Gibi siber güvenlik Tehditlerin ölçeği, karmaşıklığı ve amacı artmaya devam ettiğinden, kuruluşların siber savunmaları güçlendirmeye yardımcı olacak şekilde en iyi aktörleri, ortaya çıkan riskleri ve ortamı şekillendiren gelişen teknikleri anlaması hayati önem taşıyor.
Bridewell’in yakın tarihli bir raporu, düşmanca ortamın geçen yıl ne kadar dinamik hale geldiğini vurguluyor.
Bridewell Siber Tehdit İstihbaratı Baş Lideri.
Tehdit aktörleri davranışlarını değiştirdi, yöntemlerini geliştirdi ve taktiklerini uyarladı.
Kuruluşların yakın tehditlerle mücadele etmek için bilmesi gereken bazı önemli çıkarımları burada bulabilirsiniz.
Veri Hırsızlığının ve Gaspın Yükselişi
Tarihsel olarak, fidye yazılımı Taktikler öncelikle kurban verilerinin şifrelenmesi ve şifre çözme anahtarları için ödeme talep edilmesi etrafında yoğunlaşıyordu. Ancak son saldırılar taktiklerde bir değişikliğin altını çiziyor; tehdit aktörleri artık fidye ödenmediği takdirde çalınan bilgileri yayınlamakla tehdit ederek veri hırsızlığına ve gasplara öncelik veriyor.
Buna, Warlock fidye yazılımı grubunun Birleşik Krallık telekom sağlayıcısı Colt Technology Services’e yapılan bir saldırıda tanık olundu. Microsoft Şirketin sistemlerine sızmak için SharePoint.
Saldırganlar, çalışanların maaş bilgileri, mali kayıtlar, müşteri sözleşmeleri ve ağ mimarisi ayrıntıları da dahil olmak üzere yüzlerce gigabaytlık hassas veriyi çaldı. Fidyenin ödenmemesinin bir sonucu olarak grup, daha sonra Rus Tor forumunda bir milyondan fazla belgenin satışa sunulduğu bir dosya listesi yayınladı.
Benzer şekilde, Clop fidye yazılımı grubu, Mayıs 2023’te, MOVEit dosya aktarım yazılımındaki (CVE‑2023‑34362) sıfır gün güvenlik açığından yararlanarak BBC ve Boots gibi yüksek profilli şirketler de dahil olmak üzere yüzlerce kuruluştan büyük miktarda veri sızdırarak bu değişimi gösterdi. Clop, sistemleri şifrelemek yerine, çalınan bilgileri sızıntı sitesi aracılığıyla kamuya yayınlamakla tehdit etti.
Bu evrim, özellikle katı gizlilik yasalarına sahip yargı bölgelerinde, kuruluşların karşılaştığı giderek artan düzenleme ve itibar baskılarından yararlanıyor. Sırasında şifrelemetabanlı saldırılar, kritik hizmetlerin geri yüklenmesinin aciliyeti nedeniyle genellikle daha büyük bireysel fidye talepleriyle sonuçlanır. Ayrıca iyileştirmeler veri kurtarma ve yedekleme kontrolleri, istemeden de olsa veri hırsızlığını ve gaspı saldırganlar için daha etkili bir alternatif haline getirdi.
“Com” veya “Community” olarak bilinen bir kolektifle bağlantılı Scattered Spider ve Shiny Hunters gibi hacker grupları tarafından son zamanlarda gerçekleştirilen büyük veri hırsızlığı operasyonları, aşağıdaki gibi büyük yazılım servis sağlayıcılarını hedef aldı: Satış gücü ve platformlarıyla entegre olan diğer şirketler. Bu durum, kurbanların dosyalarını şifrelemek için fidye yazılımı dağıtmak yerine veri hırsızlığı ve gasp kullanma isteğini bir kez daha ortaya çıkardı.
Güvenlik Açıklarından ve Uç Cihazlardan Yararlanma
İnternete bakan sistemlerdeki ve uç cihazlardaki yama uygulanmamış güvenlik açıkları, fidye yazılımı grupları için birincil saldırı vektörü olmaya devam ediyor. Saldırganlar, yaygın olarak kullanılan teknolojilerdeki kusurlardan yararlanıyor. VPN’lerşirket sistemlerine ilk erişimi sağlamak için uzaktan izleme araçları ve ağ cihazları. Bu güvenlik açıkları geniş ölçekte kitlesel güvenlik ihlallerine olanak tanır ve başarılı fidye yazılımı kampanyalarına önemli bir katkıda bulunur.
2024 yılında kötü şöhrete sahip fidye yazılımı grupları Clop ve Termite, yönetilen dosya aktarım hizmetlerine yönelik saldırılar gerçekleştirme konusunda son derece yetkin aktörler olarak ortaya çıktı. Ayrıca bu yılın başlarında Clop, entegrasyon yazılımındaki sıfır gün güvenlik açığından (CVE-2024-50623) yararlanarak kurumsal entegrasyon ve yönetilen dosya aktarım yazılımı sağlayıcısı Cleo’yu hedef aldı.
Bu saldırı, başta telekomünikasyon ve sağlık sektörleri olmak üzere 80’den fazla kuruluşu etkileyerek önemli miktarda verinin açığa çıkmasına ve operasyonel kesintiye neden oldu. Yakın zamanda, çeşitli tehdit aktörlerinin yama yapılmamış Fortinet, Cisco ve Ivanti cihazlarını hedef alan yaygın saldırılar düzenlediğini gördük. Buna Qilin, Akira ve Ransomhub fidye yazılımı gruplarıyla ilişkili erişim aracıları ve bağlı kuruluşlar da dahildir.
Fidye yazılımı aktörleri, kritik öneme sahip ortamları bozmak amacıyla VMware ESXi ortamları gibi hipervizörleri hedeflemeye devam ediyor BT altyapısı hızlıca. VanHelsing ve DragonForce gibi gruplar son saldırılarla ilişkilendirildi ve bu taktiği devam eden kampanyalarda aktif olarak kullanıyor.
Bu arada, rakipler çabalarını, genellikle savunmasız sürücülerin veya yerel yazılım özelliklerinin kötüye kullanılmasıyla elde edilen ‘EDR katilleri’ olarak bilinen Uç Nokta Tespit ve Yanıt (EDR) sistemlerinden kaçmaya yönelik yetenekler geliştirmeye doğru kaydırıyor.
Bu saldırıların başarısı, Tehdit aktörlerinin normal sistem veya ortam operasyonlarına fark edilmeden karışmasını sağlayarak EDR araçlarından kaçmak için kullanılan başka bir yöntem olan Karada Yaşayan İkili Sistemler (LOLBIN’ler) ve Uzaktan İzleme ve Yönetim (RMM) araçlarının artan kullanımıyla daha da arttı; bu da kuruluşlar için tespit ve hafifletmeyi önemli ölçüde zorlaştırıyor.
Saldırgan güvenlik araçlar fidye yazılımı operasyonlarının merkezinde yer almaya devam ediyor. Microsoft’un Dijital Suçlar Birimi (DCU), Fortra ve Sağlık Bilgi Paylaşımı ve Analiz Merkezi’nin (Health-ISAC) son yıllarda Cobalt Strike’ın yetkili, eski kopyalarının kullanımıyla mücadeleye yönelik ortak çabalarına rağmen, fidye yazılımı operatörleri arasında en yaygın kullanılan saldırı güvenlik aracı olmaya devam ediyor.
Fortra, son iki yılda doğada gözlemlenen izinsiz kopyalarda %80’lik bir azalma rapor etse de, kötü amaçlı C2 altyapısı daha saygın barındırma sağlayıcılarından kaldırıldığı ve operatörler onu daha az saygın olanlara yeniden yerleştirdiği için gerçekte durum bir kedi-fare oyunu olarak kalıyor.
Yine de bu değişim, savunmacılar için hâlâ bazı taktiksel avantajlar sunuyor; çünkü alt düzey sağlayıcılarda barındırılan altyapının, yeni nesil güvenlik duvarları ve web proxy’leri gibi güvenlik ürünleri tarafından engellenme olasılığı daha yüksek.
Bu arada, Metasploit, Sliver, Brute Ratel gibi diğer saldırı araçları ve daha yakın zamanda Pyramid C2 gibi varyantlar da ortaya çıktı. Pythontabanlı komuta ve kontrol (C2) çerçevesi ve Adaptix C2 giderek popülerlik kazanıyor.
Son düşünceler
2026’ya girerken, siber suçluların daha çevik, daha fırsatçı ve hem teknik zayıflıklardan hem de kurumsal kör noktalardan yararlanma konusunda daha kararlı hale geldikleri açıktır. Veri hırsızlığının öncelikli olduğu gasp modellerinin yükselişte olması, uç cihazların hedeflenmesinin artması ve EDR’den kaçınma araçlarının sürekli olarak geliştirilmesiyle, savunmacılar eşit derecede uyarlanabilirlik gerektiren, hızla gelişen bir zorlukla karşı karşıyadır.
Kuruluşlar proaktif yama uygulamaya öncelik vermeli, hibrit ortamlarda izlemeyi güçlendirmeli ve rakiplerin değişen taktiklerine ayak uyduracak tehdit istihbaratına yatırım yapmalıdır. Hazırlıklı olma, görünürlük ve olaylara güçlü müdahale yoluyla şimdi dayanıklılık geliştirenler, önümüzdeki tehditlere karşı koymak için en iyi konumda olacaklar.
En iyi Antivirüs Yazılımını bulun: uzman incelemeleri, testler ve sıralamalar.