Cisco Talos Incident Response (CTIR) üst üste yedinci çeyrekte de tekrar fidye yazılımlarının en yaygın tehdit olduğunu tespit etti. Kasım 2020 ile Ocak 2021 ortasında bu cinsin en yaygın örnekleri ise Ryuk ve Vatet oldu. Cisco Talos ayrıyeten Egregor ve WastedLocker varyantlarının da dünya genelinde çeşitli kuruluşları maksat almaya devam ettiğini belirledi.
Evvelki çeyreğin bilakis bu fidye yazılımı taarruzlarının büyük çoğunluğu ticari truva atı doküman belgeleri gönderen Zloader, BazarLoader ve IcedID üzere kimlik avı uygulamalarından faydalanıyordu. Son çeyrekte fidye yazılımı akınlarının yaklaşık yüzde 70’inde ticari truva atı yazılımları kullanıldı. Bilgisayar korsanları ayrıyeten Cobalt Strike üzere ticari araçlar, Bloodhound üzere açık kaynaklı erişim sonrası korsanlık araçları ve PowerShell üzere kurbanın sisteminde esasen bulunan araçlardan faydalandı.
Fidye yazılımlarının kesimler genelinde başa çıkması güç bir siber güvenlik tehdidi olmaya devam ettiğini söz eden Cisco Orta Doğu ve Afrika Bölgesi Siber Güvenlik Yöneticisi Fady Younes, şunları söyledi: “Ticari truva atları kelam konusu olduğunda, süratli ve tesirli sonuçlar için alınıp satılabilen hücumlardan bahsediyoruz. Birtakım durumlarda fiyatsız indirilen truva atları dahi oluyor. Kolay kimlik avı e-postaları yoluyla bilgisayar korsanları ağlara sızabiliyor, istihbarat toplayabiliyor ve bunun sonucunda uzun vadeli ziyanlar verebiliyor. Paket halinde sunulan bu siber hata araçlarının kolaylıkla ulaşılabilir olmasının yanında, daha az tecrübeli saldırganların dahi kullanabilir olduğunun göz önünde bulundurulması gerekiyor. Münasebetiyle şirketlerin, çalışanlarını kuşkulu e-postaları nasıl tespit edip başka şahısları uyarabilecekleri konusunda daima bilgilendirmesi gerekiyor. Karar vericilerin bir sorumluluğu da kapsamlı yamalar uygulama ve uç noktaları müdafaa üzere siber güvenlik tedbirleriyle tesirli bir savunma çizgisi oluşturarak BT sistemlerinin güvenliğini sağlamaktan da sorumlu.”
CTIR, şirketlerin truva atı bulaşmış güncellemeleri farkında olmadan SolarWinds’in yaygın kullanılan Orion yazılımına indirdiği olay müdahaleleriyle de karşılaştı. Bu müdahalelerden sadece birinde sistemin ele geçirilmesinden sonraki (post-compromise) aksiyonlar kullanılmıştı.
Buna uygun olarak Microsoft, Exchange Server’da dört güvenlik açığı açıkladı ve Hafnium isminde bir tehdit aktörünün bu güvenlik açıklarını kullanarak çeşitli şirketleri gaye alan web kabukları attığını bildirdi. Kısa müddet sonra, APT’lerden kripto para madenciliği kümelerine kadar öbür tehdit aktörleri de bu güvenlik açıklarından faydalanarak on binlerce şirketin faaliyetlerini etkiledi. CTIR, Microsoft Exchange güvenlik açıklarının kullanıldığı giderek artan sayıda hadiseye müdahale ediyor.
Taarruz aktörleri ise bugüne dek işletme idaresi, inşaat, eğitim, güç ve kamu hizmetleri, cümbüş, finans, devlet kurumları, sıhhat, endüstriyel dağıtım, hukuk, üretim ve teknoloji başta olmak üzere çeşitli kesimlere ataklar gerçekleştirdi.
Saldırganların en sık maksadı olan dal sıhhat bölümü olurken, bu durum, sıhhat kuruluşlarını maksat aldığı bilinen Vatet isimli makus emelli yazılımının kullanımındaki artışı da kısmen açıklıyor. CTIR, başlangıçta muhakkak bir eyaletteki hastaneyle bağlı bölgesel hastanelerin taarruza uğradığı ve bilhassa etkilenen kuruluşa faal VPN ilişkisinin olması durumunda sonraki ataklar için sıçrama tahtası fonksiyonu görebildiği potansiyel bir örüntü tespit etti. Saldırganların sıhhat bölümüne saldırmasının nedenlerinden birinin de mağdur olan sıhhat kuruluşlarının COVID-19 devrinde hizmetlerini sağlamaya mümkün olduğunca süratli bir biçimde devam etmek istemesi olduğu görülüyor.
Hürriyet
