Corvus Insurance’a göre, sanal özel ağ (VPN) güvenlik açıklarından ve ilk erişim için zayıf parolalardan yararlanan saldırganlar, fidye yazılımı saldırılarının yaklaşık %30’una katkıda bulundu.
3. Çeyrek raporuna göre, bu olayların çoğu eski yazılımlardan veya yetersiz korumaya sahip VPN hesaplarından kaynaklanıyor. Örneğin, “yönetici” veya “kullanıcı” gibi yaygın kullanıcı adları ve çok faktörlü kimlik doğrulamanın (MFA) eksikliği, hesapları otomatik kaba kuvvet saldırılarına karşı savunmasız hale getirdi; saldırganlar bu zayıf kimlik bilgilerinin kombinasyonlarını test ederek genel olarak erişilebilen sistemlerden yararlanıyor. Minimum çabayla ağ erişimine ulaşmak.
Corvus’un CISO’su Jason Rebholz, “Saldırganlar, bir işletmede saldırı başlatmak için en az dirençle karşılaşacak yolu bulmaya odaklandılar ve 3. çeyrekte bu giriş noktası VPN’di” dedi. “İleriye baktığımızda işletmelerin MFA’nın ötesine geçen çok katmanlı güvenlik yaklaşımlarıyla savunmalarını güçlendirmesi gerekiyor. Bugün MFA yalnızca masadan ibarettir ve bu mevcut ve gelecekteki güvenlik açığı alanlarını destekleyebilecek güvenli erişim kontrolleriyle tamamlanmalıdır.”
Fidye yazılımı saldırıları üçüncü çeyrekte arttı
Corvus, fidye yazılımı sızıntı sitelerinden toplanan verileri kullanarak ikinci çeyrekte 1.248 kurban tespit etti; bu, şirketin herhangi bir ikinci çeyrekte kaydettiği en yüksek sayı oldu. Bu düzeydeki aktivite, 1.257 saldırının gerçekleştiği üçüncü çeyrekte de devam etti.
3. çeyrekteki saldırıların %40’ı beş gruptan kaynaklanıyor: RansomHub, PLAY, LockBit 3.0, MEOW ve Hunters International. Bu beş kişi arasında RansomHub, rapor edilen 195 kurbanla (2. çeyreğe göre %160 artışla) bu çeyrekte en aktif olanı olurken, LockBit 3.0’ın faaliyeti de keskin bir düşüş göstererek 2. çeyrekte 208 kurbandan 3. çeyrekte 91’e düştü.
Bu saldırıların çoğunun arkasındaki kaynaklar nispeten konsolide edilmiş olsa da, fidye yazılımı ekosistemi bu dönemde büyüdü ve 3. çeyreğin sonunda toplam 59 grup belirlendi. Bu artış dikkat çekicidir çünkü piyasaya yeni girenler hızla yıkıcı güç haline gelebilir.
Örneğin, emniyet teşkilatının ilk çeyrekte LockBit’i kaldırmasının ardından Şubat 2024’te ortaya çıkan RansomHub, boşluğu hızla doldurarak daha üretken ve tehlikeli siber suç gruplarından biri haline geldi. RansomHub, 2024 yılında çeşitli sektörlerde 290’dan fazla mağdur olduğunu iddia etti.
Üçüncü çeyrekte inşaat sektörü, bildirilen 83 mağdurla en çok etkilenen sektör olmaya devam etti. Bu, ikinci çeyrekte bildirilen 77 saldırıdan %7,8 daha fazla ve altyapıyı ve ilgili sektörleri hedef almaya devam eden RansomHub gibi fidye yazılımı grupları tarafından tetiklendi. Sağlık kuruluşları da önemli bir artış yaşadı; 53 mağdur rapor edildi; bu rakam, ikinci çeyrekte bildirilen 42 mağdura kıyasla %12,8’lik bir artış gösterdi.
BT Hizmetleri sektörü, 2. çeyrekteki 54 mağdura kıyasla 49 mağdurla 3. çeyrekte hafif bir düşüş yaşadı. Ancak, bir BT sağlayıcısına yönelik saldırının birçok müşteri ortamını etkilemesi nedeniyle BT sağlayıcılarına yönelik saldırılarla ilişkili sistemik riskler göz önüne alındığında, bu sektör bazı fidye yazılımı grupları için öncelik olmaya devam ediyor.