Bir siber güvenlik yapay zeka sağlayıcısı, 2023'ün ikinci yarısına ilişkin Yıl Sonu Tehdit Raporunu yayınladı. Rapor, tüm müşteri tabanından elde edilen verilere dayanıyor ve çok işlevli kötü amaçlı yazılımlar, yükleyiciler, ViperSoftX ve kimlik avı e-postaları alanlarındaki önemli gelişmeleri ortaya çıkarıyor.
Darktrace'in analizine göre, 2023'ün ikinci yarısında en sık gözlemlenen tehdit türü, Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) oldu ve bu, Hizmet Olarak Fidye Yazılımı (RaaS) ile birlikte, tehditlerin çoğunluğunu oluşturdu. Siber saldırılarda kullanılan kötü amaçlı araçlar uyduruldu. Yüksek talep ve yinelenen abonelik bazlı gelir nedeniyle Darktrace, MaaS ve RaaS ekosistemlerinin büyümeye devam etmesini ve 2024'te de en büyük tehditler olarak kalmasını bekliyor. Analizin tüm sonuçları Darktrace'in kendi kendine öğrenen yapay zekası tarafından toplanan bilgilere dayanmaktadır.
Her şey için tek bir kötü amaçlı yazılım
Kötü amaçlı yazılım artık belirli bir eyleme veya göreve göre tasarlanmamaktadır. Daha da geliştirildi ve İsviçre Çakısı gibi birden fazla aktiviteyi gerçekleştirebiliyor. Çok işlevli kötü amaçlı yazılımların evrimi devam edecek ve uyarlanabilirlikleri ve çok yönlülükleri nedeniyle güvenlik ekipleri için giderek artan bir tehdit oluşturacaktır. Bu, siber suçluların bir dizi kötü amaçlı etkinliği daha verimli bir şekilde gerçekleştirmesine ve etkilenen ağlarda harcadıkları süreyi kısaltmasına olanak tanır. Bu aynı zamanda tespit edilme olasılığını da azaltır. Anormallik tespiti, kuruluşların sürekli gelişen tehditlerin önünde kalması açısından kritik hale geliyor.
Çok işlevli kötü amaçlı yazılımların güncel bir örneği CyberCartel'dir. Bu Latin Amerikalı bilgisayar korsanlığı grubu 2012'den beri aktif ve Fenix botnet gibi diğer kötü amaçlı yazılım türlerinin MaaS tekliflerinden yararlandığı biliniyor. Darktrace Tehdit Araştırma Ekibi, CyberCartel'den etkilenme potansiyeli olan yaklaşık 40 ağ keşfetti. CyberCartel, farklı türlerdeki özellikleri birleştirerek ve ortak bir C2 altyapısı kullanarak, kötü amaçlı yazılımlarını etkili bir şekilde dağıtabilir ve bilgileri çalabilir. Hangi şirketin hangi kötü amaçlı yazılım işlevinden etkilendiğini doğru bir şekilde belirlemek çok zordur.
Kapı açacakları
Yükleyiciler genellikle kurumsal ağların kapısını açıyor ve Darktrace'in 2023'ün ikinci yarısında analiz ettiği MaaS ve RaaS içinde en sık gözlemlenen tehdit kategorisini temsil ediyor. İncelenen saldırıların yüzde 77'sine bu kişiler katıldı, bunu kripto madencileri (%52), botnet'ler (%39), bilgi hırsızlığı amaçlı kötü amaçlı yazılımlar (%36) ve proxy botnet'ler (%15) izledi. Yüzdeler, birden fazla yanıttan kaynaklanmaktadır çünkü etkilenen müşteriler, her kategorideki enfeksiyonlara göre birden fazla tehdit türüne bölünmüştür.
Yükleyiciler ve bilgi çalan yazılımlar gibi ilk erişime sahip kötü amaçlı yazılımlar, kuruluşlara yönelik en büyük tehditler arasında yer almaya devam edecek. Genellikle birlikte çalışabilen, esnek MaaS araçlarıdırlar. Darktrace sıklıkla, dosyaları aktarmadan ilk erişim için veri ve kimlik bilgileri topladıklarını gözlemliyor. Veriler daha sonra sıklıkla satılır. Modern siber tehdit pazarında verilerin artan değeri göz önüne alındığında, ilk erişim MaaS araçları güvenlik ekipleri için önemli bir sorun olmaya devam ediyor. Ek olarak yükleyiciler, kötü niyetli saldırılar ve fidye yazılımları için sonraki ikinci ve üçüncü aşama bulaşmalarına olanak tanır.
Şifre hırsızı tespit edilmekten kaçınır
ViperSoftX, ilk giriş kötü amaçlı yazılımlarının yaygın dağıtımına bir örnektir. Bilgi Hırsızı ve Uzaktan Erişim Truva Atı (RAT), sonraki saldırıları kolaylaştırmak için kripto para cüzdanı adresleri ve tarayıcılarda veya şifre yöneticilerinde saklanan şifre bilgileri gibi hassas bilgileri toplar. Genellikle şüpheli alanlardan yapılan kırık yazılım indirmeleri, torrent indirmeleri ve üçüncü taraf sitelerden anahtar oluşturucular aracılığıyla dağıtılır.
Kötü amaçlı yazılım ilk kez 2020'de vahşi doğada gözlemlendi. Ancak 2022 ve 2023'te tespit edilmekten kaçınmak için daha karmaşık teknikler kullanan yeni türler ortaya çıktı. Buna gelişmiş şifreleme yöntemleri ve komuta ve kontrol (C2) sunucularında yapılan aylık değişiklikler de dahildir. Mevcut sürümler ayrıca yürütme teknikleri için DLL (Dinamik Bağlantı Kitaplığı) yandan yüklemeyi kullanır. Bağımsız bir bilgi hırsızı olarak çalışan VenomSoftX adlı kötü amaçlı bir tarayıcı uzantısı yüklerler.
Kimlik avı e-postaları hâlâ tehlikeli
Darktrace/Email çözümü, 10,4 Eylül ile 1 Aralık 31 arasında 2023 milyon kimlik avı e-postası keşfetti. Bunlardan yüzde 65'i, DMARC (Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması) aracılığıyla kimlik doğrulamayı başarıyla geçti. Bu doğrulama kontrolünün atlanması, siber suçluların gizlilik ve kaçırma taktiklerini giderek daha fazla geliştirdiğini gösteriyor. Kimlik avı e-postalarının yalnızca yüzde 42'sinin Microsoft ve Google gibi büyük e-posta sağlayıcıları tarafından tespit edilmesi, geleneksel güvenlik önlemlerindeki boşlukları ve güvenlik açıklarını gösteriyor.
QR kodlarının kullanımı gibi yeni sosyal mühendislik teknikleri, alıcıları oturum açma ayrıntıları ve banka bilgileri gibi hassas bilgileri açığa çıkarmaları veya kötü amaçlı dosyalar indirmeleri için kandırmak üzere tasarlanmıştır. Kimlik avı e-postalarının dörtte birinden fazlasının büyük miktarda metin içerdiği gözlemlendiğinden, siber suçlular karmaşık kimlik avı kampanyaları başlatma çabalarını artırıyor. Sosyal mühendislik faaliyetlerini otomatikleştirmek için üretken yapay zeka araçlarını da kullanabilirler.
Darktrace.com'da daha fazlası
Darktrace Hakkında Siber güvenlik için yapay zeka alanında dünya lideri olan Darktrace, yapay zeka teknolojisine sahip işletmeleri ve kuruluşları siber saldırılardan korur. Darktrace'in teknolojisi, olası tehditleri gösteren alışılmadık trafik modellerini kaydeder. Bunu yaparken, diğer güvenlik sistemleri tarafından gözden kaçan yeni ve önceden bilinmeyen saldırı yöntemlerini tanır.
Konuyla ilgili makaleler