Şifrelenmiş kötü amaçlı yazılımlarda artış var!

WatchGuard Technologies, 2022’nin ikinci çeyreğine ilişkin kötü amaçlı yazılım trendleri ve ağ güvenliği tehditlerini analiz eden üç aylık İnternet Güvenlik Raporu’nu yayınladı.

Rapora göre, kötü amaçlı yazılım hacminde azalmanın, şifrelenmiş kötü amaçlı yazılımlarda ise artışın olduğunu gözlemlenirken, Microsoft Office uygulamalarında da aktif şekilde kullanılan güvenlik açıklarının olduğu tespit edildi.

WatchGuard’ın 2022 2’nci Çeyrek İnternet Güvenlik Raporu’nda yer alan önemli bulgular şu şekilde:

• Office açıkları diğer tüm kötü amaçlı yazılım kategorilerinden daha fazla yayılmaya devam ediyor. Bu çeyreğin en önemli olayı, ilk olarak Nisan ayında bildirilen ve Mayıs ayı sonuna kadar yaması yapılmayan Follina Office istismarı (CVE-2022-30190) oldu. Kötü amaçlı bir belge aracılığıyla sunulan Follina, Windows Korumalı Görünüm ve Windows Defender’ı atlatmayı başardı ve ulus devletler de dahil olmak üzere tehdit aktörleri tarafından aktif olarak istismar edildi. Diğer üç Office açığı (CVE-2018-0802, RTF-ObfsObjDat.Gen ve CVE-2017-11882) ise Almanya ve Yunanistan’da yaygın olarak tespit edilmiştir.

• Kötü amaçlı yazılımların uç nokta tespitleri eşit oranda olmasa da genel olarak azaldı. Toplam uç nokta kötü amaçlı yazılım tespitlerinde yüzde 20’lik bir düşüşe rağmen, tarayıcıları istismar eden kötü amaçlı yazılımlar toplu olarak yüzde 23 artarken Chrome’da yüzde 50’lik bir artış görüldü. Chrome tespitlerindeki artışın olası bir nedeni, çeşitli sıfır gün açıklarının devam etmesi. Komut dosyaları 2’nci çeyrekte de uç nokta tespitlerinde aslan payını (yüzde 87) almaya devam etti.

• Ağ saldırısı tespitlerinin yüzde 75’inden fazlasını ilk 10 imza saldırısı oluşturdu. Bu çeyrekte, yeni imzalar (WEB Directory Traversal -7 ve WEB Directory Traversal -8) da dahil olmak üzere endüstriyel ekipman ve süreçleri kontrol eden ICS ve SCADA sistemlerinin hedef alınmasında artış görüldü. Bu iki imza birbirine çok benzerken ilk imza saldırısı, ilk olarak 2012 yılında belirli bir SCADA arayüz yazılımında ortaya çıkarılan bir güvenlik açığından faydalanırken, ikincisi yaygın olarak Almanya’da tespit edildi.

• Yeniden canlanan Emotet büyük bir tehdit oluşturuyor. Geçen çeyrekten bu yana hacmi azalmış olsa da Emotet, ağ güvenliğinin en büyük tehditlerinden biri olmaya devam ediyor. Bu çeyreğin en iyi 10 genel ve en iyi 5 şifrelenmiş kötü amaçlı yazılım tespitinden biri Emotet botnetini yayan bir Win Kodu enjektörü olan XLM.Trojan.abracadabra da Japonya’da yaygın olarak görüldü.