11 gün boyunca hırsızla yaşıyorlar!

  • HABER
  • 2 dk

Bu hırsızları görmüyor, duymuyorsunuz. Onlar sinsice şirketlerin ağlarına sızıyor, kimselere görünmeden en hassas bilgileri çalıyor. Üstelik siber saldırganlar ortalama 11 gün kimi zaman 15 aya kadar fark edilmemeyi başarabiliyor.

Bu bilgiler, yeni nesil siber güvenlik şirketi Sophos’un ‘Active Adversary Playbook 2021’ başlıklı raporundan. Rapor siber tehdit avcıları olarak bilinen uzmanların ve olay müdahale ekiplerinin tecrübelerine dayanarak hazırlandı.

Siber güvenlik ekiplerinin saldırıların doğasını ve saldırganların davranışlarını daha iyi anlamasına yardımcı olmayı amaçlayan rapor hazırlanırken 81 ayrı saldırı girişimi incelendi.


İşte sonuçlar:
Saldırganların tespit edilmeden içeride kalma süresi ortalama 11 gün. Yani saldırganları ağa sızdıktan sonra içerde 11 gün boyunca keşif, yatay hareket, kimlik bilgisi dökümü, veri hırsızlığı ve benzer kötü niyetli faaliyetleri serbestçe gerçekleştirebiliyor. Bunlardan bazılarının yalnızca birkaç dakika ya da birkaç saatte tamamlanabildiği düşünüldüğünde 11 gün bile çok uzun bir süre. Ancak saldırganların fark edilmeden içerde kalma süresi 15 aya kadar uzayabiliyor.

Saldırıların yüzde 90'ında Uzak Masaüstü Protokolü (RDP) kullanılıyor. RDP kaynaklı tehditlerin önlenmesi için VPN ve çok faktörlü kimlik doğrulama gibi uygulamalar devreye sokulduysa da, saldırganlar ağın içine girmeyi başardıktan sonra bunların pek bir anlamı kalmıyor.

Saldırıların yüzde 81'i fidye yazılımlarıyla yapılıyor. Sophos'un tespit ettiği diğer saldırı türleri arasında hırsızlık, kripto madencilik, bankacılık  ve Truva atları bulunuyor.

Saldırılarda tespit edilen yaygın araçlara gelince: PowerShell kullanılan saldırıların yüzde 58'i Cobalt Strike, yüzde 49'u PsExec, yüzde 33'ü Mimikatz ve yüzde 19'u GMER ile ilişkili.

Saldırıların yüzde 27'sinde Cobalt Strike ve PsExec birlikte kullanılırken, yüzde 31'inde Mimikatz ve PsExec birlikte görülüyor.

Bu tür ilişkilerin farkına varılması yaklaşan bir saldırı için erken uyarı görevi görebiliyor veya aktif bir saldırının varlığını doğrulayabiliyor.


En çok etkilenen sektörler
Saldırılardan en çok etkilenenlerin başında imalat sektörü geliyor, bunu sağlık, perakende ve bilgi teknolojileri sektörleri ile finansal ve ticari hizmetler, kâr amacı gütmeyen kuruluşlar  izliyor.

Sophos Kıdemli Güvenlik Danışmanı John Shier, tehditlerin ilgi çekmeye çalışan gençlerden, ulus devlet destekli tehdit gruplarına kadar çok çeşitli becerilere ve kaynaklara sahip gruplardan geldiğine dikkat çekiyor.

2020’de, 40'a yakın saldırı grubunun 400'den fazla farklı araç kullanarak saldırılar düzenlediğini hatırlatan Shier, sıkıntının bu araçları kimin kullandığını anlayamamaktan kaynaklandığını söylüyor. Zira bilgi teknolojileri alanındaki yöneticiler ve güvenlik uzmanları da günlük görevler için bunlara başvuruyor. Bu da zararsız ve kötü niyetli faaliyetleri tespit etmeyi zorlaştırıyor.

O nedenle siber güvenlik ekiplerinin erken uyarı işaretleri fark etmesi kritik önemde. Deneyimli, saldırılara hızlı yanıt verme yeteneğine sahip siber güvenlik uzmanları şirketlerin güvenlik çözümlerinin en kritik aktörü olarak görülüyor.