Ağ güvenliği ve zekası, çok faktörlü kimlik doğrulama (MFA), gelişmiş uç nokta koruması ve güvenli Wi-Fi alanlarında hizmet veren WatchGuard Technologies, WatchGuard Threat Lab araştırmacıları tarafından analiz edilen 2022’nin birinci çeyreğine ilişkin kötü amaçlı yazılım trendleri ve ağ güvenliği tehditlerini vurgulayan üç aylık İnternet Güvenlik Raporu’nu yayınladı.
Araştırmadan elde edilen en önemli bulgular, bu yılın ilk çeyreğindeki fidye yazılımı tespitlerinin 2021 için bildirilen toplam hacmi ikiye katladığını, Emotet botnetinin büyük çapta geri geldiğini, kötü şöhretli Log4Shell güvenlik açığının saldırı çabalarını üç katına çıkardığını, kötü amaçlı kripto madenciliği etkinliğini ve çok daha fazlasını ortaya çıkardı.
WatchGuard’ın 2022 1’inci Çeyrek İnternet Güvenlik Raporu’nda yer alan önemli bulgular şu şekilde:
• Fidye yazılım rekora gidiyor. Tehdit Laboratuvarı’nın 2021 yılı 4’üncü Çeyrek İnternet Güvenliği Raporu’ndan elde edilen bulgular, fidye yazılımı saldırılarının yıldan yıla düşüş eğiliminde olduğunu gösteriyordu. Ancak 2022’nin ilk çeyreğinde elde edilen bulgular fidye yazılımı tespitlerinin büyük bir patlama ile artışa geçtiğini gösteriyor. Bu yılın ilk çeyreğinde tespit edilen fidye yazılımı saldırılarının sayısı, 2021’deki toplam tespit sayısının 2 katı kadar gerçekleşti.
• LAPSUS$, REvil’in çöküşünün ardından ortaya çıkıyor. 2021’in son çeyreği, kötü şöhretli REvil siber çetesinin çöküşünü görse de bu, sonradan başka bir grubun ortaya çıkmasına kapı açtı. WatchGuard’ın 1’inci çeyrek analizi, Rust programlama dilinde yazılmış bilinen ilk fidye yazılımı olan BlackCat gibi birçok yeni fidye yazılımı çeşidiyle birlikte LAPSUS$ gasp grubunun, giderek artan fidye yazılımı ve siber gasp tehdidi ortamına katkıda bulunan faktörlerden biri olabileceğini gösteriyor.
• Log4Shell en yaygın 10 ağ saldırısı listesine girdi. Aralık 2021’in başlarında kamuya açıklanan, Log4Shell olarak da bilinen kötü şöhretli Apache Log4j2 güvenlik açığı, bu çeyreğin sonlarında en yaygın 10 ağ saldırısı listesine girdi. 2021’in 4. çeyreğindeki toplu IPS algılamalarıyla karşılaştırıldığında, Log4Shell imzası bu yılın ilk çeyreğinde neredeyse üç katına çıktı. WatchGuard’ın son İnternet Güvenlik Raporu’nda en önemli güvenlik olayı olarak öne çıkan Log4Shell, CVSS’de mükemmel 10.0 puanı, bir güvenlik açığı için mümkün olan maksimum kritiklik, Java programlarında yaygın olarak kullanılması ve rastgele kod yürütmedeki kolaylık düzeyi nedeniyle dikkatleri üzerine topladı.
• Emotet’in geri dönüş turu devam ediyor. 2021’in başlarında ortadan kaldırılmasına rağmen Emotet, 2021’in 4’üncü çeyreğinde yeniden ortaya çıkmasının ardından bu çeyrekte ilk 10 tespitten üçünü ve en yaygın kötü amaçlı yazılımı oluşturuyor. Japonya’yı yoğun bir şekilde hedefleyen ve aynı zamanda en yaygın beş şifreli kötü amaçlı yazılım listesinde yer alan “Trojan.Vita” ve “Trojan.Valyria” tespitleri, botnet Emotet’i indirmek için Microsoft Office’teki açıklardan yararlanıyor. Emotet ile ilgili üçüncü kötü amaçlı yazılım örneği olan MSIL.Mensa.4, bağlı depolama cihazlarına ve çoğunlukla ABD’deki hedef ağlara yayılabilir. Tehdit Laboratuvarı verileri, Emotet’in dosyayı bir kötü amaçlı yazılım dağıtım sunucusundan indirip yükleyen bir trojan görevi gördüğünü gösteriyor.
• PowerShell komut dosyaları, artan uç nokta saldırılarında başı çekiyor. İlk çeyrek için genel uç nokta algılamaları, önceki çeyreğe göre yaklaşık yüzde 38 arttı. Komut dosyaları, özellikle de PowerShell scriptleri baskın saldırı vektörüydü. Tüm algılamaların yüzde 88’ini oluşturan komut dosyaları, genel uç nokta algılamalarının sayısını tek başına bir önceki çeyrek için bildirilen rakamın ötesine taşıdı. PowerShell komut dosyaları, saldırganların meşru araçlar kullanarak dosyasız ve LotL saldırılara nasıl geçtiğini gösteren ilk çeyrekteki komut dosyası tespitlerinin yüzde 99,6’sından sorumluydu. Bu komut dosyaları saldırganlar için net bir seçim olsa da WatchGuard’ın verileri, diğer kötü amaçlı yazılım kaynaklarının gözden kaçırılmaması gerektiğini ortaya koyuyor.
• Kötü niyetli faaliyetlerle ilişkili meşru kripto madenciliği operasyonları. İlk çeyrekte en yaygın kötü amaçlı yazılım etki domainleri listesine yapılan üç yeni eklemenin tümü Nanopool ile ilgiliydi. Bu popüler platform, istikrarlı getiri sağlamak için kripto para madenciliği faaliyetlerini bir araya getiriyor. Bu domainler, yasal bir kuruluşla ilişkili teknik olarak meşru domainler. Bununla birlikte, bu madencilik havuzlarına bağlantılar neredeyse her zaman bir iş veya eğitim ağından, yasal madencilik operasyonlarına karşı kötü amaçlı yazılım bulaşmalarından kaynaklanıyor.
• İşletmeler hala çok çeşitli benzersiz ağ saldırılarıyla karşı karşıya. İlk 10 IPS imzası tüm ağ saldırılarının yüzde 87’sini oluştururken; bilinmeyen tespitler 2019’un ilk çeyreğinden bu yana en yüksek sayıya ulaştı. Bu artış, otomatik saldırıların gelişi güzel her şeyi denemek yerine daha küçük bir potansiyel alt kümelere odaklandığını gösteriyor. Bununla birlikte, işletmeler hala çok geniş yelpazede tespitler yaşıyor.
• EMEA, kötü amaçlı yazılım tehditleri için bir erişim noktası olmaya devam ediyor. Temel ve gelişmiş kötü amaçlı yazılımların genel bölgesel algılamalarına bakıldığında yüzde 57 oranda Avrupa, Orta Doğu ve Afrika’daki (EMEA) Firebox’lar ilk sırayı alıyor. Yüzde 22 ile Kuzey, Orta ve Güney Amerika (AMER) ve ardından yüzde 21 ile Asya’dakiler (APAC) geliyor.
