Muhendis
New member
CISCO Talos Incident Response (CTIR) üst üste yedinci çeyrekte de bir daha fidye yazılımlarının en yaygın tehdit olduğunu tespit etti. Kasım 2020 ile Ocak 2021 içinde bu çeşidin en yaygın örnekleri ise Ryuk ve Vatet oldu. Cisco Talos ayrıyeten Egregor ve WastedLocker varyantlarının da dünya genelinde çeşitli kuruluşları gaye almaya devam ettiğini belirledi.
Evvelki çeyreğin tersine bu fidye yazılımı akınlarının büyük çoğunluğu ticari truva atı doküman belgeleri gönderen Zloader, BazarLoader ve IcedID üzere kimlik avı uygulamalarından faydalanıyordu. Son çeyrekte fidye yazılımı taarruzlarının yaklaşık yüzde 70’inde ticari truva atı yazılımları kullanıldı. Bilgisayar korsanları ayrıyeten Cobalt Strike üzere ticari araçlar, Bloodhound üzere açık kaynaklı erişim daha sonrası korsanlık araçları ve PowerShell üzere kurbanın sisteminde aslına bakarsan bulunan araçlardan faydalandı.
Fidye yazılımlarının dallar genelinde başa çıkması güç bir siber güvenlik tehdidi olmaya devam ettiğini söz eden Cisco Orta Doğu ve Afrika Bölgesi Siber Güvenlik Yöneticisi Fady Younes, şunları söylemiş oldu: “Ticari truva atları kelam konusu olduğunda, süratli ve tesirli sonuçlar için alınıp satılabilen akınlardan bahsediyoruz. Kimi durumlarda fiyatsız indirilen truva atları dahi oluyor. sıradan kimlik avı e-postaları yoluyla bilgisayar korsanları ağlara sızabiliyor, istihbarat toplayabiliyor ve bunun kararında uzun vadeli ziyanlar verebiliyor. Paket halinde sunulan bu siber cürüm araçlarının basitçe ulaşılabilir olmasının yanında, daha az tecrübeli saldırganların dahi kullanabilir olduğunun göz önünde bulundurulması gerekiyor. ötürüsıyla şirketlerin, çalışanlarını kuşkulu e-postaları nasıl tespit edip öteki bireyleri uyarabilecekleri konusunda daima bilgilendirmesi gerekiyor. Karar vericilerin bir sorumluluğu da kapsamlı yamalar uygulama ve uç noktaları muhafaza üzere siber güvenlik tedbirleriyle tesirli bir savunma sınırı oluşturarak BT sistemlerinin güvenliğini sağlamaktan da sorumlu.”dedi.
CTIR, şirketlerin truva atı bulaşmış güncellemeleri farkında olmadan SolarWinds’in yaygın kullanılan Orion yazılımına indirdiği vaka müdahaleleriyle de karşılaştı. Bu müdahalelerden sırf birinde sistemin ele geçirilmesinden daha sonraki (post-compromise) aksiyonlar kullanılmıştı.
Buna uygun olarak Microsoft, Exchange Server’da dört güvenlik açığı deklare etti ve Hafnium isminde bir tehdit aktörünün bu güvenlik açıklarını kullanarak çeşitli şirketleri gaye alan web kabukları attığını bildirdi. Kısa mühlet daha sonra, APT’lerden kripto para madenciliği kümelerine kadar diğer tehdit aktörleri de bu güvenlik açıklarından faydalanarak on binlerce şirketin faaliyetlerini etkiledi. CTIR, Microsoft Exchange güvenlik açıklarının kullanıldığı giderek artan sayıda olaya müdahale ediyor.
Hücum aktörleri ise bugüne dek işletme idaresi, inşaat, eğitim, güç ve kamu hizmetleri, cümbüş, finans, devlet kurumları, sıhhat, endüstriyel dağıtım, hukuk, üretim ve teknoloji başta olmak üzere çeşitli kesimlere akınlar gerçekleştirdi.
Saldırganların en sık gayesi olan kesim sıhhat bölümü olurken, bu durum, sıhhat kuruluşlarını amaç aldığı bilinen Vatet isimli makûs emelli yazılımının kullanmasındaki artışı da kısmen açıklıyor. CTIR, başlangıçta makul bir eyaletteki hastaneyle bağlantılı bölgesel hastanelerin atağa uğradığı ve bilhassa etkilenen kuruluşa etkin VPN temasının olması durumunda daha sonraki hücumlar için sıçrama tahtası fonksiyonu nazaranbildiği potansiyel bir örüntü tespit etti. Saldırganların sıhhat dalına saldırmasının niçinlerinden birinin de mağdur olan sıhhat kuruluşlarının COVID-19 devrinde hizmetlerini sağlamaya mümkün olduğunca süratli bir formda devam etmek istemesi olduğu görülüyor.
Hibya Haber Ajansı
Evvelki çeyreğin tersine bu fidye yazılımı akınlarının büyük çoğunluğu ticari truva atı doküman belgeleri gönderen Zloader, BazarLoader ve IcedID üzere kimlik avı uygulamalarından faydalanıyordu. Son çeyrekte fidye yazılımı taarruzlarının yaklaşık yüzde 70’inde ticari truva atı yazılımları kullanıldı. Bilgisayar korsanları ayrıyeten Cobalt Strike üzere ticari araçlar, Bloodhound üzere açık kaynaklı erişim daha sonrası korsanlık araçları ve PowerShell üzere kurbanın sisteminde aslına bakarsan bulunan araçlardan faydalandı.
Fidye yazılımlarının dallar genelinde başa çıkması güç bir siber güvenlik tehdidi olmaya devam ettiğini söz eden Cisco Orta Doğu ve Afrika Bölgesi Siber Güvenlik Yöneticisi Fady Younes, şunları söylemiş oldu: “Ticari truva atları kelam konusu olduğunda, süratli ve tesirli sonuçlar için alınıp satılabilen akınlardan bahsediyoruz. Kimi durumlarda fiyatsız indirilen truva atları dahi oluyor. sıradan kimlik avı e-postaları yoluyla bilgisayar korsanları ağlara sızabiliyor, istihbarat toplayabiliyor ve bunun kararında uzun vadeli ziyanlar verebiliyor. Paket halinde sunulan bu siber cürüm araçlarının basitçe ulaşılabilir olmasının yanında, daha az tecrübeli saldırganların dahi kullanabilir olduğunun göz önünde bulundurulması gerekiyor. ötürüsıyla şirketlerin, çalışanlarını kuşkulu e-postaları nasıl tespit edip öteki bireyleri uyarabilecekleri konusunda daima bilgilendirmesi gerekiyor. Karar vericilerin bir sorumluluğu da kapsamlı yamalar uygulama ve uç noktaları muhafaza üzere siber güvenlik tedbirleriyle tesirli bir savunma sınırı oluşturarak BT sistemlerinin güvenliğini sağlamaktan da sorumlu.”dedi.
CTIR, şirketlerin truva atı bulaşmış güncellemeleri farkında olmadan SolarWinds’in yaygın kullanılan Orion yazılımına indirdiği vaka müdahaleleriyle de karşılaştı. Bu müdahalelerden sırf birinde sistemin ele geçirilmesinden daha sonraki (post-compromise) aksiyonlar kullanılmıştı.
Buna uygun olarak Microsoft, Exchange Server’da dört güvenlik açığı deklare etti ve Hafnium isminde bir tehdit aktörünün bu güvenlik açıklarını kullanarak çeşitli şirketleri gaye alan web kabukları attığını bildirdi. Kısa mühlet daha sonra, APT’lerden kripto para madenciliği kümelerine kadar diğer tehdit aktörleri de bu güvenlik açıklarından faydalanarak on binlerce şirketin faaliyetlerini etkiledi. CTIR, Microsoft Exchange güvenlik açıklarının kullanıldığı giderek artan sayıda olaya müdahale ediyor.
Hücum aktörleri ise bugüne dek işletme idaresi, inşaat, eğitim, güç ve kamu hizmetleri, cümbüş, finans, devlet kurumları, sıhhat, endüstriyel dağıtım, hukuk, üretim ve teknoloji başta olmak üzere çeşitli kesimlere akınlar gerçekleştirdi.
Saldırganların en sık gayesi olan kesim sıhhat bölümü olurken, bu durum, sıhhat kuruluşlarını amaç aldığı bilinen Vatet isimli makûs emelli yazılımının kullanmasındaki artışı da kısmen açıklıyor. CTIR, başlangıçta makul bir eyaletteki hastaneyle bağlantılı bölgesel hastanelerin atağa uğradığı ve bilhassa etkilenen kuruluşa etkin VPN temasının olması durumunda daha sonraki hücumlar için sıçrama tahtası fonksiyonu nazaranbildiği potansiyel bir örüntü tespit etti. Saldırganların sıhhat dalına saldırmasının niçinlerinden birinin de mağdur olan sıhhat kuruluşlarının COVID-19 devrinde hizmetlerini sağlamaya mümkün olduğunca süratli bir formda devam etmek istemesi olduğu görülüyor.
Hibya Haber Ajansı