Bütünleşik siber güvenlik alanında küresel bir lider olan WatchGuard® Technologies, 2022 yılının 4. çeyreğinde WatchGuard Threat Lab araştırmacıları tarafından analiz edilen en önemli kötü amaçlı yazılım trendleri ile ağ ve uç nokta güvenlik tehditlerini detaylandırdığı İnternet Güvenliği Raporu’nun bulgularını yayınladı. Verilerden elde edilen temel çıktılar, ağda tespit edilen kötü amaçlı yazılımlarda düşüş olduğunu raporlarken, uç nokta fidye yazılımlarının %627 gibi şaşırtıcı bir oranda arttığını gösteriyor. Kimlik avı saldırılarıyla ilişkili kötü amaçlı yazılımlar ise kalıcı bir tehdit olmaya devam ediyor.
Bütünleşik siber güvenlik alanında küresel bir lider olan WatchGuard, 2022 yılının 4. çeyreğinde WatchGuard Threat Lab araştırmacıları tarafından analiz edilen İnternet Güvenliği Raporu’nun sonuçlarını açıkladı. WatchGuard Tehdit Laboratuvarı’nın yeni raporu, uç nokta fidye yazılımlarında %627 artış, ağda tespit edilen kötü amaçlı yazılımlarda ise düşüş olduğunu gösteriyor.
Kötü amaçlı yazılımlarda genel bir düşüş görülmesine rağmen, WatchGuard Tehdit Laboratuvarı araştırmacıları, HTTPS (TLS/SSL) trafiğinin şifresini çözen ve Firebox’ları inceleyen kötü amaçlı bir yazılım vakası tespit etti. Bu durum, kötü amaçlı yazılım etkinliğinin şifrelenmiş iletişime yöneldiğini gösteriyor. Rapor için veri sağlayan Firebox’ların sadece yaklaşık %20’sinde şifre çözme etkin olduğundan, kötü amaçlı yazılımların büyük çoğunluğunun tespit edilemediği çıkarımı yapılıyor. Şifrelenmiş kötü amaçlı yazılım etkinliği, son Tehdit Laboratuvarı raporlarında yinelenen bir tema oldu.
“HTTPS Denetimi Etkin Hale Getirilmeli”
Güvenlik uzmanlarının HTTPS denetimini etkin hale getirerek bu tehditlerin, zarar vermeden önce tespit edilmesi ve ele alınması gerektiğini belirten WatchGuard Baş Güvenlik Sorumlusu Corey Nachreiner, “Verilerimiz ve araştırmalarımızda devam eden ve endişe verici bir eğilim olan ağ ortamında şifre çözme eksikliği, kötü amaçlı yazılım saldırı eğilimlerinin tam çerçevesini gizliyor.” açıklamasında bulundu.
İnternet Güvenliği 4. Çeyrek Raporu’nda yer alan diğer önemli bulgular şunlar:
• Uç nokta fidye yazılımı tespitleri %627 arttı. Bu artış, proaktif önleme için modern güvenlik kontrollerinin yanı sıra felaket kurtarma ve iş sürekliliği planları gibi fidye yazılımı savunmalarına duyulan ihtiyacı vurguluyor.
• Kötü amaçlı yazılımların %93’ü şifrelemenin arkasına saklanıyor. Threat Lab araştırması, kötü amaçlı yazılımların çoğunun güvenli web siteleri tarafından kullanılan SSL/TLS şifrelemesinde gizlendiğini göstermeye devam ediyor. 4. çeyrekte bu eğilim %82’den %93’e yükselerek devam etti. Bu trafiği incelemeyen güvenlik uzmanları muhtemelen çoğu kötü amaçlı yazılımı gözden kaçırıyor ve yakalamak için uç nokta güvenliğine daha fazla sorumluluk yüklüyor.
• Ağ tabanlı kötü amaçlı yazılım tespitleri 4. çeyrekte bir önceki çeyreğe göre yaklaşık %9,2 oranında düştü. Bu durum, son iki çeyrekte kötü amaçlı yazılım tespitlerindeki genel düşüşü devam ettiriyor ancak şifrelenmiş web trafiği göz önüne alındığında, kötü amaçlı yazılım saldırıları artıyor. Threat Lab ekibi, bu düşüş eğiliminin resmin tamamını göstermeyebileceğine ve bu iddiayı doğrulamak için HTTPS denetiminden yararlanan daha fazla veriye ihtiyaç olduğuna inanıyor.
• Uç nokta kötü amaçlı yazılım tespitleri %22 arttı. Ağ tabanlı kötü amaçlı yazılım tespitleri düşerken, uç nokta tespitleri 4. çeyrekte arttı. Bu durum, Threat Lab ekibinin kötü amaçlı yazılımların şifreli kanallara kaydığı hipotezini destekliyor. Önde gelen saldırı yöntemleri arasında tespitlerin çoğu, tüm tespitlerin %90’ını oluşturan komut dosyaları ile ilişkilendiriliyor. Tarayıcılara yönelik kötü amaçlı yazılım tespitlerinde, tehdit aktörleri %42 ile en çok Internet Explorer’ı hedef alırken, onu %38 ile Firefox takip ediyor.
• Sıfırıncı gün veya tehlikeli kötü amaçlı yazılımlar şifrelenmemiş trafikte %43’e düştü. Genel kötü amaçlı yazılım tespitlerinin hala önemli bir yüzdesi olsa da Threat Lab ekibinin yıllardır gördüğü en düşük oran gerçekleşti. Bununla birlikte, TLS bağlantılarına bakıldığında hikaye tamamen değişiyor. Şifrelenmiş bağlantılardaki kötü amaçlı yazılımların %70’i sinyallerden kaçıyor.
• Kimlik avı saldırıları arttı. Raporun ilk 10 listesinde görülen kötü amaçlı yazılım çeşitlerinden üçü, çeşitli kimlik avı girişimlerine yardımcı oluyor. En çok tespit edilen kötü amaçlı yazılım ailesi olan JS.A gent.UNS, kullanıcıları iyi bilinen ve meşru web siteleri gibi görünen alan adlarına yönlendiren kötü amaçlı HTML içeriyor. Bir başka varyant olan Agent.GBPM, kullanıcıların hesap bilgilerine erişmeye çalışan “PDF Salary_Increase” başlıklı bir SharePoint kimlik avı sayfası oluşturuyor. İlk 10’daki son yeni varyant olan HTML.Agent.WR, bilinen bir kimlik avı etki alanına yönlendiren oturum açma bağlantısı ile Fransızca sahte bir DHL bildirim sayfası açıyor. Kimlik avı ve patron dolandırıcılığı (BEC) en önemli saldırı yöntemlerinden biri olmaya devam ediyor. Kurumların buna karşı koyması için hem doğru önleyici korumaları hem de güvenlik bilinci eğitim programlarını aktif bir şekilde devam ettirmeli.
• ProxyLogin açıkları büyümeye devam ediyor. Kritik Exchange sorununa yönelik bir açık olan ProxyLogin açıkları 3. çeyrekte sekizinci sıradayken 4. çeyrekte dördüncü sıraya yükseldi. Bu açıkladaki riskler daha önceden yamalanmış olmalı ancak yamalanmadıysa güvenlik uzmanları saldırganların bu açığı hedef alacağını bilmelidir. Eski güvenlik açıkları, saldırganlar için bir uzlaşma elde edebildikleri takdirde yenileri kadar kullanışlı olabilir. Ayrıca, birçok saldırgan Microsoft Exchange sunucularını veya yönetim sistemlerini hedef almaya devam ediyor. Kuruluşlar bu noktaları korumak için ne yapmaları gerektiğinin farkında olmalı ve çaba göstermelidir.
• Ağ saldırı hacmi bir önceki çeyreğe göre yatay seyretti. Teknik olarak, sadece %0,0015’lik bir artışla 35 adetlik bir yükseliş söz konusu. Bir sonraki en küçük değişiklik 2020’nin 1. çeyreğinden 2. çeyreğine 91.885 adetlik bir artış olduğu için bu küçük fark oldukça dikkat çekici.
• LockBit, yaygın bir fidye yazılımı grubu ve kötü amaçlı yazılım çeşidi olmaya devam ediyor. Tehdit Laboratuvarı ekibi, LockBit varyantlarını sık sık görmeye devam ediyor çünkü bu grup, fidye yazılımlarıyla şirketleri ihlal etmekte en başarılı grup olarak görülüyor. LockBit bir önceki çeyreğe göre düşüş gösterse de WatchGuard Tehdit Laboratuvarı tarafından takip edilen 149 kişiyle yine en fazla halka açık fidye mağduruna ulaştı. Ayrıca 4. çeyrekte, Tehdit Laboratuvarı ekibi 31 yeni fidye yazılımı ve fidye yazılımı grubu tespit etti.