Saldırganlar kurumsal ağlarda dayanaklarını hızlandırıyor: son üç ay (1 Haziran – 31 Ağustos 2025), ilk ihlalden yanal harekete kadar ortalama süre – “koparma süresi” olarak adlandırıldı – sadece 18 dakikaya kadar.
Bir çarpıcı olayda, “Akira” fidye yazılımı operatörleri, bir Sonicwall VPN’den ödün verdikten sonra sadece altı dakika içinde yanal olarak hareket ettiler. Bu hızlı tempo, kuruluşların algılama boşluklarını kapatma ve yanıt süreçlerini otomatikleştirme acil ihtiyacının altını çizer.
Drive-by uzantılar, aktif bir “istiridye” (diğer adıyla süpürge çubuğu) kampanyası tarafından körüklenen olayların% 34’ünde önde gelen giriş noktası olarak kaldı.
İstiridye operatörleri, kurbanları truva tool IT-Tool indirme sitelerine “Puttystemsss[.]com. ”
Bu siteler, kötü niyetli DLL’ler (örn., Twain_96.dll) aracılığıyla backdoors sunar, ardından bunları gizli ve kalıcılık için Rundll32.exe gibi güvenilir Windows ikili dosyalarını kullanarak çalıştırır.
Bu bölüm, saldırgan yöntemlerindeki en son eğilimleri ve popülerliklerinin arkasındaki itici güçleri ortaya çıkararak seçkin miter taktikleri ve tekniklerine dayanıyor.
Drive-by uzlaşma baskın başlangıç erişim taktiği olmaya devam ederken, USB tabanlı saldırılar artıyor ve yükselişte “Gamarue” kötü amaçlı yazılımlarla bağlantılı olaylar.
SMB kötüye kullanımı yanal hareket için% 29’a yükselir
Oyster bu dönemin% 45’ini geçen çeyrekte% 2.17’den keskin bir şekilde oluşturdu. Kampanyanın otomatik SEO zehirlenmesi, AI ve otomasyonun tehdit aktörlerinin saldırıları minimum manuel çaba ile nasıl ölçeklendirmesini ve hassaslaştırmasını nasıl sağladığını göstermektedir.
RDP, SMB tabanlı fidye yazılımı işlemleri neredeyse% 10’dan% 29’a kadar üç katına çıkmıştır.
Akira gibi fidye yazılımı aileleri, ağ dosyası paylaşımlarına erişmek ve uzaktan şifreleme yapmak için tehlikeye atılmış kimlik bilgilerini istismar eder.
KOBİ kullanarak, saldırganlar son nokta savunmalarını tamamen, dosya sunucularındaki verileri sessizce şifreleyerek atlar.
Bir Akira olayında, operatörler ilk girişten sonraki 19 dakika içinde uzaktan şifrelemeyi kaydetti. Bu taktikler, uç nokta odaklı güvenlikte kritik bir güvenlik açığı ortaya çıkarır: uç noktaları atlayan saldırılar ağ düzeyinde korumaları ve dosya paylaşımı etkinliğinin sürekli izlenmesini talep eder.
IP (IP-kVM) cihazları üzerinden yetkisiz klavye, video ve fare bu raporlama dönemi% 328 arttı.
Genellikle yüksek güvenlikli veya hava kaplı ortamlarda dağıtılan bu donanım araçları, geleneksel EDR çözümlerinden kaçan bant dışı erişim yolları oluşturur.
Ulus-devlet aktörleri (vakaların% 56,7’si), uç nokta görünürlüğünün sınırlı olduğu ağlara sızmak için tinypilot gibi IP-kVM’lerden yararlanır.
Kazara içericiler bile kurumsal kontrolleri atlamak için IP-kVMS kullandıklarında riskler getirir. Bir Ağustos vakası, bir iş istasyonuna iki kez monte edilmiş bir jetvm cihazı gördü, harici saldırganların sunucuları yeniden başlatmasını, backdoors’u yüklemesini ve verileri ekspiltrat ettiğini gördü-hepsi donanım seviyesi izleme başlayana kadar tespit edilmedi.
Otomasyon ve AI tehdit manzarasını yeniden şekillendiriyor. Global Ransomware artık bağlı kuruluşlar için AI destekli bir müzakere chatbot ve mobil yönetim paneli sunarken Oyster’in SEO zehirlenmesi, sahte sayfaları ölçekte ikna etmek için tamamen otomatiktir.
Fidye yazılımı etkinliği, bu raporlama döneminde veri sızdırmazlık sitelerinde listelenen genel kurbanlarda% 4,52’lik bir düşüş gördü. Akira, “SafePay” ve “Oyun”, kurban sayıları düşerek daha yavaş büyüme yaşadı Sırasıyla%9.42,%23.14 ve%35.54.
Bu yenilikler reaksiyon pencerelerini kısaltır ve hassasiyeti artırır ve savunucuları tespit ve muhafaza için tamamlayıcı otomasyonu benimsemeye zorlar. Reliaquest GreyMatter’ın otomatik muhafazasını kullanan kuruluşlar, (MTTC) içerme süresinin (MTTC) 11.99 saatten 4.49 dakikaya düştüğünü gördü.
Göz ardı edilen güvenlik açıkları
AI odaklı yeni taktiklere rağmen, birçok başarılı ihlal, sıfır günlük güvenlik açıklarından ziyade eşleştirilmemiş veya yanlış yapılandırılmamış sistemlerden yararlanır.
Akira, altı dakikalık bir koparma elde etmek için bilinen bir Sonicwall VPN güvenlik açığından (CVE-2024-40766) sömürdü. Qilin, bu dönemde 26 kamu şirketini ihlal etmek için Fortinet Fortigate güvenlik açıklarını (CVE-2024-55591 ve CVE-2024-21762) hedefledi.
Infostealer etkinliği, Lumma’nın Mayıs yayından kaldırılması nedeniyle genel olarak düştü, ancak Lumma, saldırganlar çatlak yazılım ve “ClickFix” kimlik avı yemleriyle dağıttıkça geri döndü.
Yeni Stealers-Acreed, Vidar ve Stealc-kimlik-çalı yöntemlerini çeşitlendirerek sağlam SaaS ve bulut kontrollerine duyulan ihtiyacı vurguluyor.
Bugünün en hızlı hareket eden rakiplerini geride bırakmak için kuruluşlar şunlar olmalıdır:
- Autorun’u devre dışı bırakarak, cihaz izin verimlerini zorlayarak ve gamarue tarzı enfeksiyonları engellemek için uç nokta izlemesini dağıtarak USB politikalarını sertleştirin.
- Anormal erişim ve uzaktan şifreleme aktivitesini tespit etmek için RDP ve SMB oturumlarında MFA ve ağ düzeyinde izleme uygulayın.
- Yetkisiz IP-KVM cihazlarını algılamak için gerçek zamanlı donanım izleme çözümleri (örn. ARMIS) ve ağ erişim kontrolü dağıtın.
- Yazılım indirmelerini şirket kontrollü bir portalla sınırlayın ve çalınan sertifikalarla imzalanan trojanize ikili dosyaları engellemek için BT-Tool kullanımını izleyin.
- Saatleri değil, sınırlama sürelerini saatlerce azaltmak için algılama ve yanıt iş akışlarını otomatikleştirin.
Tehdit aktörlerinin 20 dakikadan kısa bir sürede ihlalden ağ çapında uzlaşmaya kadar dönebileceği bir dönemde, hızlı algılama, otomatik yanıt ve hava geçirmez güvenlik hijyeni önde kalmanın tek yoludur.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.