btbilgi

Siber güvenlik ekiplerinin saldırıların doğasını ve siber suçluların davranışlarını daha iyi anlamasına yardımcı olmayı amaçlayan ‘Active Adversary Playbook 2021’ raporu yayımlandı. Sophos firmasının gerçekleştirdiği araştırma kendi telemetri verilerinin yanı sıra, tehdit avcıları ve analistlerden oluşan tehdit müdahale ve hızlı yanıt ekiplerinin karşılaştığı 81 saldırı girişiminin incelenmesiyle hazırlanmış. Raporun en önemli bulgusuna göre, siber saldırganlar sızdıkları ağlarda ortalama 11 gün fark edilmeden serbestçe dolaşabilmekteler.

2020 yılı boyunca meydana gelen vakaların incelenmesi sonucunda siber saldırganların davranışları, teknikleri ve prosedürleri raporlanmış. Kaydedilen saldırıların 40’a yakın siber suç grubu tarafından başlatıldığı aktarılıyor. Saldırganların ilgi çekmeye çalışan gençlerden, ulus devlet destekli tehdit gruplarına kadar çok geniş bir ekosistemden geldiği raporlanmakta. Bir ağa sızan saldırganların tespit edilmesi günleri bulabilirken, fark edilmeden içerde kalma süresinin 15 aya kadar uzayabildiği saptanmış.

Rapordan ön plana çıkartılan temel bulgular şöyle özetlenmekte:

Siber saldırganlar sızdıkları ağlarda günlerce geziyor

Ağda gezinti

Siber saldırganlar ağa sızdıktan sonra içerde 11 gün boyunca keşif, yatay hareket, kimlik bilgisi dökümü, veri hırsızlığı ve benzer kötü niyetli faaliyetleri serbestçe gerçekleştirebiliyorlar. Bu faaliyetlerden bazılarının yalnızca birkaç dakika veya birkaç saatte tamamlanabildiği hatırlatılmakta ve bu süre boyunca kurumlara çok zarar verilmesi mümkün denilmekte.

RDP çok popüler

Saldırıların yüzde 90’ında Uzak Masaüstü Protokolü (RDP) kullanıldığı ve saldırganların yüzde 69’unun ağ içinde hareket etmek için RDP’den faydalandığı keşfedilmiş. Son yıllarda siber tehditlerin önlenmesi için ağ güvenliğinde VPN ve çok faktörlü kimlik doğrulama gibi pratiklere sıkça yer verilmekte. Fakat saldırganların bir kez ağa sızmayı başarmaları durumunda hiçbirinin anlamı kalmıyor.

Saldırı araçları

Saldırılarda kullanıldığı tespit edilen araçların belli kategorilerde yoğunlaştığı gözlemlenmiş. PowerShell kullanılan saldırıların yüzde 58’i Cobalt Strike, yüzde 49’u PsExec, yüzde 33’ü Mimikatz ve yüzde 19’u GMER ile ilişkili deniliyor. Saldırıların yüzde 27’sinde Cobalt Strike ve PsExec birlikte kullanılırken, yüzde 31’inde Mimikatz ve PsExec birlikte görülmüş.

Fidye saldırıları

Fidye yazılımı saldırıların yüzde 81’inde yer almakta. Fidye yazılımının serbest bırakıldığı an, genellikle saldırının BT güvenlik ekibi tarafından görünür hale geldiği noktaya karşılık geliyor. Sophos’un tespit ettiği diğer saldırı türleri arasında hırsızlık, kriptomadencilik ve bankacılık Truva atları ilk sıraları paylaşmakta.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.