Expel’e göre kimlik tabanlı olayların %69’u, bir kullanıcı veya kuruluş için beklenmeyen barındırma sağlayıcıları veya proxy’ler olan şüpheli altyapıdan gelen kötü niyetli oturum açma işlemlerini içeriyordu.
Kimliğe dayalı olaylar, Expel SOC tarafından araştırılan tüm olayların %64’ünü oluşturdu; bu, 2022’den 2023’e kadar %144’lük bir hacim artışı anlamına geliyor.
Hizmet olarak kimlik avı kimlik tabanlı olaylara neden oluyor
Kimlik olaylarının artan hacmi, doğrudan karanlık piyasada daha fazla kimlik avı platformunun kullanıma sunulmasından kaynaklanıyor. “Hizmet olarak kimlik avı (PhaaS)” platformları, alıcının bir kimlik avı kampanyası için ikna edici kimlik bilgisi toplayıcılarını hızlı bir şekilde devreye almasına olanak tanır.
Bu biçerdöverlerin birçoğu, amaçlanan kurbanın e-posta adresini önceden doldurabilir ve hedef kuruluşun giriş sayfası için uygun markalama ve arka planı yükleyerek, bunların beklenen giriş sayfası gibi ikna edici bir şekilde görünmesini sağlayabilir.
Expel Güvenlik Operasyonlarından Sorumlu Başkan Yardımcısı Daniel Clayton, “Veriler bu raporda ayrıntıları verilen trendleri yönlendirirken, bu kaynağı bu kadar değerli kılan da insan ekiplerinin savaşa getirdiği sezgidir” dedi. “Doğru teknoloji ve etkili süreçlerle desteklenen analistlerimizin, farklı ve çeşitli müşterileri korumalarına olanak tanıyan bir uzmanlık düzeyini ortaya koyduğunu biliyoruz. İşbirliğine dayalı bilgi paylaşımı, güvenlik operasyonlarını geliştirmek ve ortak düşmanlarımızı devirmek için sahip olduğumuz en iyi silah olduğundan, bu rapordaki bilgilerin diğer operatörlere yardımcı olacağını umuyoruz.”
Expel SOC, bulut altyapısı olaylarında %72’lik bir artış kaydetti. 5 olaydan 2’si, saldırganların ortama erişimini sürdürmesine olanak tanıyan kimlik bilgilerinin açığa çıkmasından kaynaklandı. Bu olayların %96’sı AWS’de meydana geldi ve geri kalan %4’ü Google Cloud Platform (GCP) ile Microsoft Azure arasında eşit olarak paylaştırıldı. Bulutun benimsenmesi devam ederken, ortamlara erişim sağlamak için bulut yanlış yapılandırmaları kullanılıyor.
Amazon Cognito’nun (AWS Cognito) yaygın olarak görülen bir yanlış yapılandırması, saldırganların aşırı izinlere sahip yeni hesaplar oluşturmak gibi doğrudan erişim elde etmesine olanak tanır.
QR kodu kimlik avının yükselişi
Saldırganlar fidye yazılımı öncesi ilk erişim için diğerlerinin yanı sıra JavaScript (%39), EXE (%20) ve LNK (%12) dahil olmak üzere komut dosyası tabanlı dosyalara yöneliyor. Fidye öncesi yazılımlar, incelenen kötü amaçlı yazılım olaylarının %57’sini oluşturuyor. Fidye yazılımı öncesi olarak sınıflandırdığımız en sık kötü amaçlı yazılım vakaları olan Gootloader (%17), Qakbot (%12) ve SocGholish (%11) aynı zamanda hem 2021 hem de 2022’de bildirdiğimiz en önemli fidye yazılımı öncesi tehditlerdi. Bu tehditlerin ardındaki yetenekli aktörler bir süredir aktif ve hız kesmiyorlar.
Expel analistleri, 2023’te kimlik avı amacıyla QR kodlarının kötüye kullanımında bir artış olduğunu belirtti. Bir URL ile, bir kullanıcı, kuruluşun uç noktasını kullanarak kötü amaçlı etki alanını ziyaret edebilir ve operatörlerin birden fazla teknoloji kullanarak bağlantıları engellemesine olanak tanır. Ancak QR koduyla etkinlik iş istasyonundan kullanıcının mobil cihazına taşınıyor ve bu da bunu saldırganlar için çekici bir teknik haline getiriyor.
Expel CEO’su Dave Merkel şöyle konuştu: “Expel’in operatörleri, sektörler genelindeki en karmaşık siber tehditlerden bazılarıyla karşı karşıya kalıyor ve bu, onlara bu saldırıların ve saldırganların nasıl sürekli olarak değişip geliştiği konusunda ön saflarda görünürlük sağlıyor.” “Birlikte iyi bir mücadele verirken, analistlerimizin günlük deneyimlerinden derlenen bilgileri daha geniş güvenlik topluluğuyla paylaşmak bizim sorumluluğumuzdur.”