Bütünleşik siber güvenlik alanında global bir başkan olan WatchGuard, 2022 yılının 4. çeyreğinde WatchGuard Threat Lab araştırmacıları tarafından tahlil edilen İnternet Güvenliği Raporu’nun sonuçlarını açıkladı. WatchGuard Tehdit Laboratuvarı’nın yeni raporu, uç nokta fidye yazılımlarında %627 artış, ağda tespit edilen berbat gayeli yazılımlarda ise düşüş olduğunu gösteriyor.
Kötü emelli yazılımlarda genel bir düşüş görülmesine karşın, WatchGuard Tehdit Laboratuvarı araştırmacıları, HTTPS (TLS/SSL) trafiğinin şifresini çözen ve Firebox’ları inceleyen kötü amaçlı bir yazılım vakası tespit etti. Bu durum, kötü amaçlı yazılım etkinliğinin şifrelenmiş iletişime yöneldiğini gösteriyor. Rapor için veri sağlayan Firebox’ların yalnızca yaklaşık %20’sinde şifre çözme faal olduğundan, makûs gayeli yazılımların büyük çoğunluğunun tespit edilemediği çıkarımı yapılıyor. Şifrelenmiş berbat emelli yazılım aktifliği, son Tehdit Laboratuvarı raporlarında yinelenen bir tema oldu.
“HTTPS denetimi etkin hale getirilmeli”
Güvenlik uzmanlarının HTTPS kontrolünü aktif hale getirerek bu tehditlerin, ziyan vermeden evvel tespit edilmesi ve ele alınması gerektiğini belirten WatchGuard Baş Güvenlik Sorumlusu Corey Nachreiner, “Verilerimiz ve araştırmalarımızda devam eden ve endişe verici bir eğilim olan ağ ortamında şifre çözme eksikliği, kötü amaçlı yazılım saldırı eğilimlerinin tam çerçevesini gizliyor.” açıklamasında bulundu.
İnternet Güvenliği 4. Çeyrek Raporu’nda yer alan diğer önemli bulgular şunlar:
“Uç nokta fidye yazılımı tespitleri %627 arttı.”�
Bu artış, proaktif önleme için modern güvenlik kontrollerinin yanı sıra felaket kurtarma ve iş sürekliliği planları gibi fidye yazılımı savunmalarına duyulan ihtiyacı vurguluyor.
“Kötü amaçlı yazılımların %93’ü şifrelemenin ardına saklanıyor.”�
Threat Lab araştırması, kötü amaçlı yazılımların çoğunun güvenli web siteleri tarafından kullanılan SSL/TLS şifrelemesinde gizlendiğini göstermeye devam ediyor. 4. çeyrekte bu eğilim %82’den %93’e yükselerek devam etti. Bu trafiği incelemeyen güvenlik uzmanları muhtemelen çoğu kötü amaçlı yazılımı gözden kaçırıyor ve yakalamak için uç nokta güvenliğine daha fazla sorumluluk yüklüyor.
“Ağ tabanlı makus maksatlı yazılım tespitleri 4. çeyrekte bir evvelki çeyreğe nazaran yaklaşık %9,2 oranında düştü”�
Bu durum, son iki çeyrekte kötü amaçlı yazılım tespitlerindeki genel düşüşü devam ettiriyor ancak şifrelenmiş web trafiği göz önüne alındığında, kötü amaçlı yazılım saldırıları artıyor. Threat Lab ekibi, bu düşüş eğiliminin resmin tamamını göstermeyebileceğine ve bu iddiayı doğrulamak için HTTPS denetiminden yararlanan daha fazla veriye ihtiyaç olduğuna inanıyor.
“Uç nokta makus gayeli yazılım tespitleri %22 arttı”
Ağ tabanlı berbat maksatlı yazılım tespitleri düşerken, uç nokta tespitleri 4. çeyrekte arttı. Bu durum, Threat Lab takımının makûs maksatlı yazılımların şifreli kanallara kaydığı hipotezini destekliyor. Önde gelen atak prosedürleri ortasında tespitlerin birden fazla, tüm tespitlerin %90’ını oluşturan komut dosyaları ile ilişkilendiriliyor. Tarayıcılara yönelik kötü amaçlı yazılım tespitlerinde, tehdit aktörleri %42 ile en çok Internet Explorer’ı gaye alırken, onu %38 ile Firefox takip ediyor.
“Sıfırıncı gün veya tehlikeli kötü amaçlı yazılımlar şifrelenmemiş trafikte %43’e düştü”�
Genel makus gayeli yazılım tespitlerinin hala kıymetli bir yüzdesi olsa da Threat Lab takımının yıllardır gördüğü en düşük oran gerçekleşti. Bununla birlikte, TLS irtibatlarına bakıldığında öykü büsbütün değişiyor. Şifrelenmiş ilişkilerdeki makus emelli yazılımların %70’i sinyallerden kaçıyor.
“Kimlik avı saldırıları arttı”�
Raporun birinci 10 listesinde görülen berbat maksatlı yazılım çeşitlerinden üçü, çeşitli kimlik avı teşebbüslerine yardımcı oluyor. En çok tespit edilen makûs emelli yazılım ailesi olan JS.A gent.UNS, kullanıcıları âlâ bilinen ve yasal web siteleri üzere görünen alan isimlerine yönlendiren makûs maksatlı HTML içeriyor. Bir öbür varyant olan Agent.GBPM, kullanıcıların hesap bilgilerine erişmeye çalışan “PDF Salary_Increase” başlıklı bir SharePoint kimlik avı sayfası oluşturuyor. Birinci 10’daki son yeni varyant olan HTML.Agent.WR, bilinen bir kimlik avı tesir alanına yönlendiren oturum açma ilişkisi ile Fransızca düzmece bir DHL bildirim sayfası açıyor. Kimlik avı ve işveren dolandırıcılığı (BEC) en kıymetli atak usullerinden biri olmaya devam ediyor. Kurumların buna karşı koyması için hem yanlışsız önleyici muhafazaları hem de güvenlik şuuru eğitim programlarını faal bir formda devam ettirmeli.
“ProxyLogin açıkları büyümeye devam ediyor”�
Kritik Exchange problemine yönelik bir açık olan ProxyLogin açıkları 3. çeyrekte sekizinci sıradayken 4. çeyrekte dördüncü sıraya yükseldi. Bu açıkladaki riskler daha evvelden yamalanmış olmalı lakin yamalanmadıysa güvenlik uzmanları saldırganların bu açığı gaye alacağını bilmelidir. Eski güvenlik açıkları, saldırganlar için bir uzlaşma elde edebildikleri takdirde yenileri kadar kullanışlı olabilir. Ayrıyeten, birçok saldırgan Microsoft Exchange sunucularını yahut idare sistemlerini maksat almaya devam ediyor. Kuruluşlar bu noktaları korumak için ne yapmaları gerektiğinin farkında olmalı ve gayret göstermelidir.
“Ağ saldırı hacmi bir önceki çeyreğe göre yatay seyretti”�
Teknik olarak, yalnızca %0,0015’lik bir artışla 35 adetlik bir yükseliş söz konusu. Bir sonraki en küçük değişiklik 2020’nin 1. çeyreğinden 2. çeyreğine 91.885 adetlik bir artış olduğu için bu küçük fark epey dikkat cazibeli.�
“LockBit, yaygın bir fidye yazılımı grubu ve kötü amaçlı yazılım çeşidi olmaya devam ediyor”�
Tehdit Laboratuvarı grubu, LockBit varyantlarını sık sık görmeye devam ediyor zira bu küme, fidye yazılımlarıyla şirketleri ihlal etmekte en başarılı küme olarak görülüyor. LockBit bir evvelki çeyreğe nazaran düşüş gösterse de WatchGuard Tehdit Laboratuvarı tarafından takip edilen 149 şahısla tekrar en fazla halka açık fidye mağduruna ulaştı. Ayrıyeten 4. çeyrekte, Tehdit Laboratuvarı takımı 31 yeni fidye yazılımı ve fidye yazılımı kümesi tespit etti.
Hibya Haber Ajansı