Kamu ve özel sektörde kritik altyapıları hedef alan fidye yazılımı saldırıları son dönemde 10 kat arttı.
Fortinet siber güvenlik firmasının yılda iki kere paylaştığı FortiGuard Labs Küresel Tehdit Zemini Raporunun yeni bulgularını paylaştı.
2021’in ilk yarısında elde edilen tehdit istihbaratı, bireyleri, kuruluşları ve giderek daha kritik hale gelen altyapıyı hedef alan saldırıların hacminde ve gelişiminde önemli bir artış olduğunu gösteriyor.
Geleneksel ağın içinde ve dışında hibrit çalışanların ve öğrencilerin genişleyen saldırı yüzeyi hedef olmaya devam ediyor.
Kolluk kuvvetlerinin yanı sıra kamu ve özel sektör arasında zamanında gerçekleştirilen iş birliği ve ortaklıklar, 2021’in ikinci yarısına girerken siber suç ekosistemini bozmak için önemli bir fırsat sunuyor.
Raporun ayrıntılı bir görünümü ve bazı önemli bulgular blogda yer alırken 2021’in birinci yarısındaki verilerden oluşturulan raporunun öne çıkan başlıkları da aşağıda bulunuyor:
1) Fidye Yazılımı Paradan Daha Fazlasını Kaybettiriyor: FortiGuard Labs verileri, fidye yazılımlarının Haziran 2021’deki haftalık ortalama etkinliğinin önceki yıla kıyasla on kattan fazla olduğunu gösteriyor. Bu veri aynı zamanda bir yıl boyunca tutarlı ve genel olarak istikrarlı bir artış olduğunu da gözler önüne seriyor.
Saldırılar, özellikle kritik öneme sahip sektörler olmak üzere birçok kuruluşun tedarik zincirlerini işlemeyecek hale getirdi ve günlük yaşamı, verimliliği ve ticareti her zamankinden daha fazla etkiledi. En çok hedef alınan şirketler telekomünikasyon sektöründe yer alırken, telekomünikasyon sektörünü de kamu, yönetilen güvenlik hizmeti sağlayıcıları, otomotiv ve imalat sektörleri takip ediyor.
Buna ek olarak, bazı fidye yazılımı operatörleri, stratejilerini e-postadan bulaşan dosyalar yerine kurumsal ağlara ilk erişimi elde etme ve satma üzerine oluşturmaya başladı. Bu değişim, siber suçları güçlendiren Hizmet olarak Fidye Yazılımı (RaaS) ürünlerinin gelişmeye devam ettiğini gösteriyor.
Fidye yazılımları bulunduğu sektörden veya büyüklüğünden bağımsız olarak tüm şirketler için gerçek bir tehlike olmaya devam ediyor. Şirketlerin sıfır güven erişim yaklaşımının, ağ segmentasyonunun ve şifrelemenin yanı sıra güvenli ortamlara yönelik gerçek zamanlı uç nokta koruması, tespit etme ve otomatik yanıt çözümleriyle proaktif bir yaklaşım benimsemesi gerekiyor.
2) Dört Şirketten Birisi Kötü Amaçlı Reklam Tespit Etti: En çok görülen fidye yazılımlarına bakıldığında aldatıcı sosyal mühendislik ile geliştirilen kötü amaçlı reklamcılık ve kullanıcıyı korkutan yazılımlarda bir artış olduğu görülüyor.
Şirketlerin yüzde 25’inden fazlası, kötü amaçlı reklam veya korkutma denemeleri tespit etti. Bu da Cryxos’u dikkat edilmesi gereken bir kötü amaçlı yazılım ailesi yapıyor. Bununla birlikte verilerin büyük bir kısmı, büyük olasılıkla kötü amaçlı reklamcılık olarak değerlendirilebilecek diğer benzer JavaScript çalışmalarıyla destekleniyor.
Korkutmaya ek olarak gasp etmeyi de hedefleyen siber suçlular, hibrit çalışma yöntemlerinden yararlanabileceği yollar aradığı için şirketlerin bu yöndeki tercihi, siber saldırganların taktiklerdeki bu trende net bir şekilde güç veriyor.
Siber güvenlik bilincinin artması, korkutma ve kötü amaçlı reklam taktiklerinin başarılı olmasını engellediği için zamanında eğitim imkanı sağlamak, her zaman olduğu gibi çok önemli.
3) Botnet Trendleri Saldırganların Sınıra Yöneldiğini Gösteriyor: Tespit edilen botnetlerin yaygınlığına bakıldığında bu cihazların aktivitelerinde artış yaşandığı görülüyor. Yılın başında botnet etkinliği tespit eden şirketlerin oranı yüzde 35 olurken, altı ay sonra bu oran yüzde 51’e yükseldi.
Haziran ayında botnet etkinliğindeki genel artışın arkasında TrickBot’un etkinliğindeki büyük artış yer alıyor. TrickBot başlangıçta siber suç sahnesinde bir bankacılık truva atı olarak ortaya çıktı ancak o zamandan beri birçok yasa dışı faaliyeti destekleyen karmaşık ve çok aşamalı bir araç setine dönüştürüldü.
Genel olarak en yaygını olan Mirai ise 2020’nin başlarında Gh0st’ı geride bıraktı ve 2021’e kadar hüküm sürdü. Zaman içinde Mirai’ye siber saldırganlara güç verecek yeni özellikler eklenmeye devam etti. Mirai’nin hakimiyetinin bir kısmında evden çalışan veya eğitimine evden devam eden kişiler tarafından kullanılan Nesnelerin İnterneti (IoT) cihazlarından yararlanmaya çalışan siber suçlular büyük rol oynamış olabilir.
Saldırganların virüslü sistemin kontrolünü tam olarak ele geçirmesine, canlı web kamerası görüntülerini ve mikrofondan çıkan sesleri kaydetmesine veya dosya indirmesine izin veren bir uzaktan erişim botneti olan Gh0st da gözle görülür derecede aktif.
Uzaktan çalışma ve öğrenme alanlarındaki değişimlerinin üzerinden geçen bir yıldan uzun süre boyunca siber saldırganlar, fırsatlardan yararlanmak için kullanıcıların günlük alışkanlıkları hedeflemeye devam ediyor. Ağları ve uygulamaları korumak için şirketler, IoT uç noktasına ve ağa giren cihazlara karşı en düşük erişim imkanını sağlamak için sıfır güven erişim yaklaşımlarına ihtiyaç duyuyor.
4) Siber Suçların Engellenmesi, Tehdit Hacimlerinin Düşmesini Sağlıyor: Siber güvenlikte her eylem anında veya kalıcı bir etkisi sunmuyor ancak 2021’deki bazı olaylar özellikle sistemi savunanlar için olumlu gelişmeler sağlıyor.
TrickBot’un orijinal geliştiricisi, haziran ayında birden fazla suçlamayla yargılandı. Ayrıca yakın tarihin en verimli kötü amaçlı yazılım operasyonlarından biri olan Emotet’in koordineli olarak kaldırılması ve Egregor, NetWalker ve Cl0p fidye yazılımı operasyonlarını bozmaya yönelik atılan adımlar, siber suçları engellemek için devletlerin küresel çalışmalarını ve kolluk kuvvetleri de dahil olmak üzere siber saldırganlara karşı mücadele veren ekiplerin başarısını gösteriyor.
Ek olarak bazı operasyonların yarattığı etki, birçok fidye yazılımı operatörünün operasyonlarını durdurmasını sağladı.
FortiGuard Labs’ın verileri, Emotet’in kaldırılmasının ardından tehdit etkinliğinin azaldığını gösterdi. Emotet botnet, çevrimdışı olduktan sonra TrickBot ve Ryuk varyantlarının etkinliği devam etti ancak hacmi azaldı. Siber tehditleri veya siber saldırganların tedarik zincirlerini hemen ortadan kaldırmak zor olsa da bu operasyonlar son derece büyük başarılarla sonuçlandı.
5) Sistem Yöneticilerinden Savunma Amaçlı Kaçınma ve Sistem İçinde Sahip Olunan Ayrıcalıkları Artırma Teknikleri Siber Suçlular Tarafından Tercih Ediliyor: Daha kapsamlı tehdit istihbaratı incelendiğinde saldırı tekniklerinin şu anda nasıl geliştiğine dair değerli bulgular ortaya çıkıyor.
Siber saldırganların neyi amaçladığını gözlemlemek için örnekleri inceleyerek tespit edilen kötü amaçlı yazılıma özgü belirli özellikleri analiz edildi. Ortaya da saldırıda kullanılan dosyalar hedef ortamlarda çalıştırılsaydı kötü amaçlı yazılımın başarabileceği olumsuz sonuçların listesi çıktı. Bu liste, siber saldırganların diğer tekniklerin yanı sıra sahip olduğu ayrıcalıkları artırmaya, savunmalardan kaçınmaya, dahili sistemler arasında hareket etmeye ve güvenliği ihlal edilmiş verileri sızdırmaya çalıştığını gösteriyor.