Fidye yazılımı, 2. çeyrekteki çoğu saldırıda yalnızca en üst sıralarda yer almayı başardı. Üçüncü çeyrekte Cisco Talos Raporu, ilk kez eğitimin siber saldırılardan - fidye yazılımlarından - en çok etkilenen sektör olduğunu listeliyor.
Cisco Talos Incident Response (CTIR) analizine göre fidye yazılımları, 2022'nin üçüncü çeyreğinde tüm siber saldırıların başında geri döndü. İlk çeyrekte olduğu gibi şantaj girişimleri en yaygın saldırı yöntemi oldu. Hive ve Vice Society gibi iyi bilinen fidye yazılımı temsilcilerine ek olarak, Black Basta gibi yeni çeşitler kullanıldı. En çok etkilenen sektörlerde de bir değişiklik oldu: eğitim, telekomünikasyon sektörünün yerini aldı.
Saldırı Listesi: Önce Eğitim sonra Finans
Dünyanın en büyük ticari tehdit istihbaratı kuruluşlarından biri olan Talos, 2022'nin üçüncü çeyreği için üç aylık tehdit değerlendirmesini yayınladı. Buna göre saldırganlar en çok eğitim sektörünü hedef alırken, bunu finans, hükümet ve enerji sektörleri yakından takip ediyor.
Almanya'daki Cisco Talos teknik lideri Holger Unterbrink, "2022'de ilk kez telekom sektörü artık en çok saldırıya uğrayan sektör değildi" dedi. "Bu, dünyanın dört bir yanındaki şirketlerin koruyucu önlemlerini önemli ölçüde artırdığını ve bu nedenle saldırganlar için daha az kazançlı hedefler olduğunu gösterebilir. Şu anda eğitim sistemi, kamu sektörü ve enerji tedarikçileri, özellikle çok faktörlü kimlik doğrulama ve tehdit algılama çözümleri yoluyla savunmalarını güçlendirmek zorunda.”
Eski ve yeni fidye yazılımı
🔎 Talos Raporu'nun 3. çeyreğinde fidye yazılımı yine 1 numaralı saldırı tehdidi oldu (Resim: Cisco).
Üçüncü çeyrekte Talos, tanınmış fidye yazılımı aileleri Hive ve Vice Society aracılığıyla yapılan saldırıları giderek daha fazla gözlemledi. Avusturya'dan bir vakada gösterildiği gibi, Vive Society eğitim kurumlarına yönelik siber saldırılar için orantısız bir şekilde sıklıkla kullanıldı. Talos güvenlik araştırmacıları, olay günlüklerini analiz ederek, virüslü bir ana bilgisayarın Uzak Masaüstü Protokolü (RDP) aracılığıyla ağın diğer bölümlerine bağlanmak için çok sayıda girişimde bulunduğunu tespit etti. Bu, saldırganların sözde "yan hareketini" gösterdi. Burada kastedilen, bir bilgisayar korsanının güvenliği ihlal edilmiş bir sistemden istemci bilgisayarlarda erişim yetkilerine sahip kullanıcı bilgilerini bulma girişimidir ve bu bilgilerle daha sonra ağda hareket edebilir.
Talos ayrıca, TeamViewer ile ilgili URL'lere erişen 50'den fazla sistemle uzaktan erişim yazılımı AnyDesk ve TeamViewer'ın kullanımına ilişkin göstergeler buldu. Aynı zamanda, Windows Defender, SYSTEM hesabı aracılığıyla "AnyDesk.exe"nin yürütülmesi için bir istisna ile desteklendi.
Black Basta fidye yazılımı ön planda
Tanınmış fidye yazılımı ailelerine ek olarak, ilk olarak Nisan 2022'de ortaya çıkan yeni Black Basta varyantı da giderek daha fazla kullanılıyordu. Örneğin enjeksiyonları, iş parçacığı ele geçirme ve parola korumalı ZIP dosyaları kullanan Qakbot etkinlikleri tarafından hazırlandı. ABD'li bir şirkete yapılan bir saldırıda, saldırganlar muhtemelen önce HTML ekli bir kimlik avı e-postası göndermiştir. Açıldığında, daha sonra kötü amaçlı bir ZIP dosyası indiren bir JavaScript başlattı. Bu daha sonra, saldırganların Black Basta fidye yazılımını başlatmak için kullandıkları Qakbot Truva Atı'nı yükledi. Buna dayanan çifte şantaj tekniği özellikle kalleş: Kurban şifrelenmiş dosyaları için fidye ödemezse, toplanan hassas bilgilerin yayınlanma riski vardır.
Talos sonuçları, fidye yazılımının oluşturduğu tehdidin önlenmediğini açıkça ortaya koyuyor. Rapor, üçüncü çeyrekte ilk kez eşit sayıda fidye yazılımı ve fidye yazılımı öncesi vaka kaydetti ve bu vakalar, birlikte tehditlerin yaklaşık yüzde 40'ını oluşturuyordu. Fidye yazılımı öncesi faaliyetler, yukarıda açıklanan Black Basta vakasında olduğu gibi, fidye yazılımını daha sonraki dağıtım için hazırlar.
Bir fidye yazılımı tehdidine yol açan her etkinlik benzersiz olsa da ortak noktalar da vardır. Bunlar, ana bilgisayar numaralandırma, kimlik bilgileri toplama ve ayrıcalık yükseltmeyi içerir. Daha sonra herhangi bir fidye yazılımı kullanılmazsa, saldırgan önemli hasara neden olacak kadar veri çalmış olabilir.
Cisco.com'da daha fazlası
Cisco Hakkında
Cisco, İnternet'i mümkün kılan dünyanın lider teknoloji şirketidir. Cisco, küresel ve kapsayıcı bir gelecek için uygulamalar, veri güvenliği, altyapı dönüşümü ve ekiplerin güçlendirilmesi için yeni olanaklar sunuyor.