Fidye yazılımı saldırılarıyla ilgili çok çarpıcı araştırma

Güncelleme Tarihi:

Fidye yazılımı saldırılarıyla ilgili çok çarpıcı araştırma
Oluşturulma Tarihi: Temmuz 08, 2021 12:32

Cisco Talos, fidye yazılımı saldırılarının %70'inin kolayca satın alınabilen siber suç araçlarından kaynaklandığını tespit etti.

Haberin Devamı

Cisco Talos Incident Response (CTIR) üst üste yedinci çeyrekte de yine fidye yazılımlarının en yaygın tehdit olduğunu tespit etti. Kasım 2020 ile Ocak 2021 arasında bu türün en yaygın örnekleri ise Ryuk ve Vatet oldu. Cisco Talos ayrıca Egregor ve WastedLocker varyantlarının da dünya genelinde çeşitli kuruluşları hedef almaya devam ettiğini belirledi. 

Önceki çeyreğin aksine bu fidye yazılımı saldırılarının büyük çoğunluğu ticari truva atı belge dosyaları gönderen Zloader, BazarLoader ve IcedID gibi kimlik avı uygulamalarından faydalanıyordu. Son çeyrekte fidye yazılımı saldırılarının yaklaşık yüzde 70'inde ticari truva atı yazılımları kullanıldı. Bilgisayar korsanları ayrıca Cobalt Strike gibi ticari araçlar, Bloodhound gibi açık kaynaklı erişim sonrası korsanlık araçları ve PowerShell gibi kurbanın sisteminde zaten bulunan araçlardan faydalandı. 

Haberin Devamı

Fidye yazılımlarının sektörler genelinde başa çıkması güç bir siber güvenlik tehdidi olmaya devam ettiğini ifade eden Cisco Orta Doğu ve Afrika Bölgesi Siber Güvenlik Direktörü Fady Younes, şunları söyledi: "Ticari truva atları söz konusu olduğunda, hızlı ve etkili sonuçlar için alınıp satılabilen saldırılardan bahsediyoruz. Bazı durumlarda ücretsiz indirilen truva atları dahi oluyor. Basit kimlik avı e-postaları yoluyla bilgisayar korsanları ağlara sızabiliyor, istihbarat toplayabiliyor ve bunun sonucunda uzun vadeli zararlar verebiliyor. Paket halinde sunulan bu siber suç araçlarının kolayca ulaşılabilir olmasının yanında, daha az deneyimli saldırganların dahi kullanabilir olduğunun göz önünde bulundurulması gerekiyor. Dolayısıyla şirketlerin, çalışanlarını şüpheli e-postaları nasıl tespit edip diğer kişileri uyarabilecekleri konusunda sürekli bilgilendirmesi gerekiyor. Karar vericilerin bir sorumluluğu da kapsamlı yamalar uygulama ve uç noktaları koruma gibi siber güvenlik önlemleriyle etkili bir savunma hattı oluşturarak BT sistemlerinin güvenliğini sağlamaktan da sorumlu." 

CTIR, şirketlerin truva atı bulaşmış güncellemeleri farkında olmadan SolarWinds'in yaygın kullanılan Orion yazılımına indirdiği vaka müdahaleleriyle de karşılaştı. Bu müdahalelerden yalnızca birinde sistemin ele geçirilmesinden sonraki (post-compromise) eylemler kullanılmıştı. 

Haberin Devamı

Buna uygun olarak Microsoft, Exchange Server'da dört güvenlik açığı açıkladı ve Hafnium adında bir tehdit aktörünün bu güvenlik açıklarını kullanarak çeşitli şirketleri hedef alan web kabukları attığını bildirdi. Kısa süre sonra, APT'lerden kripto para madenciliği gruplarına kadar başka tehdit aktörleri de bu güvenlik açıklarından faydalanarak on binlerce şirketin faaliyetlerini etkiledi. CTIR, Microsoft Exchange güvenlik açıklarının kullanıldığı giderek artan sayıda vakaya müdahale ediyor. 

Saldırı aktörleri ise bugüne dek işletme yönetimi, inşaat, eğitim, enerji ve kamu hizmetleri, eğlence, finans, devlet kurumları, sağlık, endüstriyel dağıtım, hukuk, üretim ve teknoloji başta olmak üzere çeşitli sektörlere saldırılar gerçekleştirdi. 

Haberin Devamı

Saldırganların en sık hedefi olan sektör sağlık sektörü olurken, bu durum, sağlık kuruluşlarını hedef aldığı bilinen Vatet adlı kötü amaçlı yazılımının kullanımındaki artışı da kısmen açıklıyor. CTIR, başlangıçta belirli bir eyaletteki hastaneyle ilişkili bölgesel hastanelerin saldırıya uğradığı ve özellikle etkilenen kuruluşa aktif VPN bağlantısının olması durumunda sonraki saldırılar için sıçrama tahtası işlevi görebildiği potansiyel bir örüntü tespit etti. Saldırganların sağlık sektörüne saldırmasının nedenlerinden birinin de mağdur olan sağlık kuruluşlarının COVID-19 döneminde hizmetlerini sağlamaya mümkün olduğunca hızlı bir biçimde devam etmek istemesi olduğu görülüyor.

Haberle ilgili daha fazlası:

BAKMADAN GEÇME!