve Gh0st.Rat gibi diğerleri ise tüm bölgelerde yaygın olmaya devam ediyor. Şaşırtıcı bir şekilde, gözlemlenen ilk beş botnet arasında sadece RotaJakiro bu on yıla ait.
Daha eski tehditleri geçmiş olarak silmek cazip gelse de, her sektördeki kuruluşlar tetikte kalmaya devam etmelidir.
Bu “eski” bot ağlarının hala yaygın olmasının bir nedeni var: Hâlâ çok etkililer. Becerikli siber suçlular, mevcut botnet altyapısından yararlanmaya devam edecek ve yatırım getirisi orada olduğu için onu son derece özel tekniklerle giderek daha kalıcı sürümlere dönüştürecek.
Spesifik olarak, 2022’nin ikinci yarısında Mirai’nin önemli hedefleri arasında, yönetilen güvenlik hizmeti sağlayıcıları (MSSP’ler), telekomünikasyon/taşıyıcı sektörü ve yaygın operasyonel teknolojisi (OT) ile tanınan imalat sektörü yer aldı.
Siber suçlular, kanıtlanmış yöntemlerle bu sektörleri hedeflemek için ortak bir çaba harcıyor.
Log4j yaygın olmaya devam ediyor
Log4j’nin 2021’de ve 2022’nin ilk bölümlerinde aldığı tüm tanıtıma rağmen, önemli sayıda kuruluş, kuruluşlarını tarihin en önemli güvenlik açıklarından birine karşı korumak için hâlâ yama uygulamadı veya uygun güvenlik kontrollerini uygulamadı.
2022’nin ikinci yarısında, Log4j hala tüm bölgelerde yoğun bir şekilde aktifti ve ikinci oldu. Aslında ve FortiGuard Labs, kuruluşların %41’inin Log4j etkinliği tespit ederek tehdidin ne kadar yaygın olduğunu gösterdiğini tespit etti.
Log4j IPS etkinliği en çok teknoloji, devlet ve eğitim sektörlerinde yaygındı ve Apache Log4j’nin açık kaynak yazılım olarak popülaritesi göz önüne alındığında bu hiç de şaşırtıcı olmamalı.
Teslimat vardiyaları, kullanıcı farkındalığı için aciliyeti gösterir
Düşman stratejilerini analiz etmek, gelecekteki saldırı senaryolarına karşı daha iyi koruma sağlamak için saldırı tekniklerinin ve taktiklerinin nasıl geliştiğine dair bize değerli bilgiler verir. FortiGuard Labs, en yaygın dağıtım yaklaşımlarını takip etmek için sanal alan verilerine dayalı olarak algılanan kötü amaçlı yazılımların işlevselliğini inceledi. Bunun yalnızca patlatılmış örneklere baktığına dikkat etmek önemlidir.
Korumalı alanda görüntülenen en iyi sekiz taktik ve tekniği incelerken, siber suçlular tarafından küresel olarak tüm bölgelerdeki kuruluşların sistemlerine erişim elde etmek için kullanılan en popüler taktik, uzlaşmaya dayalı sürüş oldu.
Saldırganlar, öncelikle, şüphelenmeyen kullanıcı internette gezinirken ve güvenliği ihlal edilmiş bir web sitesini ziyaret ederek, kötü amaçlı bir e-posta ekini açarak ve hatta bir bağlantıya veya aldatıcı açılır pencereye tıklayarak istemeden kötü amaçlı bir yük indirdiğinde kurbanların sistemlerine erişim kazanıyor.
Arabayla yanından geçme taktiğinin zorluğu, kötü amaçlı bir yüke erişilip indirildikten sonra, güvenlik konusunda bütüncül bir yaklaşıma sahip olmadıkça, kullanıcının tehlikeden kaçmak için genellikle çok geç olmasıdır.