Web kabukları aracılığıyla yapılan saldırıların sayısı, 2023'ün ilk üç ayında ortalamanın üzerinde bir oranda arttı. Cisco Talos Raporu, web mermileri yoluyla yapılan saldırıların 1'ün ilk çeyreğinde en iyi saldırı vektörü olduğunu gösteriyor. Fidye yazılımları daha iyi savuşturulabilir.
Cisco Talos analizine göre, 2023'ün ilk çeyreğinde Olay Müdahale Ekibi tarafından araştırılan tüm olayların dörtte birinden bu tür bir saldırı sorumluydu. Aynı zamanda, tespit edilen fidye yazılımı saldırılarının oranı %20'den %10'a düştü. Bununla birlikte, siber araştırmacılar her şeyi açıklamıyor: Çünkü gözlemlenen tüm tehdit faaliyetlerinin beşte biri, genellikle bir fidye yazılımı saldırısından önce gelen ve bu saldırı için hazırlanan saldırganlar tarafından alınan önlemlere atfedilebilir.
2023'ün ilk çeyreği için tehdit durumu
🔎 Web kabukları üzerinden birçok saldırı: Birçok web uygulaması kullanıcı hesabı, yalnızca zayıf parolalar veya tek faktörlü kimlik doğrulama ile korunur (Resim: Cisco).
Dünyanın en büyük ticari tehdit istihbaratı kuruluşlarından biri olan Talos, 2023'ün ilk çeyreği için üç aylık tehdit değerlendirmesini yayınladı. Buna göre, halka açık web uygulamaları bu dönemde tehdit aktörlerinin başlıca hedefiydi. Tüm saldırıların neredeyse yarısı (%45) bu tür uygulamaları sistemlere erişim elde etmek için başlangıç vektörü olarak kullanıyor. Bir önceki çeyreğe göre bu yüzde 15'lik bir artışa tekabül ediyor.
Bu saldırıların çoğu, internete açık sunucuları tehlikeye atan web kabukları kullandı. Genel olarak konuşursak, bir web kabuğu meşru bir dosya gibi davranan ve böylece web sunucusuna bir arka kapı açan kötü amaçlı bir komut dosyasıdır. Web kabukları, halihazırda başarılı olan bir sızmanın ardından, daha sonraki saldırılar için genellikle "geride bırakılır". Talos araştırmacılarına göre saldırganlar, birçok web uygulaması kullanıcı hesabının yalnızca zayıf parolalar veya tek faktörlü kimlik doğrulama ile korunmasından yararlandı.
Zayıf güvenlikli web uygulamaları yoluyla saldırı
Almanya'daki Cisco Talos teknik lideri Holger Unterbrink, "Web uygulamalarının güvenliğini sağlamadaki başarısızlıklar intikam alır" diyor. "Raporumuzun sonuçları, çok faktörlü kimlik doğrulamanın ve güçlü parolaların artık siber hijyenin temellerinin bir parçası olduğunu bir kez daha açıkça ortaya koyuyor. Özellikle web siteleri gibi öne çıkan uygulamalar söz konusu olduğunda.”
Güçlendirilmiş fidye yazılımı savunması: Vice Society hafifletildi
Fidye yazılımı tehdidi yüksek olmaya devam ediyor. Cisco Talos, ilk çeyrekte başarılı gasp vakalarında genel bir düşüş görse de, genel fidye yazılımı etkinliği yüksek olmaya devam ediyor. Sözde "fidye yazılımı öncesi" faaliyetler, tüm saldırıların yaklaşık beşte birini oluşturuyor, dolayısıyla önümüzdeki aylarda başarılı saldırılarda tekrar bir artış beklenebilir. Cisco Talos, hazırlayıcı saldırı önlemlerinin birçoğunu Vice Society gibi iyi bilinen fidye yazılımı gruplarına bağlamayı başardı. Araştırmacılara göre, kurban şirketlerdeki güvenlik ekiplerinin hızlı müdahalesi, şifreleme gerçekleşmeden saldırıların kontrol altına alınmasına yardımcı oldu.
2023'ün ilk çeyreğinde suçluların ana hedefi sağlık olurken, bunu perakende, emlak ve konaklama sektörleri takip etti.
Bir anın var mı?
2023 kullanıcı anketimiz için birkaç dakikanızı ayırın ve B2B-CYBER-SECURITY.de'nin daha iyi olmasına yardımcı olun!Yalnızca 10 soruyu yanıtlamanız yeterlidir ve anında Kaspersky, ESET ve Bitdefender'dan ödüller kazanma şansınız olur.
Buradan doğrudan ankete gidersiniz
Bir saldırı vektörü olarak OneNote belgeleri
🔎 2023'ün ilk çeyreğinde suçluların ana hedefi sağlık oldu ve bunu perakende sektörü yakından takip etti (Resim: Cisco).
Sözde "emtia kötü amaçlı yazılımı" geçen yıl zaten yükselişteydi. Yaygın olarak kullanılır ve ücretsiz olarak satın alınabilir veya indirilebilir. Emtia kötü amaçlı yazılımları genellikle özelleştirilmemiştir ve tehdit aktörleri tarafından faaliyetlerinin çeşitli aşamalarında istismar edilir. 2023'ün ilk çeyreğinde daha önce görülen Qakbot gibi emtia yükleyicileri yeniden güçlü bir görünüm kazandı. Qakbot genellikle kötü amaçlı OneNote belgeleri kullanırdı.
Kötü amaçlı OneNote eklerinin kullanıldığı diğer saldırı girişimlerinde de gözlemlenebilir. Talos'un analizine göre, tehdit aktörleri makrolara dayanmayan dosya türleriyle denemeler yapmaya devam ediyor. Microsoft, Temmuz 2022'de uygulamalarında makroları varsayılan olarak devre dışı bırakmaya başladı. Diğer dosyaları içeren ve yöneten diğer uygulamalar da etkilenir.
2023'ün ilk çeyreğinde daha fazla sonuç
- Gözlemlenen saldırı vakalarının yüzde otuzunda çok faktörlü kimlik doğrulama (MFA) hiç etkinleştirilmedi veya yalnızca birkaç hesap ve kritik hizmet için etkinleştirildi.
- Kolluk kuvvetlerinin büyük fidye yazılımı çetelerini (örn. Hive) dağıtma konusundaki son başarılarının bir etkisi var. Ancak bu, yeni aileler veya yeni ortaklıkların kurulması için alan yaratır. Daixin Ransomware ile birlikte 1'ün 2023. çeyreğinde yeni bir hizmet olarak fidye yazılımı (RaaS) ailesi ortaya çıktı.
- Açık kaynak araç seti Mimikatz, bu çeyrekte fidye yazılımı ve fidye yazılımı öncesi dağıtımların yaklaşık yüzde 60'ında kullanıldı. Mimikatz, güvenliği ihlal edilmiş Windows sistemlerinden oturum açma kimliklerini, parolaları ve kimlik doğrulama belirteçlerini çalmak için kullanılan, yaygın olarak kullanılan bir istismar sonrası aracıdır.
Cisco Hakkında Cisco, İnternet'i mümkün kılan dünyanın lider teknoloji şirketidir. Cisco, küresel ve kapsayıcı bir gelecek için uygulamalar, veri güvenliği, altyapı dönüşümü ve ekiplerin güçlendirilmesi için yeni olanaklar sunuyor.