Ağ saldırıları 3. çeyrekte rekor seviyede artış gösterdi
Güncelleme Tarihi:
WatchGuard, 2020 yılının üçüncü çeyreğine ilişkin İnternet Güvenlik Raporu’nun yayımlandığını duyurdu. Araştırmadan elde edilen en önemli bulgular arasında, COVID-19'un güvenlik tehdidi ortamını nasıl etkilediğine, uzaktan çalışmaya geçişe rağmen saldırganların kurumsal ağları hedeflemeye devam ettiğine ve salgınla ilgili kötü amaçlı domainlerde ve kimlik avı kampanyalarında artışa dair kanıtlar bulunuyor.
COVID-19'un etkisi gelişmeye devam ederken, tehdit istihbaratlarının saldırganların taktiklerini nasıl ayarladıkları konusunda önemli bilgiler sağladığına dikkat çeken şirketin CTO’su Corey Nachreiner, “Güvenlik söz konusu olduğunda, yeni normal diye bir şey olmasa da şirketler hem uç nokta hem de ağ için korumayı artırmanın 2021 ve sonrasında bir öncelik olacağından emin olabilirler. Ayrıca gizlenmiş ve şifreli saldırıları, gelişmiş kimlik avı kampanyalarını ve daha fazlasını azaltabilen hizmetlerle bilgi güvenliğine katmanlı bir yaklaşım oluşturmak da önemli olacaktır.” açıklamalarında bulundu.
Üçüncü Çeyrekte Dikkat Çekenler
Ortaya çıkan ve sürekli gelişen tehdit ortamını etkileyen en son kötü amaçlı yazılım ve ağ saldırısı eğilimleri hakkında şirketleri, iş ortaklarını ve son kullanıcıları somut veriler, uzman analizi ve eyleme geçirilebilir içgörülerle bilgilendiren rapordan elde edilen temel bulgular şöyle:
1. Ağ saldırıları ve benzersiz tespitlerin her ikisi de iki yılın en yüksek seviyesine ulaştı. Ağ saldırıları, üçüncü çeyrekte 3,3 milyonun üzerine çıkarak bir önceki çeyreğe göre %90'lık bir artış gösterdi ve son iki yılın en yüksek seviyesine çıktı. Benzersiz ağ saldırısı imzaları da yukarı yönlü bir yönde devam ederek üçüncü çeyrekte de son iki yılın en yüksek seviyesine ulaştı. Bu bulgular, iş gücü gitgide uzaklaşsa bile şirketlerin ağ tabanlı varlıklar ve hizmetler için korumaları sürdürmeye ve güçlendirmeye öncelik vermesi gerektiği gerçeğini vurguluyor.
2. COVID-19 dolandırıcılıklarının yaygınlığı artıyor. Üçüncü çeyrekte, yasal pandemi desteği amacıyla kullanılan web sitelerinde yürütülen bir COVID-19 reklam yazılımı kampanyası, güvenliği ihlal edilen en yaygın 10 web sitesi listesine girdi. Uzmanlar ayrıca, Birleşmiş Milletler’i (BM) taklit eden sahte bir giriş sayfasını barındırmak için Microsoft SharePoint'ten yararlanan bir kimlik avı saldırısını ve COVID-19 nedeniyle BM'den küçük işletmelere yardım hakkında mesajlar içeren e-posta oltalamasını tespit etti. Bu bulgular, saldırganların kurbanlarını kandırmak ve dolandırmak için küresel sağlık krizini çevreleyen korku, belirsizlik ve şüpheden yararlanmaya devam edeceğini vurguluyor.
3. Şirketler, yüzlerce kimlik avı saldırısını ve kötü bağlantıları tıklıyor. Üçüncü çeyrekte uzmanlar, toplamda kuruluş başına 499 engellenen bağlantı anlamına gelen birleşik 2.764.736 kötü amaçlı domain bağlantısını engelledi. Daha da açıklayıcı olunursa her kuruluş 262 kötü amaçlı domaine, 71 güvenliği ihlal edilmiş web sitesine ve 52 kimlik avı kampanyasına ulaşacaktı. Yukarıda bahsedilenler, COVID-19 dolandırıcılıklarının ikna edici artışıyla birleştiğinde, bu bulgular DNS filtreleme hizmetlerini ve kullanıcı güvenliği bilinci eğitimini artırmanın önemini gösteriyor.
4. Saldırganlar, ABD'deki savunmasız SCADA sistemlerini araştırıyor. Uzmanların üçüncü çeyrekteki en yaygın ağ saldırıları listesine eklenen yeni bir eklenti, popüler bir denetim kontrolü ve veri toplama kontrol sisteminde (SCADA), önceden yamalanmış bir kimlik doğrulama atlama güvenlik açığından yararlanıyor. Bu güvenlik açığı sınıfı, uzaktan kod yürütme kusuru kadar ciddi olmasa da bir saldırganın sunucuda çalışan SCADA yazılımının kontrolünü ele geçirmesine yine de izin verebilir. Saldırganlar, üçüncü çeyrekte bu tehditle ABD ağlarının yaklaşık %50'sini hedef alırken, endüstriyel kontrol sistemlerinin önümüzdeki yıl kötü aktörler için önemli bir odak alanı olabileceğini de gözler önüne seriyor.
5. LokiBot’a benzer yaygın bir kötü amaçlı yazılım türü piyasaya çıktı. LokiBot'a benzeyen bir parola hırsızı olan Farelt, şirketin 3. çeyrekte en yaygın beş kötü amaçlı yazılım algılama listesine girdi. Farelt botnet'in LokiBot ile aynı komut ve kontrol yapısını kullanıp kullanmadığı net olmasa da aynı grup olan SilverTerrier'ın her iki kötü amaçlı yazılım varyantını da yaratma olasılığı yüksek görünüyor. Bu botnet, virüsten koruma kontrollerini atlamak ve kullanıcıları kötü amaçlı yazılımı yüklemeye kandırmak için birçok adımı atıyor. Şirket, tehdidi araştırırken, kötü amaçlı yazılımın muhtemelen verilerin gösterdiğinden çok daha fazla kurbanı hedef aldığını gösteren güçlü kanıtlar da buldu.
6. Emotet devam ediyor. Üretken bir bankacılık truva atı ve bilinen şifreleri çalan Emotet, üçüncü çeyrekte şirketin en yaygın 10 kötü amaçlı yazılım listesinde ilk kez yer aldı ve kötü amaçlı yazılım dağıtan ilk 10 domain listesinde de yer almayı kıl payı kaçırdı. İkinci listede 11. sırada yer almasına rağmen, araştırma ekipleri mevcut Emotet enfeksiyonlarının Trickbot ve hatta Ryuk fidye yazılımı gibi ek yükleri düşürdüğünü gördüklerinden, bu görünümün özellikle dikkat çekici olduğunu belirtiyor.
21,5 Milyondan Fazla Kötü Amaçlı Yazılım Varyantı ve 3,3 Milyondan Fazla Ağ Tehdidi
Raporun tamamı, her boyuttaki işletmenin modern güvenlik tehditlerine karşı kendilerini korumak için kullanabilecekleri derinlemesine araştırma ve savunma amaçlı en iyi uygulamaları içeriyor. Raporda ayrıca, Temmuz 2020'de bir Bitcoin dolandırıcılığını teşvik etmek için 130 yüksek profilli hesabı tehlikeye atan tarihi Twitter saldırısının ayrıntılı bir analizi de yer alıyor.