Saldırganlar, genellikle kötü amaçlı yazılım kullanmaktan kaçınarak, ağ izinsiz girişlerine giderek daha fazla uygulamalı bir yaklaşım benimsiyor; ayrıca bir ağdaki diğer sistemlere bulaşmak için ilk uzlaşmadan geçmek için gereken süreyi de azalttılar.
Bu, Salı günü yayınlanan bir raporda hem hedefli saldırıların hem de etkileşimli izinsiz girişlerin genel olarak arttığını tespit eden siber güvenlik hizmetleri firması CrowdStrike’a göre. Firmanın telemetrisine göre, Haziran ayında sona eren 12 ay boyunca, hedefli saldırılar tüm saldırıların %18’ini oluştururken, önceki 12 ayda %14’tü.
Şirket, saldırganların ayrıca, bu tür saldırılarda neredeyse %50’lik bir artışla, uzlaşmalara uygulamalı bir yaklaşım benimseyen etkileşimli izinsiz girişlere de odaklandığını tespit etti. Şaşırtıcı olmayan bir şekilde, uygulamalı saldırılardaki artış, kötü amaçlı yazılımlara daha az bağımlılık anlamına geliyordu – şirket, CrowdStrike tarafından tespit edilen tüm olayların %71’inin kötü amaçlı yazılım içermeyen etkinlik gösterdiğini söyledi.
Teknoloji sektörü, saldırıların yaklaşık %20’sinin endüstri sektörünü hedef almasıyla en çok saldırının odak noktası olmaya devam ederken, telekomünikasyon %10 ile en çok hedeflenen ikinci sektör oldu ve saldırıların yaklaşık %8’ini imalat oluşturdu. Siber suç saldırıları, CrowdStrike tarafından araştırılan tüm güvenlik olaylarının %43’ünü oluşturuyor. Raporda belirtilen firma.
Ulus-Devlet Siber Saldırılarında Yükseliş
CrowdStrike’ın Falcon OverWatch grubunun başkan yardımcısı Param Singh, siber saldırgan taktiklerindeki değişikliklerin özel siber suç tekliflerinden ve ulus devlet saldırılarındaki artıştan kaynaklandığını söylüyor.
“Bu artış kısmen, benzeri görülmemiş sayıda yeni suç güdümlü düşman grubun ortaya çıktığını ve mali kazanç için kazançlı fırsatlardan yararlanmak amacıyla çeteye katıldığını gören gelişen e-suç ortamı tarafından yönlendiriliyor” diyor. “Ayrıca, gelişen jeopolitik manzaraya ve küresel makro olaylara yanıt olarak devlet temelli düşmanların hedeflenen izinsiz giriş faaliyetlerinde uzun süreli bir artış oldu.”
Daha fazla ele geçirilmiş kimlik bilgileri ve daha fazla hizmet, rakiplerin savunmasız sistemleri hızla seçebilmesi ve esas olarak talep üzerine erişim elde edebilmesi anlamına geliyor ve bu da daha hızlı kırılma sürelerine yol açıyor, diyor. Aynı zamanda, ileri düzey aktörler aynı hizmet için erişim araçlarını kullanabildikleri için, bir köprübaşı kazanabilir ve kurbanlarını etkileşimli olarak hackleyebilirler.
Daha kısa bir ara süresi normalde saldırganların daha fazla otomasyon kullandığını gösterir, ancak CrowdStrike’ın tehdit avcıları, saldırganların etkileşimli hacklemeyi daha sık kullandığını keşfetti. Singh, oyunda iki ayrı trend olduğunu söylüyor.
“[T]Bir hizmet olarak fidye yazılımı ve bağlı kuruluş ağlarında süregelen artış ve erişim komisyoncusu etkinliğinin artan yaygınlığı tek bir şeye katkıda bulunuyor: Suç güdüsüyle hareket eden düşmanlar için daha düşük bir giriş engeli,” diyor Singh, “Uygulamada bu şu anlama geliyor: düşmanlar bir saldırıyı operasyonel hale getirebilir ve hem ilk erişimi daha kolay elde edebilir hem de daha önce görülenden daha hızlı ek ana bilgisayarlara yanal olarak hareket edebilir.”
CrowdStrike, hedefli saldırılardaki büyüme için bir faktör olarak Rusya-Ukrayna çatışmasına işaret etti, ancak şirketin verilerine göre Çin en üretken saldırgan olmaya devam ediyor.
Singh, “Gerçekleşen sayısız jeopolitik ve makro küresel olaylara bir bakış, hem Çin’in hem de Rusya’nın açık sözlü olduğunu gösterdi” diyor. “Atfedilebilir kötü niyetli faaliyetlerin daha büyük bir kısmı Çin-nexus düşmanlarıyla bağlantılı olsa da, değerlendirmemize göre Rus hasımlar faaliyet göstermeye devam ediyor. Ancak, bu faaliyet şu anda atfedilmemiş izinsiz giriş kategorisine giriyor olabilir.”
gizemli saldırganlar
Bu arada, ilişkilendirilemeyen tespit edilen güvenlik olaylarının payı yüksek olmaya devam ediyor. Haziran 2022’de sona eren 12 ayda, izinsiz giriş kampanyalarının %38’i, önceki 12 ay ile yaklaşık olarak aynı (%39) belirli bir grupla pozitif olarak ilişkilendirilemedi.
“[T]Burada genellikle, yüksek güvenilirliğe sahip atıfları önleyen, araştırılacak ticari zanaatın göstergesi olan birkaç tanımlanabilir eser veya örnek vardır,” dedi CrowdStrike rapor. “Bu sorunlar, eCrime ile hedeflenen izinsiz giriş ticareti ve araçları arasındaki çizgilerin sürekli olarak bulanıklaşmasıyla birleşiyor ve bu da yüksek güvenilirliğe sahip atıfları azaltıyor.”
Saldırganların hızına ayak uydurmak ve saldırı zincirlerini kırmak için, savunucuların hem teknoloji tabanlı kontroller kurması hem de saldırganların işaretlerini yakalamak ve otomatik saldırılarını ve uygulamalı bilgisayar korsanlığını bozmak için insan tabanlı tehdit avı hizmetlerini kullanması gerekir.
Singh, “Bu zinciri kırmak söz konusu olduğunda, gerçek şu ki, rakipler daha hızlı hareket ediyor, bazı durumlarda sadece birkaç dakika içinde” diyor. “Bu gözlemi, güvenliği ihlal edilmiş hesap kullanımının artmasıyla ve kötü amaçlı yazılımlara olan bağımlılığın azalmasıyla birleştirmek, savunucuların savunma yeteneklerini yalnızca teknolojinin ötesine genişletmesi gerektiği anlamına geliyor.”