Son bulgulara göre, küçük ve orta ölçekli işletmeler (KOBİ), özellikle ağ kenar cihazlarını hedefleyen siber saldırılara giderek daha fazla kurban ediyor.
Bu kritik cihazlar – güvenlik duvarları, sanal özel ağ aletleri ve diğer uzaktan erişim sistemleri de dahil olmak üzere – gerçek sayı büyük olasılıkla, teyit edilmiş iş ihlallerinin dörtte birinden fazla uzlaşma noktası haline gelmiştir.
Siber suçlular, yetkisiz erişim elde etmek, kötü amaçlı yazılım dağıtmak ve yıkıcı fidye yazılımı saldırıları başlatmak için bu ağ çevre güvenlik açıklarından yararlanıyor.
.png
)
Sömürü, saldırganların bir kuruluşun iç ağı ile dış dünyası arasındaki sınırda çalışan yetersiz güvence altındaki altyapı bileşenlerini özellikle tarar ve hedefleyen taktiklerde ilgili bir değişimi temsil eder.
Sophos araştırmacıları, son yıllık tehdit raporlarında fidye yazılımı saldırılarının küçük ve orta ölçekli kuruluşlar için birincil varoluşsal siber tehdit olarak kaldığını ve fidye yazılımı vakaları 2024’te küçük işletme müşterileri için olay müdahale katılımlarının yüzde 70’ini oluşturduğunu belirtti.
Daha endişe verici bir şekilde, bu rakam 500 ila 5000 çalışanı olan orta ölçekli kuruluşlar için yüzde 90’ın üzerine çıkıyor.
Raporda, “Basitçe yanlış yapılandırılmış, zayıf kimlik bilgisi politikaları kullanarak veya savunmasız yazılım veya ürün yazılımı üzerinde çalışırken, ağ kenarındaki sistemler, daha küçük kuruluşlara müdahale eden tüm olayların üçte birinden fazlası için uzlaşma noktasıdır” diyor.
Sophos CEO’su Joe Levy tarafından “dijital detritus” olarak adlandırılan bu fenomen, eski ve eşleştirilmemiş donanım ve yazılımın sürekli büyüyen bir güvenlik açıkları kaynağı oluşturduğunu vurgulamaktadır. Bu saldırıların etkisi anında veri kaybının ötesine uzanmaktadır.
Saldırganlar tekniklerini geliştirdikçe, şifreleme saldırılarını giderek daha fazla veri hırsızlığı ve gasp ile birleştiriyorlar. Bazı durumlarda, saldırganlar yalnızca birincil saldırı vektörü olarak veri açığa çıkmasına odaklanarak dosyaları şifrelemeyi bile rahatsız etmiyorlar.
Güvenlik Açığı Sömürü Desenleri
Ağ kenar cihazlarının sömürülmesi, yayınlanan güvenlik açıklarının siber suçlular tarafından hızla silahlandırıldığı tutarlı bir modeli takip eder.
Örneğin, yedek yazılım sağlayıcısı Veeam, Eylül 2024’te CVE-2024-40711’de bir güvenlik bültenini yayınladığında, siber suçlular bir ay içinde bir istismar geliştirerek VPN tabanlı başlangıç erişim teknikleriyle eşleştirdi.
Olay verilerinin analizi, bir yıldan fazla bir süre içinde, 2024’te izlenen kötü niyetli müdahalelerin yaklaşık yüzde 15’inde rol oynamaya devam eden belgelenmiş güvenlik açıklarının rol oynadığını ortaya koymaktadır.
Çoğu durumda, bu güvenlik açıkları, genellikle fidye yazılımı saldırılarıyla bağlantılı olarak sömürüden haftalar veya aylar önce bildirilmiştir.
Bu saldırıları özellikle ilgili yapan şey onların kalıcılığıdır. Bilinen güvenlik açıkları için yamalar konuşlandırıldığında bile, saldırganlar yama yapmadan önce kalıcılık oluşturmuş olsaydı cihazlar tehlikeye girebilir.
Bir olguda Sophos MDR tarafından belgelenen bir Citrix NetScaler Gateway, “Citrix Bleed” yama dağıtımından sonra sıfırlanmayan oturumları sömürerek ilk erişimi oluşturmak için kullanıldı.
.webp)
Fidye yazılımı ve KOBİ’lere karşı veri peçelerinde saldırılarda özellikle gözlenen başlangıç erişim vektörlerinin en büyük yüzdesi, bu cihazların güvence altına alınmasının kritik önemini vurgulamaktadır.
Güvenlik uzmanları, Edge cihazlarının yamalanmasına öncelik verilmesini, tüm uzaktan erişim için çok faktörlü kimlik doğrulamasının uygulanmasını, ömrünün sonu ekipmanlarının değiştirilmesini ve savunmasız hedefler için fırsatçı saldırganların sömürülmesini önlemek için dış saldırı yüzeylerini düzenli olarak denetlemek ve izlemek için harici yardımı düşünmeyi önermektedir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy