2021-07-13T16:58:39+03:00
Ana Sayfa Teknoloji 13 Temmuz 2021 208 Görüntüleme

Fidye yazılımı saldırılarıyla ilgili çok çarpıcı araştırma

Cisco Talos Incident Response (CTIR) üst üste yedinci çeyrekte den tekrar fidye yazılımlarının plus süregelen tehdit olduğunu belirleme etti. Kasım 2020 ile Ocak Ayı 2021 arasında bu türün plus süregelen örnekleri ise Ryuk ve Vatet oldu. Cisco Talos bunun dışında Egregor ve WastedLocker varyantlarının da dünya çapında detaylı kuruluşları amaç almaya devam ettiğini saptadı. 

Önceki çeyreğin aksine bu fidye yazılımı saldırılarının büyük fazlalığı ticari truva atı belge dosyaları gönderen Zloader, BazarLoader ve IcedID gibi kimlik avı uygulamalarından faydalanıyordu. Son çeyrekte fidye yazılımı saldırılarının aşağı yukarı yüzde 70’inde ticari truva atı yazılımları kullanıldı. Bilgisayar korsanları bunun dışında Cobalt Strike gibi ticari vasıtalar, Bloodhound gibi açık kaynaklı erişim ardından korsanlık araçları ve PowerShell gibi kurbanın sisteminde esasen tespit edilen araçlardan faydalandı. 

Fidye yazılımlarının sektörler çapında kafaya çıkması güç bir siber emniyet tehdidi olmaya devam ettiğini söyleyen Cisco Orta Doğu ve Afrika Bölgesi Siber Emniyet Direktörü Fady Younes, şöyle dedi: “Ticari truva atları söz hususu olduğunda, süratli ve etkili neticeler amacıyla alınıp satılabilen saldırılardan konuşuyoruz. Bazen bedava indirilen truva atları dahi oluyor. Yalın kimlik avı e-postaları yolu ile bilgisayar korsanları ağlara sızabiliyor, istihbarat toplayabiliyor ve bunun neticesinde uzun vadeli zararlar verebiliyor. Paket durumunda yayılan bu siber suç araçlarının basitçe ulaşılabilir olmasının beraberinde, daha düşük tecrübeli saldırganların dahi kullanabilir olduğunun göz önünde bulundurulması gerekiyor. Bundan dolayı şirketlerin, çalışanlarını şüpheli e-postaları nasıl belirleme edip başka kişileri uyarabilecekleri konusu ile ilgili sıksık bilgilendirmesi gerekiyor. Karar vericilerin bir sorumluluğu da kapsamlı yamalar program ve uç noktaları koruma gibi siber emniyet önlemleriyle etkili bir savunma hattı yaratarak BT sistemlerinin güvenliğini sağlamaktan da mesul.” 

CTIR, şirketlerin truva atı bulaşmış güncellemeleri farkında olmadan SolarWinds’te süregelen sarfedilen Orion yazılımına indirmiş olduğu olay müdahaleleriyle den karşılaştı. Bu müdahalelerden sadece birisinde düzenin ele geçirilmesinden ileri (post-compromise) eylemler kullanılmıştı. 

Buna ideal olarak Microsoft, Exchange Sunucu’da dört emniyet açığı belirtti ve Hafnium isminde bir tehdit aktörünün bu emniyet açıklarını kullanarak detaylı şirketleri amaç alan internet kabukları attığını bildirdi. Kısa vakit sonra, APT’lerden kripto para madenciliği gruplarına kadar diğer tehdit aktörleri den bu emniyet açıklarından faydalanarak on binlerce şirketin hareketlerini etkiledi. CTIR, Microsoft Exchange emniyet açıklarının kullanıldığı giderek yükselen sayıda vakaya araya girmek ediyor. 

Hücum aktörleri ise bugüne dek işletme idaresi, inşaat, eğitim, enerji ve kamu hizmetleri, eğlence, finans, devlet kurumları, sıhhat, saniyesel dağıtım, hukuk, üretim ve teknoloji başta olmak suretiyle detaylı sektörlere saldırılar gerçekleştirdi. 

Saldırganların en çok amacı olan sektör sıhhat sektörü olurken, bu hal, sıhhat kuruluşlarını amaç aldığı tanınan Vatet isimli kötü niyetli yazılımının kullanımındaki artışı da kısmen açıklıyor. CTIR, başlangıçta belirli bir eyaletteki hastaneyle temaslı çevresel hastanelerin saldırıya uğradığı ve bilhassa büyülenen kuruluşa aktif VPN bağlantısının olması halinde ileri saldırılar amacıyla sıçrama tahtası fonksiyonu görebildiği potansiyel bir örüntü belirleme etti. Saldırganların sıhhat sektörüne saldırmasının nedenlerinden birinin den mağdur olan sıhhat kuruluşlarının COVID-19 döneminde hizmetlerini sağlamaya yeterli olduğunu düşündüğü kadarı ile süratli bir biçimde devam etmek istemesi bulunduğu görülüyor.

Haberci Android Uygulama
Haberci Android Uygulama