Tehdit aktörleri, 2022’nin ilk çeyreğinde bir ilk saldırı vektörü olarak kimlik avı e-postalarını iki katına çıkardılar – ve çoğu durumda bu erişimi fidye yazılımlarını bırakmak veya kuruluşları başka yollarla gasp etmek için kullandılar.
Kroll araştırmacıları yakın zamanda bu yılın ilk üç ayında yanıt verdikleri güvenlik olaylarından toplanan verileri analiz etti. Analiz, geçen yılın aynı dönemine kıyasla ilk erişim için kimlik avı vakalarında %54 artış olduğunu gösterdi.
Microsoft’un 2021’in ilk çeyreğinde Exchange Server’daki ProxyLogon güvenlik açıkları grubunu açıklamasından bu yana ilk kez, e-posta güvenlik ihlallerine bağlı olaylar, fidye yazılımlarıyla ilgili olayları geride bıraktı. Kroll, kimlik avı etkinliğindeki keskin artışın, muhtemelen Emotet ve IceID kötü amaçlı yazılımlarına bağlı etkinlikteki bir artışın sonucu olduğunu açıkladı – tehdit aktörleri her ikisini de diğer kötü amaçlı yazılımları bırakmak için kullanıyor.
Çoklu Saldırı Vektörleri
Kroll’un analizi, saldırganların ilk dayanaktan yararlandı Fidye yazılımlarını ve kötü amaçlı yazılımları bırakmak ve herhangi bir fidye yazılımı veya şifreleme olmadan şantaj yapmak dahil olmak üzere çeşitli şekillerde kimlik avı yoluyla elde edilir.
Kroll’un ilk çeyrekte araştırdığı bir olayda, rakipler, şirketteki bir BT çalışanının gönderdikleri bir kimlik avı e-postasına tıklamasından sonra bir kuruluşun küresel yönetici kimlik bilgilerini aldı. Düşmanlar, BT ekibinin diğer üyelerine ve C-suite’e ait birden fazla e-posta hesabını devralmak için kimlik bilgilerini kullandılar ve bu da hassas kurumsal verileri indirmek için kullandılar. Saldırganlar, saldırının durması karşılığında fidye talebinde bulundular.
Diğer durumlarda, Kroll’un araştırmacıları, bir güvenlik açığından yararlanarak ve ardından bu erişimi ikna edici görünen kimlik avı kampanyaları başlatmak için kullanarak bir ağa giren saldırganları belirledi. Bir olayda, saldırganlar hedef ağa erişmek için Exchange Server’daki ProxyShell güvenlik açığından yararlandı. İçeri girdikten sonra saldırganlar, eski bir dahili e-posta ileti dizisine verilen yanıta kötü amaçlı bir .zip dosyası ekleyerek çalışanları kimlik avına çıkarmaya çalıştı. .zip dosyası bir fatura görünümündeydi ve güvenilir bir dahili kaynaktan geliyormuş gibi görünüyordu: Birkaç kullanıcı dosyayı açtı ve farkında olmadan sistemlerinde IcedID’yi indirdi. Kroll, bu organizasyonun iki hafta sonra QuantumLocker fidye yazılımıyla vurulduğunu söyledi.
Kimlik avı, saldırganların bir hedef sistem veya ağ üzerinde ilk erişimi denemek ve elde etmek için kullandıkları tek taktik değildi. Kroll’un araştırdığı birkaç olayda, tehdit aktörleri Conti, AvosLocker ve QuantumLocker gibi fidye yazılımlarını hedef ağlara bırakmak için bir dayanak elde etmek için ProxyLogon ve Log4Shell gibi geniş çapta duyurulan güvenlik açıklarından yararlandı.
Yetersiz Savunma
Kimlik avı önleme hizmetleri sağlayıcısı SlashNext’in CEO’su Patrick Harr, mevcut kuruluşların savunmalarının, kuruluşun içinden geliyormuş gibi görünen saldırılara karşı tam olarak korunmak için tasarlanmadığını söylüyor. “Çalışan farkındalığı eğitimi ile meşru hizmetlerden gelen kimlik avını durduramazsınız” diyor. “Kimlik avı, fidye yazılımı saldırıları için bir vektör olarak büyümeye devam ederken, sıfır saat, gerçek zamanlı tehdit önleme çözümleri bu tehditleri önlemek için kritik öneme sahip.”
Son iki yılda evden çalışma modellerinin daha geniş çapta benimsenmesi, saldırganların kimlik avı kampanyalarında çalışanları hedef almasını ve bundan kurtulmasını da kolaylaştırdı. “Uzaktan çalışma, kesinlikle tehdit aktörlerinin yürütmesi için daha fazla fırsat yarattı. [business email compromise] ve diğer kimlik avı saldırıları,” diyor Lookout güvenlik çözümleri kıdemli yöneticisi Hank Schless. “Çalışanlar, ofiste başka birinin masasına gidemedikleri için, bilinmeyen metinleri veya e-postaları doğrulamakta çok daha zorlanırlar.”
Dahili iletişim için akıllı telefonlara ve tabletlere artan güvenin çeşitli sorunlar yarattığını da ekliyor. Örneğin, mobil cihazlarda hedeflenen kimlik avı saldırılarını yakalamak, masaüstünden çok daha zordur. Kullanıcılar ayrıca bağlantı hedeflerini önizleyemez veya gönderenin kimliğini doğrulayamaz. Bu nedenle, çalışanların kimlik avı farkındalık eğitimlerinin bir parçası olarak tanımak üzere eğitildikleri pek çok şeyi bir mobil cihazda tespit etmek zor veya neredeyse imkansız, diyor Schless.
Geçici Fidye Yazılımı Bırakma
Kroll’un analizi, fidye yazılım saldırılarının – tüm saldırıların bir oranı olarak – 2021’in dördüncü çeyreği ile 2022’nin ilk çeyreği arasında %20 ve 2021’in üçüncü çeyreği ile 2022’nin ilk çeyreği arasında %30 düştüğünü gösterdi. Kroll, saldırılardaki düşüşün, kolluk kuvvetlerinin REvil gibi gruplar tarafından kötü niyetli faaliyetleri kesintiye uğratmasından kaynaklandığını söyledi. Kroll, fidye yazılımı saldırılarındaki yavaşlamaya büyük olasılıkla katkıda bulunan bir başka faktörün de BlackMatter gibi gruplar tarafından olay yerinden gönüllü olarak çıkış yapılması olduğunu ekledi.
Bununla birlikte, 2022’nin ikinci çeyreğine ait erken veriler, fidye yazılımı aktörlerinin yeniden gruplandığını ve Kroll’a göre yakında normal faaliyet seviyelerine devam etmeye hazırlandıklarını gösteriyor.
Digital Shadows’un daha önceki bir raporu, 2022’nin ilk çeyreğinde fidye yazılımı olaylarında benzer bir düşüşe işaret etti, ancak bu alanda kurumsal kuruluşlar için etkileri olabilecek yeni ortaya çıkan eğilimlere işaret etti. Bir örnek, fidye yazılımı gruplarının, o ülkenin Ukrayna’ya karşı savaşında Rusya’nın yanında veya Rusya’ya karşı hizaya girme eğilimidir.
Kroll gibi, Digital Shadows araştırmacıları da gasp içeren olayları gözlemlediler. fidye yazılımı dağıtılmadı. Her iki şirket tarafından belirtilen bir örnek, 2022’nin ilk çeyreğinde çeşitli teknoloji ve güvenlik firmalarını hedef alan Lapsus$ (diğer adıyla DEV-0537) adlı bir grubun saldırılarıydı. Bazı olaylarda, saldırganlar hedef kuruluşların web sitelerini tahrif etti. ve bir fidye yazılımı saldırısına uğradıklarını iddia etti. Diğer bir durumda grup, verileri sızdırmak için çalınan kimlik bilgilerini kullandı ve ardından kurbanları, fidye ödenmediği takdirde verileri kamuya açıklayacakları konusunda tehdit etti.