2023'te botnet'ler ölümden döndü, fidye yazılımı aktörleri hırsızlıktan para kazanmanın yaratıcı yollarını buldu ve on yıldır başıboş dolaşan tehdit aktörleri güncel kalabilmek için kendilerini yeniden icat etti.
Cisco Talos'taki tehdit istihbaratı uzmanları, 2023'teki önemli gelişmeleri analiz etti ve bunları, okumaya değer bir yıllık incelemede özetledi. 2023 siber suç yılına yönelik standart çalışma, geçen yılın tehdit ortamını şekillendiren en önemli eğilimleri öne çıkarıyor.
Fidye yazılımı saldırı vektörü
2023'te şirketlere yönelik en büyük tehdidi hâlâ fidye yazılımları oluşturuyordu. Üst üste ikinci yıl boyunca LockBit bu alanda şerefsiz bir üst sırayı aldı. Saldırganlar, her zamanki gibi, siber güvenlik kaynakları sınırlı olan veya özellikle sağlık sektöründe çok az kesintiyi tolere edebilen tesislere odaklandı. Ancak 2023'te her şey her zamanki gibi değildi: Clop gibi aktörler sıfır gün açıklarından yararlanıyordu. Bu tür davranışlar genellikle Gelişmiş Kalıcı Tehdit (APT) gruplarının etkinlikleriyle ilişkilendirilir. Ayrıca yeni olan şey, fidye yazılımı aktörlerinin saf şantaja geçip şifreleme kısmını atlamasıydı.
Almanya'daki Cisco Talos Teknik Lideri Holger Unterbrink, "Maalesef 2023'te 0 günlük saldırılar artık ulus devlet saldırganlarıyla sınırlı kalmayacak" diyor. “Hedef kazançlıysa suç çeteleri 0 gün sonra tekrar saldıracak. Şirketlerin güvenlik mimarilerinde ve risk yönetiminde bunu dikkate almaları gerekiyor.”
Saldırganlar stratejilerini uyarlar
Cisco Talos'tan alınan telemetri verileri, Qakbot ve IcedID gibi tanınmış ailelere ait yükleyicilerin fidye yazılımını yaymak için kullanılmaya devam ettiğini gösteriyor. Ancak bu yükleyiciler, bankacılık Truva Atları olarak geçmişlerinin tüm kalıntılarını geride bıraktılar ve artık kendilerini yük verilerinin iletilmesi için zarif araçlar olarak sunuyorlar. Geliştiriciler ve operatörler gelişmiş savunmalara uyum sağlamayı başardılar ve daha sık yapılan güvenlik güncellemelerini atlatmanın yeni yollarını buldular. Fidye yazılımı gruplarının soruşturma başarılarından kurtulma hızı da şaşırtıcıydı. Quakbot ağının Ağustos 2023'te kapatılması yalnızca kısa bir süre için etkili oldu. Talos'un analizi, kolluk kuvvetlerinin eylemlerinin Qakbot operatörlerinin spam gönderme altyapısını değil, yalnızca komuta ve kontrol (C2) sunucularını etkilemiş olabileceğini öne sürüyor.
Ağ cihazları ve eski güvenlik açıkları hedef alındı
Yeni ve bölgeler arası bir trend, APT'ler ve fidye yazılımı aktörleri tarafından ağ cihazlarına yönelik saldırıların artmasıdır. Her iki grup da cihazlardaki güvenlik açıklarına ve zayıf veya yanlış kimlik bilgilerine odaklandı. Bu, ağ sistemlerinin, özel niyetleri ne olursa olsun, saldırganlar için son derece değerli olduğunu gösteriyor.
Talos analizi, uygulamadaki güvenlik açıklarından yararlanmaya gelince, 2023'teki saldırganların öncelikle eski güvenlik açıklarını, yani on veya daha uzun süredir bilinen ancak çoğu durumda hala yama yapılmamış güvenlik açıklarını hedef aldığını gösteriyor. En sık saldırıya uğrayan güvenlik açıklarının çoğunluğu, Cisco Kenna ve Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) tarafından maksimum veya yüksek önem derecesine sahip olarak derecelendirilir ve ayrıca CISA'nın bilinen güvenlik açıkları kataloğunda da listelenir.
Kimlik avı ve iş e-postasının ele geçirilmesi (BEC) gibi operasyonlar için sosyal mühendisliğin kullanımı da 2023'te hız kesmeden devam etti. Ancak Microsoft'un 2022'de makroları varsayılan olarak devre dışı bırakmasının bir sonucu olarak, saldırganlar kötü amaçlı yazılımlarını gizlemek için giderek daha fazla başka dosya türlerini kullanıyor. PDF'ler bu yıl en sık engellenen dosya uzantısıydı.
APT faaliyetleri jeopolitik istikrarsızlığı gösteriyor
Çin, Rusya ve Orta Doğu'daki APT gruplarının analizi Cisco Talos Raporu 2023'te oldukça fazla yer kaplıyor. Telemetri verileri, jeopolitik olaylara paralel olarak şüpheli veri trafiğindeki artışı açıkça yansıtıyor. Batı'nın Asya-Pasifik bölgesindeki ülkelerle giderek gerginleşen ilişkileri, Çin'deki APT gruplarının özellikle Tayvan gibi ülkelerdeki kritik altyapı alanında zarar verme isteğinin artmasına yol açtı.
Rus APT'leri ise Gamaredon ve Turla'nın beklendiği gibi Ukrayna'yı hedef almasıydı. Ancak ilginç bir şekilde Rusya'nın faaliyetleri, yıkıcı siber yeteneklerinin tamamını ortaya koyamadı. Gamaredon öncelikli olarak Kuzey Amerika ve Avrupa'daki tesisleri hedef alırken, Batı Avrupa'da orantısız sayıda kurban vardı. İran devleti destekli APT aktörü MuddyWater, 2023'te Orta Doğu'nun önemli bir tehdit aktörü olmaya devam etti. Ancak sektördeki karşı önlemler, grubun Syncro uzaktan yönetim ve izleme (RMM) platformu da dahil olmak üzere standart araçlarını kullanma becerisini etkiledi.
Ekim 2023'ün başlarında Hamas ile İsrail arasında yaşanan olaylar, siyasi motivasyonlu çeşitli hacktivist grupların her iki tarafa da koordinesiz ve çoğunlukla basit saldırılar başlatmasına katkıda bulundu. Benzer bir gelişme Rusya-Ukrayna savaşının başlangıcında da gözlemlenebiliyordu. Cisco Talos, Orta Doğu'daki karmaşık ve dinamik jeopolitik ortamın siber alanı da etkileyeceğini düşünüyor.
Talos Raporundan ek bilgiler:
Geçerli hesapların kullanılması, en yaygın olarak gözlemlenen MITRE ATT&CK tekniklerinden biriydi ve saldırganların, saldırılarının çeşitli aşamalarında ele geçirilen kimlik bilgilerine güvendiğinin altını çiziyordu.
Yeni fidye yazılımı çeşitleri, diğer RaaS gruplarından sızdırılan kaynak kodunu kullandı. Bu aynı zamanda daha az deneyimli aktörlerin fidye yazılımı şantajına başlamasına da olanak sağladı.
Şüpheli ağ trafiği, Microsoft Outlook'a yapılan büyük ölçekli DDoS saldırısı gibi büyük jeopolitik olaylar ve küresel siber saldırılarla aynı zamana denk gelen etkinlikte keskin bir artış gösterdi.
Cisco Hakkında Cisco, İnternet'i mümkün kılan dünyanın lider teknoloji şirketidir. Cisco, küresel ve kapsayıcı bir gelecek için uygulamalar, veri güvenliği, altyapı dönüşümü ve ekiplerin güçlendirilmesi için yeni olanaklar sunuyor.
Konuyla ilgili makaleler