WatchGuard Technologies, 2023 yılının ikinci çeyreğinde analiz edilen en önemli kötü amaçlı yazılım trendleri ile ağ ve uç nokta güvenliği tehditlerini detaylandırdığı en son İnternet Güvenliği Raporu’nun bulgularını açıkladı. Veriler, kötü amaçlı yazılımların %95’inin artık şifreli bağlantılar üzerinden geldiğini, uç nokta kötü amaçlı yazılım hacimlerinde azalma olduğunu, çifte gasp saldırılarındaki artışın ortasında fidye yazılımı tespitlerinin azaldığını, eski yazılım güvenlik açıklarının modern tehdit aktörleri arasında istismar için popüler hedefler olmaya devam ettiğini gösteriyor.
Araştırmanın önemli bulguları arasında kötü amaçlı yazılımların %95’inin artık şifreli bağlantılar üzerinden geldiği, kampanyaların daha yaygın hale gelmesine rağmen uç nokta kötü amaçlı yazılım hacimlerinde azalma görüldüğü, çifte gasp saldırılarındaki artışın ortasında fidye yazılımı tespitlerinin azaldığı, eski yazılım güvenlik açıklarının modern tehdit aktörleri arasında istismar için popüler hedefler olmaya devam ettiği yer alıyor. WatchGuard’ın Bütünleşik Güvenlik Platformu yaklaşımı ve Tehdit Laboratuvarı’nın önceki çeyrek güncellemeleriyle üç aylık raporda analiz edilen veriler, WatchGuard’ın araştırma çabalarını doğrudan desteklemek için aktif WatchGuard ağ ve uç nokta ürünlerinden elde edilen, anonimleştirilmiş toplu tehdit istihbaratına dayanıyor.
Siber Tehditler Sürekli Tetikte Olmayı ve Katmanlı Güvenlik Yaklaşımını Gerektiriyor
WatchGuard Baş Güvenlik Sorumlusu Corey Nachreiner, “Son raporumuz için Tehdit Laboratuvarımız tarafından analiz edilen veriler, gelişmiş kötü amaçlı yazılım saldırılarının ve çok yönlü siber tehditlerin gelişmeye devam ettiğini, bunlarla etkili bir şekilde mücadele etmek için sürekli tetikte olmayı ve katmanlı bir güvenlik yaklaşımını gerektiriyor. Tehdit aktörlerinin saldırılarında kullandıkları tek bir strateji bulunmuyor ve belirli tehditler genellikle yılın farklı zamanlarında farklı risk seviyeleri sunuyor. Kuruluşlar bu tehditleri izlemek için sürekli tetikte olmalı ve en iyi savunma için yönetilen hizmet sağlayıcılar tarafından etkili bir şekilde yönetilebilen bütünleşik bir güvenlik yaklaşımı kullanmalı.” açıklamasında bulundu.
Araştırmalar Ağ Saldırısı ve Uç Nokta Kötü Amaçlı Yazılımı da Kapsıyor
Tehdit Laboratuvarı ekibi, 2023 2. Çeyrek raporu kapsamında, rapor bulgularını normalleştirmek ve analiz etmek için önceki çeyrek raporunda başlayan güncellenmiş yöntemlerin sunumuna devam ediyor. Ağ güvenliği sonuçları “cihaz başına” ortalamalar olarak sunuluyor ve bu ay güncellenen yöntemler Tehdit Laboratuvarı’nın ağ saldırısı ve uç nokta kötü amaçlı yazılım araştırmasını da kapsıyor.
İnternet Güvenliği 2. Çeyrek Raporu’nda yer alan diğer önemli bulgular şunlar:
- Kötü amaçlı yazılımların %95’i şifrelemenin arkasına saklanıyor. Kötü amaçlı yazılımların çoğu güvenli web siteleri tarafından kullanılan SSL/TLS şifrelemesinin arkasına gizleniyor. Ağ çevresinde SSL/TLS trafiğini denetlemeyen kuruluşlar, büyük olasılıkla çoğu kötü amaçlı yazılımı gözden kaçırıyor. Ayrıca, sıfırıncı gün kötü amaçlı yazılımları, toplam kötü amaçlı yazılım tespitlerinde %11’e düşerek tüm zamanların en düşük seviyesine geriledi. Bununla birlikte, şifreli bağlantılar üzerinden kötü amaçlı yazılımları incelerken, kaçamak tespitlerin payı %66’ya yükseldi. Bu durum saldırganların sofistike kötü amaçlı yazılımları öncelikle şifreleme yoluyla sunmaya devam ettiğini gösteriyor.
- Yaygın kötü amaçlı yazılım saldırıları artmış olsa da toplam uç nokta kötü amaçlı yazılım hacmi hafif bir düşüş gösteriyor. İkinci çeyrekte, bir önceki çeyreğe kıyasla uç nokta kötü amaçlı yazılım tespitlerinde %8’lik bir düşüş yaşandı. Bununla birlikte, 10 ila 50 sistem, 100 veya daha fazla sistem tarafından yakalanan uç nokta kötü amaçlı yazılım tespitlerine bakıldığında bu tespitlerin hacminin, sırasıyla %22 ve %21 oranında arttığı gözlemleniyor. Daha fazla cihaz arasında artan tespitler, yaygın kötü amaçlı yazılım saldırılarının 2023’ün 1. çeyreğinden 2. çeyreğine kadar arttığını gösteriyor.
- Fidye yazılım gruplarından gelen çifte gasp saldırıları bir önceki çeyreğe göre %72 arttı. Tehdit Laboratuvarı 13 yeni gasp grubu kaydetti. Bununla birlikte, çifte gasp saldırılarındaki artış, uç noktalardaki fidye yazılımı tespitlerinin çeyrekten çeyreğe %21 ve yıldan yıla %72 azalmasıyla gerçekleşti.
- İlk 10 uç nokta tespitinde altı yeni kötü amaçlı yazılım çeşidi tespit edildi. Tehdit Laboratuvarı, güvenliği ihlal edilmiş 3CX yükleyicisinin tespitlerinde büyük bir artış gördü ve 2. çeyrek Top 10 kötü amaçlı yazılım tehditleri listesindeki toplam tespit hacminin %48’ini oluşturdu. Ayrıca, dünya çapında ayrım gözetmeksizin kurbanları hedef alan çok yönlü bir yükleyici, botnet, bilgi hırsızı ve kriptominer olan Glupteba, 2021’de kesintiye uğradıktan sonra 2023’ün başlarında yeniden canlandı.
- Tehdit aktörleri, kötü amaçlı yazılımları dağıtmak için Windows living-off-the-land ikili dosyalarından giderek daha fazla yararlanıyor. Saldırı vektörleri ve tehdit aktörlerinin uç noktalara nasıl erişim sağladığı analiz edildiğinde, WMI ve PSExec gibi Windows işletim sistemi araçlarını kullanan saldırılar %29 artarak toplam hacmin %17’sini oluştururken, PowerShell gibi komut dosyalarını kullanan kötü amaçlı yazılımların hacmi %41 düştü. Komut dosyaları en yaygın kötü amaçlı yazılım dağıtım vektörü olmaya devam ederek, toplam tespitlerin %74’ünü oluştururken tarayıcı tabanlı istismarlar ise %33 azalarak, toplam hacmin %3’ünü oluşturdu.
- Siber suçlular eski yazılım açıklarını hedef almaya devam ediyor. Threat Lab araştırmacıları, 2. çeyrekte eski güvenlik açıklarına dayalı ilk 10 ağ saldırısı arasında üç yeni imza buldu. Bunlardan biri, 2018’de kullanımdan kaldırılan açık kaynaklı bir öğrenme yönetim sistemiyle (GitHub) ilişkili 2016 tarihli bir güvenlik açığıydı. Diğerleri ise birçok web sitesi tarafından kullanılan komut dosyası dili olan PHP’deki tamsayı taşmalarını yakalayan bir imza ve Open View Network Node Manager adlı 2010 tarihli bir arabellek taşması ve HP yönetim uygulamasıydı.
- WordPress bloglarında ve bağlantı kısaltma hizmetinde tehlikeye atılmış alan adları bulunuyor. Kötü amaçlı alan adlarını araştıran Tehdit Laboratuvarı ekibi, kötü amaçlı yazılım, kötü amaçlı yazılım komuta ve kontrol çerçevesi barındırmak üzere ele geçirilmiş web siteleri (WordPress blogları gibi) ve alan adı kısaltma hizmeti örnekleriyle karşılaştı. Ayrıca Qakbot tehdit aktörleri, Asya Pasifik bölgesindeki bir eğitim yarışmasıyla ilgili bir web sitesini, botnetlerinin komuta ve kontrol altyapısını barındırmak üzere ele geçirdi.
WordPress bloglarında ve bağlantı kısaltma hizmetinde tehlikeye atılmış alan adları. Kötü amaçlı alan adlarını araştıran Tehdit Laboratuvarı ekibi, kötü amaçlı yazılım ya da kötü amaçlı yazılım komuta ve kontrol çerçevesi barındırmak üzere ele geçirilmiş kendi kendini yöneten web siteleri (WordPress blogları gibi) ve alan adı kısaltma hizmeti örnekleriyle karşılaştı. Ayrıca, Qakbot tehdit aktörleri Asya Pasifik bölgesindeki bir eğitim yarışmasına adanmış bir web sitesini botnetlerinin komuta ve kontrol altyapısını barındırmak üzere ele geçirmişlerdir.
