Fidye yazılımlar daha da yıkıcı oluyor!
Fortinet, en son altı aylık FortiGuard Labs Küresel Tehdit Raporu’nu açıkladı. 2021’in ikinci yarısına ait tehdit istihbaratı, daha yıkıcı ve öngörülemeyen, gelişmiş kalıcı siber suç stratejileri kullanan saldırıların otomasyonu ve hızında bir artış olduğunu ortaya koyuyor. Buna ek olarak, hibrit çalışanların ve hibrit BT’nin genişleyen saldırı yüzeyi, siber rakiplerin yararlanmaya çalıştığı bir odak noktası. 2021 yılının 2. yarısına ait raporun öne çıkan özellikleri aşağıda yer alıyor:
2021’in sonlarında görülen Log4j güvenlik açıkları, siber suçluların durumu kendi avantajlarına nasıl kullandıklarını ve istismar hızını gösteriyor. Aralık ayının ikinci haftasında ortaya çıkmasına rağmen, saldırılar bir aydan kısa bir sürede hızla yükselerek 2021’in ikinci yarısının tamamının en yaygın IPS tespiti haline geldi. Buna ek olarak, Log4j, 2021’in başlarında gerçekleşen tanınmış ProxyLogon salgınına kıyasla yaklaşık 50 kat etkinlik hacmine sahipti. Gerçek şu ki, siber saldırganların yeni fırsatları en üst düzeye çıkarmak için kullandığı hız göz önüne alındığında, kurumların bugün tepki vermek veya yama yapmak için çok az zamanı var. Kurumlar, genel riski azaltmak adına son derece hızlı bir şekilde yayılan tehditlere öncelik vermek için yapay zeka ve ML destekli izinsiz giriş önleme sistemlerine (IPS), agresif yama yönetimi stratejilerine ve tehdit istihbaratı görünürlüğüne ihtiyaç duyuyor.
Küçük veya hacimsiz tehditlerin bir kısmının gelecekte daha büyük sorunlara neden olma potansiyeline sahip ve izlemeye değer olduğu anlaşılıyor. Bunun bir örneği, genellikle yürütülebilir ve bağlanabilir biçimli (ELF-Executable and Link Format) ikili dosyaları şeklinde olan ve Linux sistemlerini istismar etmek için tasarlanmış yeni hazırlanmış kötü amaçlı bir yazılım. Linux, Nesnelerin İnternetine bağlı cihazlarda ve görev açısından kritik uygulamalarda birçok ağın arka uç sistemlerini ve konteyner tabanlı çözümleri çalıştırıyor ve böylece saldırganlar için daha popüler bir hedef haline geliyor. Aslında, dördüncü çeyrekte Linux’a yönelik yeni kötü amaçlı yazılım imzalarının oranı, ELF varyantı Muhstik, RedXOR kötü amaçlı yazılımının, hatta Log4j’nin dört katına çıkarak 2021’de öncelikle Linux’u hedef alan tehdit örneği haline geldi. ELF ve diğer Linux kötü amaçlı yazılım tespitlerinin yaygınlığı ise 2021 boyunca iki katına yükseldi. Varyantlardaki ve hacimdeki bu büyüme, Linux kötü amaçlı yazılımlarının, saldırganların cephaneliğinin giderek daha büyük bir parçası olduğunu gösteriyor. Linux’un gelişmiş ve otomatik uç nokta koruması, algılaması ve yanıtı ile ağdaki diğer uç noktalar gibi güvenli hale alınması, izlenmesi ve yönetilmesi gerekiyor. Ayrıca, düşük seviyeli tehditlere karşı etkilenebilecek sistemlerde aktif tehdit koruması sağlamak için güvenlik hijyenine öncelik verilmesi gerekiyor.
Sofistike tekniklerle gelen tehditler!
Tehdit trendleri, botnet’lerin daha yeni ve daha gelişmiş siber suçlu saldırı tekniklerini çalıştırabilecek şekilde geliştiğini gösteriyor. Botnet’ler öncelikle yekpare olmak ve çoğunlukla DDoS saldırılarına odaklanmak yerine, fidye yazılımları da dahil olmak üzere çeşitli ve daha sofistike saldırı tekniklerinden yararlanan çok amaçlı saldırı araçları oldu. Örneğin, Mirai gibi botnet operatörleri de dahil olmak üzere tehdit aktörleri, Log4j güvenlik açıklarını saldırı kitlerine dahil etmiş bulunuyor. Ayrıca, botnet aktivitelerinin, veri sızdırmak için Linux sistemlerini hedefleyen RedXOR kötü amaçlı yazılımının yeni bir varyantı ile ilişkili olduğu da gözlendi. RedLine Stealer kötü amaçlı yazılımının bir türevini kullanan ve ekim ayı başlarında sayıları artan botnet’ler COVID temalı bir dosya kullanarak yeni hedefler buldu. Ağları ve uygulamaları korumak isteyen kurumların, özellikle ağa giren Nesnelerin Internetine bağlı uç noktalarını ve aygıtlarını güvence altına almak için minimum erişim ayrıcalıkları sağlamaları ve bunun için sıfır güven erişim çözümü ve anormal davranışı izlemek için otomatik algılama ve yanıt yetenekleri uygulamaları gerekiyor.
Kötü amaçlı yazılım varyantlarının bölgelere göre yaygınlığı değerlendirildiğinde, siber saldırganların uzaktan çalışma ve öğrenme vektörüne oldukça büyük ilgi gösterdiği görülüyor. Özellikle, tarayıcı tabanlı kötü amaçlı yazılımların çeşitli biçimleri yaygın. Bunlar genellikle kimlik avı yemleri, kod enjekte eden veya kullanıcıları kötü amaçlı sitelere yönlendiren komut dosyaları şeklinde gerçekleşiyor. Tespit edilen kötü amaçlı yazılımların bazıları bölgeler arasında farklılık gösteriyor, ancak büyük ölçüde üç geniş dağıtım mekanizmasından yararlanmak üzere gruplandırılabiliyor: Microsoft Office yürütülebilir dosyaları (MSExcel/, MSOffice/), PDF dosyaları ve tarayıcı komut dosyaları (HTML/, JS/). Bu tür teknikler, siber suçluların, insanların salgınla ilgili en son haberlere, siyaset, spor veya diğer başlıklara bakma arzularını istismar etmek ve daha sonra kurumsal ağlara geri dönüş yolları bulmak için popüler bir yol olmaya devam ediyor. Hibrit çalışma ve öğrenmede, kötü amaçlı yazılımlar ile kurbanlar arasında daha az koruma katmanı var. Kurumlar, nerede olurlarsa olsunlar kullanıcıları takip edebilen, etkinleştirebilen ve koruyabilen çözümler dağıtarak güvenliklerine “her yerden çalışma”ya özel yaklaşımlar geliştirmeli. Kurumlara, uç noktada (EDR) ZTNA da dahil olmak üzere sıfır güven erişim çözümleriyle birlikte gelişmiş güvenlik gerekiyor. Güvenli SD-WAN; genişletilmiş ağda güvenli WAN bağlantısı sağlamak için de kritik öneme sahip.
Yoğun ve yıkıcı!
FortiGuard Labs verileri, fidye yazılımların geçen yıl çıktığı en yüksek seviyelerden aşağı hala inmediğini hatta fidye yazılımlarının karmaşıklığının, agresifliğinin ve etkisinin arttığını ortaya koyuyor. Tehdit aktörleri, yeni ve daha önce görülen fidye yazılımı türevleriyle kurumlara saldırmaya devam ediyor ve genellikle yıkım izleri bırakıyor. Eski fidye yazılımları aktif olarak güncelleniyor ve geliştiriliyor, bazen silici kötü amaçlı yazılımları dahil edilirken, diğer fidye yazılımları Hizmet Olarak Fidye Yazılımı (RaaS) iş modellerinde kullanılabilecek şekilde geliştiriliyor. RaaS, daha fazla tehdit aktörünün fidye yazılımını kendileri oluşturmak zorunda kalmadan kötü amaçlı yazılımdan yararlanmasını ve dağıtmasını sağlıyor. FortiGuard Labs, Phobos, Yanluowang ve BlackMatter’ın yeni sürümlerini de içeren birden fazla fidye yazılımı türevini içeren tutarlı bir kötü amaçlı etkinlik seviyesi gözlemleniyor. BlackMatter’ın operatörleri, sağlık sektöründeki ve diğer kritik altyapı sektörlerindeki hedef kurumlara saldırmayacaklarını söylemişti ancak yine de saldırdılar. Fidye yazılımı saldırıları, sektör veya boyut ne olursa olsun tüm kurumlar için bir ürkütücü bir gerçeklik olmaya devam ediyor. Kurumların, sıfır güven erişimi çözümleri, segmentasyon ve düzenli veri yedekleme ile birlikte gerçek zamanlı görünürlük, analiz, koruma ve düzeltme ile proaktif bir yaklaşım sergilemesi gerekiyor.
Değişen saldırı tekniklerinin hızına paralel savunma yapabilmek için siber suçluların saldırı hedeflerini analiz etmek çok önemli. Çeşitli saldırıların kötü amaçlı sonuçlarını gözlemleyen FortiGuard Labs, yıl boyunca toplanan kötü amaçlı yazılım örneklerini etkinleştirip, tespit edilen kötü amaçlı yazılımların işlevselliğini analiz etti. Sonuçta, saldırı gerçekleşmiş olsaydı kötü amaçlı yazılımın yürüteceği bireysel taktiklerin, tekniklerin ve prosedürlerin (TTP’ler) bir listesini elde etti. Bu ayrıntılı istihbarat, bir saldırganı erkenden durdurmanın her zamankinden daha kritik olduğunu ve tanımlanan bir avuç tekniğe odaklanarak, bazı durumlarda kurumun kötü amaçlı yazılımın saldırı yöntemlerinin etkili bir şekilde önüne geçebileceğini gösteriyor. Örneğin, “execution/yürütme” aşaması için ilk üç teknik etkinliğin yüzde 82’sini oluşturuyor. “Persistence/süreklilik” aşamasında bir dayanak elde etmek için en iyi iki teknik, gözlemlenen işlevselliğin yaklaşık yüzde 95’ini temsil ediyor. Bu analizlerden yararlanmak, savunmalarını en üst düzeye çıkarmak için güvenlik stratejilerine öncelik veren kurumlarda çarpıcı bir etki yaratabiliyor.
Saldırıların seviyeleri yükselmeye devam ettikçe ve tüm saldırı yüzeyini kaplama hızları böyle arttıkça, kurumların izole edilmiş bir şekilde çalışmak yerine birlikte çalışmak için tasarlanmış çözümlere ihtiyacı var. Gelişen saldırı tekniklerine karşı güvence altında olmak; gerçek zamanlı tehdit istihbaratı almayı, tehdit kalıplarını ve parmak izlerini algılamayı, anormallikleri tespit etmek için büyük miktarda veriyi ilişkilendirmeyi ve otomatik olarak koordineli bir yanıt başlatmayı bilen akıllı çözümler gerektiriyor. Özel amaçlı ürünlerin, birlikte çalışan merkezi yönetim, otomasyon ve entegre çözümler sunan bir siber güvenlik ağı platformu ile değiştirilmesi gerekiyor.