Saldırganlar uzak Windows sistemlerini giderek daha fazla hedef alarak, yeni verilere göre 2021’de yaklaşık dokuz kat artan uzak masaüstü protokolünü (RDP) çalıştıran sistemlere yönelik kimlik bilgisi doldurma saldırılarında bir artışa neden oldu.
ESET tarafından bu hafta yayınlanan bir rapor, 2021’de ESET tarafından tespit edilen 288 milyar RDP saldırısının 116 milyarını oluşturan parola tabanlı saldırıların en çok Avrupa ülkelerini (özellikle İspanya, İtalya, Fransa ve Almanya) vurduğunu gösteriyor. Saldırganlar ağırlıklı olarak RDP’yi hedef alıyor. Rapora göre, sunucular ayrıca veritabanına ve dosya paylaşım sunucularına milyarlarca oturum açma girişimi gönderdi.
Toplamda, kimlik bilgisi doldurma ve diğer parola tabanlı saldırılar, harici ağ saldırı vektörlerinin %46’sını oluşturuyordu.
Bir güvenlik araştırması olan Ondrej Kubovič, bu tür saldırılara odaklanmanın, şirketlerin uzaktan erişilebilen herhangi bir hizmetin doğru şekilde kurulmasını ve yamalanmasını ve güçlü parolalar, çok faktörlü kimlik doğrulama ve çok katmanlı güvenlik ürünleri gibi uygun koruyucu önlemlerin kullanılmasını sağlamaları gerektiği anlamına geldiğini söylüyor. ve ESET’te farkındalık uzmanı.
“Parola tahmin etme saldırılarının ölçeği önemli ölçüde değişti” diyor. “Orada gruplar var – [whether] Parola tahmin etme kapasitelerini artıran ve böylece doğru parola-kullanıcı adı kombinasyonuna ulaşma ve ilk erişimi elde etme şansını artıran kalem test uzmanları, iç güvenlik, suçlular veya karmaşık tehdit aktörleri.”
Uzaktan Çalışmaya Açık Kimlik Bilgileri
Saldırganların varsayılan veya çalıntı kimlik bilgilerini kullanarak uzak ve bulut hizmetlerinde oturum açmaya odaklanması, kuruluşların çalışanlarının çoğunun evden çalışmaya devam etmesiyle birlikte uzaktan çalışmaya geçtiği göz önüne alındığında şaşırtıcı değildir.
Kubovič’e göre tek iyi haber, şirketlerin kimlik bilgileri, uzak hizmetler ve bulut uygulamalarıyla ilgili güvenliği artırmış olmaları.
“Bu şaşırtıcı sayıda kaba kuvvet saldırısını bildiren benzersiz cihazların sayısı 2021 boyunca sabit kaldı [and] hatta üçüncü dönemde biraz küçüldü” diyor ve ekliyor: “Bu bize, kuruluşların yeni uzaktan erişilebilir sistemleri açığa çıkarmadığını, ancak zaten erişilebilir olanların artan bir güçle ezildiğini gösteriyor.”
RDP saldırıları dokuz kat artsa da, 2021’de tespit edilen tüm tehditlerin hacmi %16 küçüldü, rapora göre2021’in son dört ayına odaklanan ve tüm yıl için bilgileri özetleyen . Rapora göre, fidye yazılımı tehditlerinin ve Web tehditlerinin her biri neredeyse yarı yarıya azalırken, indiriciler yaklaşık %40 oranında azaldı. Ancak, kimlik avı ve Truva atları gibi e-posta tehditleri %145 arttı.
Kimlik avı saldırıları, sahte ilaçlar ve dolu gelen kutuların hatırlatıcıları gibi popüler konuları kullandı, Japonya, Fransa ve Amerika Birleşik Devletleri’ni sular altında bıraktı.
ESET Tehdit Algılama Laboratuvarları başkanı Jiří Kropáč raporda, “Mayıs ayından bu yana sürekli büyüyen kimlik avı, ister uzaktan çalışma için kullanılan platformlar, isterse çeşitli akış ve medya sağlayıcıları olsun, popüler çevrimiçi ve bulut hizmetlerinin kullanıcılarını giderek daha fazla hedef alıyor” dedi. “2022’de, büyük markalardan yararlanan kampanyaların yanı sıra mevcut trendlere dayanan daha küçük fırsatçı kampanyalarla karşılaşmaya devam edeceğiz.”
ESET araştırmacısı Mathieu Tartare, raporun ESET’in telemetrisinden topladığı verilere dayandığını ancak şirketin iyi niyetli taramaları araştırmacılardan ve saldırganların kötü niyetli taramalarından ayırmanın her zaman bir yolunun olmadığını söylüyor. Taramalar genellikle bir saldırganın keşfinin bir parçasıdır ve yalnızca potansiyel olarak savunmasız sistemlerin bir listesini oluşturmaya hizmet eder.
Ancak, popüler ProxyShell istismarını kullanan Microsoft Exchange sunucularına yönelik taramalar gibi bazı durumlarda, etkinlik kötü amaçlı veya zararsız olarak sınıflandırılabilir.
“Biz [typically] taramayı bir araştırmacı mı, kalem test cihazı mı, siber suç grubu mu yoksa APT grubu mu gerçekleştirdiğini bilmemizin hiçbir yolu yok” diyor ve ekliyor: “Ancak, tarama faaliyetleri yerine istismar girişimlerini düşünürsek, ProxyShell durumunda, bazı engellenmiş Web kabukları veya ilk aşamalar belirli APT grupları tarafından kullanılır, bu da saldırıları ilişkilendirmemize ve araştırma veya kalem testi faaliyetlerini hariç tutmamıza izin verir.”
Log4Shell
Kubovič, ilgili trendlerden birinin, saldırganların en son güvenlik açıklarını ve istismarları uyarlama hızı olduğunu söylüyor. Saldırganlar, örneğin birkaç hafta içinde birçok şirketi savunmasız bırakan Log4Shell istismarını kullanmaya başladı.
“2021’de benim için göze çarpan tek nokta, siber suçluların ve APT gruplarının yakın zamanda yayınlanan kritik güvenlik açıklarından ne kadar hızlı yararlandığıydı” diyor. “Bu yüzden şirketlerin 2022’de daha fazla odaklanması gereken tek şey, ağlarındaki her cihaza ve sisteme görünürlükleri olduğundan emin olmak ve hepsini yamalı halde tutmak – çok zor, biliyorum.”