WatchGuard 2023 3.çeyrek internet güvenliği raporu’nu yayınladı

WATCHGUARD 2023 3. ÇEYREK
 İNTERNET GÜVENLİĞİ RAPORU’NU YAYINLADI

Bütünleşik siber güvenlik alanında global bir önder olan WatchGuard® Technologies,Watchguard Tehdit Laboratuvarı araştırmacıları tarafından 2023’ün 3. çeyreğinde berbat maksatlı yazılım trendleri ve ağ güvenlik tehditleri ayrıntılandırılan İnternet Güvenliği Raporu’nu yayınladı. Bilgiler, siber saldırganların kimlik bilgilerine ulaşmak için parola hırsızlığına başvurduğunu, uç nokta fidye yazılımı ataklarında %89’luk bir yükseliş kaydedilirken uzaktan erişim yazılımlarının berbata kullanım oranının arttığını gösteriyor.

Bütünleşik siber güvenlik alanında global bir önder olan WatchGuard® Technologies, WatchGuard Tehdit Laboratuvarı araştırmacıları tarafından tahlil edilen en kıymetli makus emelli yazılım trendleri ile ağ ve uç nokta güvenliği tehditlerinin ele alındığı en son İnternet Güvenliği Raporu’nu açıkladı. Datalardan elde edilen değerli bulgular, 2023 yılının 3. çeyreğinde uzaktan erişim yazılımlarının berbata kullanımının arttığını, siber saldırganların kıymetli kimlik bilgilerini çalmak için parola ve bilgi hırsızlığını kullandığını ve tehdit aktörlerinin bir uç nokta saldırısı başlatmak için komut evrakı kullanmaktan başka living-off-the-land tekniğine geçtiğini gösteriyor. WatchGuard’ın Unified Security Platform® yaklaşımı ve WatchGuard Threat Lab’in evvelki çeyrek güncellemelleriyle üç aylık raporda tahlil edilen datalar WatchGuard’ın araştırma faaliyetlerini direkt desteklemek için faal WatchGuard ağ ve uç nokta eserlerinden elde edilen, anonimleştirilmiş toplu tehdit istihbaratına dayanıyor.

“Kurumlar, Bütünleşik Bir Güvenlik Yaklaşımını Benimsemeli”

Tehdit aktörlerinin hücum esnasında farklı formüller kullanmasıyla, kurumların güvenlik stratejilerini güçlendirmek için yeni trendleri daha çok takip etmeleri gerektiğini belirten WatchGuard Baş Güvenlik Sorumlusu Corey Nachreiner, “Güvenlik duvarları ve uç nokta muhafaza yazılımı içeren çağdaş güvenlik platformları, ağlar ve aygıtlar için gelişmiş müdafaa sağlayabilir. Lakin toplumsal mühendislik taktiklerini kullanan ataklar kelam konusu olduğunda son kullanıcı, berbat niyetli aktörler ile onların bir kuruma sızma başarısı ortasındaki son savunma sınırı haline gelir. Kurumların toplumsal mühendislik eğitimi vermelerinin yanı sıra, yönetilen hizmet sağlayıcılar tarafından faal bir halde uygulanabilecek savunma ögeleri sağlayan bütünleşik bir güvenlik yaklaşımını benimsemeleri kıymetlidir.” sözlerini kullandı.

İnternet Güvenliği 3. Çeyrek Raporu’nda yer alan kıymetli bulgular şunlar:

1. Tehdit aktörleri, makus emelli yazılım tespitinden kaçınmak için uzaktan idare araçlarını ve yazılımlarını giderek daha fazla kullanıyor. Bu durum hem FBI hem de CISA tarafından kabul ediliyor. Örneğin, Tehdit Laboratuvarı en âlâ kimlik avı alanlarını araştırırken, kurbanın TeamViewer’ın evvelden yapılandırılmış, yetkisiz bir sürümünü indirmesiyle sonuçlanan ve saldırganın bilgisayarına tam uzaktan erişim sağlayan bir teknik takviye dolandırıcılığı gözlemledi.

2. Uç nokta güvenliği akınları, Medusa fidye yazılımı cinsiyle 3. çeyrekte %89 artış gösteriyor. Uç nokta fidye yazılımı tespitleri 2023’ün 3. çeyreğinde azalmış görünse de Tehdit Laboratuvarı’nın otomatik imza motorundan alınan genel bir imza ile tespit edilen Medusa fidye yazılımı sürümü, birinci defa Top 10 makûs emelli yazılım tehdidi ortasında yer alıyor. Şimdiki olarak Medusa sürümlerinin de dahil olduğu fidye yazılımı atakları bir evvelki çeyreğe nazaran %89 oranında bir artış gösteriyor.

3. Tehdit aktörleri komut tabanlı akınları kullanmaktan vazgeçiyor ve giderek artan bir formda başka living-off-the-land tekniklerini kullanıyor. Kötü emelli komut evrakları, 2023’ün 2. çeyreğinde %41 oranında düşüşe geçerken 3. çeyreğe gelindiğinde de %11 oranında azaldı. Yeniden de komut evrakı tabanlı taarruzlar toplam atakların %56’sını oluşturarak en büyük akın çeşidi olma pozisyonunu sürdürüyor. PowerShell üzere komut evrakı lisanları ekseriyetle living-off-the-land tekniklerinde tercih ediliyor. Tıpkı vakitte alternatif olarak kullanılan Windows living-off-the-land evrakları ise %32 oranında artış gösterdi. Threat Lab araştırmacıları, tehdit aktörlerinin PowerShell ve öteki komut belgeleriyle ilgili daha fazla muhafazaya cevap olarak birden fazla living-off-the-land tekniğini kullanmaya devam ettiğini belirtiyor. Living-off-the-land tekniğini kullanan tehdit aktörleri en çok uç nokta taarruzlarına başvuruyor.

4. Şifrelenmiş kontaklar üzerinden gelen makus hedefli yazılımlar %48’e geriledi. Bu durum, tespit edilen tüm makûs maksatlı yazılımların yarısından biraz azının şifrelenmiş kontaklar üzerinden geldiğini gösteriyor. Bu oran, evvelki çeyreklere nazaran değerli ölçüde azaldığı için

dikkat alımlı bir sayı. Genel olarak toplam berbat hedefli yazılım tespitleri, Q3’te %14 oranında yükselişe geçti.

5. Makûs hedefli ilişkiler gönderen e-posta tabanlı bir yazılım, 3. çeyrekte tespit edilen en yeterli şifrelenmiş 5 berbat gayeli yazılımdan dördünü oluşturdu.  İlk 5’te yer alan yazılım cinslerinden biri hariç hepsi, bir e-posta oltalama teşebbüsünde ek olarak paylaşılan Stacked isimli programı içeriyordu. Tehdit aktörleri, bilinen bir gönderici tarafından paylaşılmış ve incelenmesi gereken bir evrak üzere görünen eklerin yer aldığı e-postalar gönderir. Böylelikle son kullanıcıları maksat alarak berbat emelli yazılımı indirmelerini sağlayarak onları kandırmayı gayeler. Stacked varyantlarından olan Stacked.1.12 ve Stacked.1.7 de Top 10 makus emelli yazılım tespitleri ortasında yer aldı.

6. Ticarileşmiş makus maksatlı yazılımlar ortaya çıkıyor. En güzel makûs gayeli yazılım tehditleri ortasında Top 10 listesine giren yeni bir berbat hedefli yazılım ailesi olan Lazy.360502, Vidar parola hırsızlığının yanı sıra 2345explorer reklam yazılımı varyantını da sunuyor. Bu makûs maksatlı yazılım tehdidi, bir kimlik bilgisi hırsızlığı sağlayan ve tehdit aktörlerinin çalınan kimlik bilgileri için ödeme yapabildiği bir “hizmet olarak şifre hırsızı” üzere çalışan bir Çin web sitesine bağlandı ve berbat gayeli yazılımların nasıl ticarileştiğini gösterdi.

7. Ağ akınları 3. çeyrekte %16 artış gösterdi. ProxyLogon, ağ ataklarında maksat alınan bir numaralı güvenlik açığı oldu ve toplamda tüm ağ tespitlerinin %10’unu oluşturdu.

8. Birinci 50 ağ taarruzunda üç yeni işaret ortaya çıktı. Bunlar ortasında 2012’de ortaya çıkan ve arabellek taşmasına yol açabilecek bir PHP Common Gateway Interface Apache güvenlik açığı yer alıyordu. Bir başkası ise 2016 yılında ortaya çıkan ve hizmet reddi saldırısına yol açabilecek bir Microsoft .NET Framework 2.0 güvenlik açığıydı. Ayrıyeten açık kaynaklı CMS olan Drupal’da 2014’ten kalma bir SQL zafiyeti güvenlik ihlali vardı. Bu güvenlik açığı, saldırganların kimlik doğrulamasına gerek kalmadan Drupal’ı uzaktan berbata kullanmasına müsaade veriyordu.

Kaynak: (BYZHA) Beyaz Haber Ajansı