Palo Alto Networks, siber suçluların özellikle yeni ortaya çıkan sıfırıncı gün güvenlik açıklarından yararlanma konusunda giderek daha hızlı hale geldiği konusunda uyarıyor.
600 olay müdahale vakasına ilişkin 2022 raporunda şirket, saldırganların genellikle açıklandıktan sonraki 15 dakika içinde bir güvenlik açığından nasıl yararlanılacağını araştırmaya başladığını söylüyor.
Açıklanan güvenlik açıklarından hızlı yararlanma
Analiz edilen güvenlik açıkları arasında, Exchange ProxyShell ve ProxyLogon sunucuları, kalıcı Apache Log4j takma adı Log4Shell güvenlik açıkları, sıfırıncı gün SonicWall ve Zoho ManageEngine ADSelfService güvenlik açıkları dahil olmak üzere 2021’de çok fazla konuşulmasına neden olan güvenlik açıkları yer alıyor.
Şirket yaptığı açıklamada, “Yeni bir güvenlik açığı herkese açık hale getirildiğinde, tehdit istihbarat ekibimiz savunmasız sistemlerin yaygın bir şekilde tarandığını gözlemler” diyor. 2022 olay müdahale anketi.
Ayrıca F5’in Big-IP yazılımında, saldırganların ilgili cihazlar için internette hızlı bir şekilde arama yapmasına neden olan kritik bir kusuru var. Palo Alto Networks, imzanın dağıtılmasından sonraki 10 saat içinde 2.500 güvenlik açığı taraması kaydetti. ABD siber güvenlik ajansı CISA, bu güvenlik açığını geçen Mayıs ayında, artan bilinen açıklardan yararlanılan güvenlik açıkları kataloğuna ekledi.
Kimlik avı ve boyun-boyun güvenlik açıklarından yararlanma
Kimlik avı, başlangıçta bir ağa erişmenin ana yöntemi olmaya devam ederken, analiz edilen olay yanıt vakalarının %37’sinde, vakaların %31’ini temsil eden yazılım güvenlik açıkları hemen geridedir.
Bunu, saldırıların %9’unu temsil eden kimlik doğrulama verilerine (parola püskürtme gibi) yönelik kaba kuvvet saldırıları izler. Ardından, güvenliği ihlal edilmiş kimlik doğrulama verilerinin kullanılması (%6), içeriden gelen tehditler (%5), sosyal mühendislik (%5) ve ilişkilerin veya güven araçlarının kötüye kullanılması (%4) gibi daha az yaygın saldırı kategorileri.
İlk erişimin kaynağı olarak tanımlanan güvenlik açıklarının %87’sinden fazlası altı güvenlik açığı kategorisinden birine girer.
Exchange güvenlik açıklarının önemi
En yaygın ilk erişim güvenlik açıkları, %55 oranında Exchange ProxyShell sunucu güvenlik açıklarıdır. Microsoft, 2021’in başlarında ProxyShell ve ilgili ProxyLogon kusurlarını düzeltmek için acele etti, ancak bu kusurlar, Hive fidye yazılımı grubu da dahil olmak üzere birçok siber suçlu için birincil hedef haline geldi.
Log4j, Palo Alto tarafından incelenen vakaların sadece %14’ünü oluşturuyordu. Bunu SonicWall (%7), ProxyLogon (%5), Zoho ManageEngine (%4) ve FortiNet (%3) kusurları takip ediyor. Diğer güvenlik açıkları kalan %13’ü oluşturuyor.
Yalnızca fidye yazılımı içeren olay yanıtlarına bakıldığında, firma %22’sinin bu yıl sızdırılan Conti çetesinden geldiğini ve ardından LockBit 2.0’ın (%14) geldiğini tespit etti. Diğer fidye yazılımı çetelerinin her biri %10’dan daha azını oluşturur: Hive, Dharma, PYSA, Phobos, ALPHV/BlackCat, REvil ve BlackMatter.
Niteliksiz siber suçluların sayısının artması bekleniyor
Palo Alto Networks ayrıca, hem kazançlı fidye yazılımı saldırılarının cazibesi, hem de şifreleme olmadan gasp kolaylığı ve aynı zamanda dünyanın her yerindeki ekonomik baskılar tarafından körüklenen, vasıfsız aktörleri içeren saldırıların sayısında bir artış öngörüyor.
Siber suçlular tarafından kullanılan kripto para cüzdanlarını izlemede kolluk kuvvetlerinin başarıları ve bu sanal para birimlerinin istikrarsızlığı, e-posta güvenliği dolandırıcılığında (BEC saldırıları) bir artışa yol açabilir. “İş E-postası Uzlaşması” için BEC olarak adlandırılan bu saldırılar, operatörleri için 43 milyar dolar gelir anlamına geliyor. Eşit derecede tehdit edici olan bu saldırılar, fidye yazılımı saldırılarından daha az duyurulmaktadır.
Kaynak : ZDNet.com