Sophos, siber tehdit ekosistemindeki yeni gelişmeleri detaylı olarak ele aldığı Sophos 2019 Yılı Tehdit Raporunu yayınladı.
Raporda siber suçluların alışılageldik yaygın tehditlerden öte, zengin kurumlardan para koparmak için hedefe özel tasarlanmış karmaşık saldırılara yöneldiği dikkat çekiyor. Tespit edilmesi son derece zor olan bu saldırılar, kurumlarda milyonlarca dolarlık fidye bedeli ve iş gücü kaybına neden oluyor.
Sophos, siber tehditlerin geleceğini ortaya koyan 2019 Tehdit Raporunu paylaştı. SophosLabs araştırmacılarının hazırladığı rapor, siber tehditlerin geçtiğimiz yıl boyunca bıraktığı izleri ve yükselen siber tehdit akımlarını açığa çıkararak 2019 yılı güvenlik beklentilerine ışık tutuyor.
Sophos CTO’su Joe Levy, rapora dair şu değerlendirmelerde bulundu:
“Siber tehdit ekosistemi sürekli bir değişim içinde. Nispeten yeteneksiz olan gruplar bu işin dışına itilirken, kendini geliştirerek çağa ayak uyduranlar zirveyi ele geçiriyor. Bu sürecin sonunda giderek daha az sayıda, ama çok daha güçlü ve becerikli saldırganlarla mücadele etmek zorunda kalacağız. Bu yeni nesil siber saldırganlar, seçkin bir azınlığı hedef alanlar gruplarla yaygın saldırı araçlarını kullananların en iyi yönlerini bir araya getirecek. Bunu da ispiyonlama veya sabotaj için değil, kirli para akışının sürekliliği için yapacak.”
Elde Edilen Büyük Kazançlar Yeni Saldırılara İlham Veriyor
SophosLabs 2019 Tehdit Raporunun odaklandığı davranışlar ve saldırı teknikleri şöyle sıralanıyor:
- Kapitalist siber suçlular, her adımı düşünülmüş ve etraflıca planlanmış hedefli saldırılarla milyonlarca dolar fidye koparmaya odaklanıyor 2018 yılı, özenle seçilmiş hedeflere yönelik özel tasarlanmış saldırıların daha da geliştiği ve milyonlarca dolarlık vurgunların yapıldığı bir yıl oldu. Çok sayıda e-posta adresine mesaj göndererek birilerinin tuzağa düşmesini bekleyen yaygın tekniklerden ayrılan bu saldırı biçimi, hedeflenen kurumun sistemlerine ve süreçlerine uygun olarak tasarlandığı için çok daha büyük zararlara yol açabiliyor. Örneğin siber saldırganlar saldırıdan önce tüm yedekleri silerek kurumu çaresizliğe sürükleyip fidye ödemeye zorlayabiliyor. Sophos uzmanları bu akımın öncülerinden olan SamSam, BitPaymer ve Dharma’nın elde ettiği büyük kazançların, 2019’da benzer saldırıların yolunu açacağına inanıyor.
- Saldırganlar halihazırda mevcut olan Windows yönetim araçlarından yardım alıyor Bu yılki raporda saldırıların hayata geçirilmesine dair önemli değişiklikler de göze çarpıyor. Saldırganlar artık halihazırda sistem yöneticilerinin el altında bulundurduğu yönetim araçlarını kullanarak Gelişmiş İnatçı Saldırı (Advanced Persistent Threat – APT) tekniklerini hayata geçirme yoluna gidiyor. Burada amaç hassas bilgileri ele geçirmek veya sistemlere fidye yazılımı yerleştirmek olabiliyor.
- Yönetici araçları siber saldırı araçlarına dönüşüyor
Siber saldırganlar, Windows sistem araçları arasında bulunan Powershell ve Windows Scripting dosyaları aracılığıyla tehditlerin kurbanlarına bulaşmasını sağlıyor.
- Siber suçlular ‘Dijital Domino’ oyunuyor
Farklı script türlerini birbiri ardına çalıştırarak zincirleme reaksiyonla karmaşık saldırı tekniklerini hayata geçiren saldırganlar, bilgi teknolojileri yöneticilerinin tehdidi algılamasına ve önlem almasına fırsat bırakmadan sistemlere sızarak amaçlarını yerine getiriyor. - Yeni Office açıkları kurbanları tuzağa çekmek için kullanılıyor
Office açıkları uzun zamandır saldırılar için kullanılsa da, son dönemde siber saldırganların yeni nesil Office açıklarını tercih ettikleri ve eskilerden daha az yardım aldıkları göze çarpıyor.
- Cryptojacking saldırıları için en öneml araç: EternalBlue
Windows’un EternalBlue açığını kapatmak için hazırlanan yamalar bir yıldan uzun süredir yayında olmasına rağmen, söz konusu açık siber suçluların favorileri arasında yer almaya devam ediyor. EternalBlue ve kullanıcının haberi olmadan siber suçlular adına kripto para madenciliği yapan cryptomining yazılımlarının bir araya gelmesi, bu işi hobi amaçlı bir nüans olmaktan çıkarıp verimli bir saldırı tekniğine dönüştürüyor. Cryptojacker yazılımlarının kurumsal ağlarda dikey ölçekte hızla yayılabilme yeteneği pek çok makinenin aynı anda enfekte olmasına, dolayısıyla siber suçlular için daha fazla kripto para üretimine karşılık geliyor. Bu durum işlemci gücü ve enerji kullanımı gibi değerli kurum kaynaklarının sömürülmesiyle sonuçlanıyor.
- Siber tehditler nesnelerin interneti ve mobile odaklanmaya devam ediyor Mobil cihazları hedef alan zararlı yazılımların yaygınlaşmasıyla, saldırıların etkisi organizasyonların altyapısından daha da öteye taşındı. 2018 yılında yasa dışı Android uygulamalarının artışı, zararlı yazılımların telefonlarda, tabletlerde ve diğer IoT cihazlarında daha fazla yer bulmasına neden oldu. Ayrıca evlerde ve iş yerlerinde daha fazla sayıda internet bağlantılı cihazların kullanılması, saldırganları bu cihazların kontrolünü ele geçirerek dev botnet ağlarının bir parçası haline geçirmesinin yolunu açtı. Görünürde bir kullanıcı arayüz bulunmayan cihazları ele geçirerek kötü amaçlarla kullanmanın en yıkıcı örneklerinden birini VPNFilter saldırısında gördük. Bunun yanı sıra Mirai Aidra, Wifatch ve Gafgyt gibi örnekler de ele geçirilen cihazları otomatik saldırılara yönlendirerek sunucuları hizmet dışı bırakma, kripto para madenciliği ve ağlara sızma gibi eylemlere imza attılar.
