Siber Saldırılarda kullanılan en nadir teknikler hizmet modeliyle ortalığa saçılıyor!

Sophos, 2023 yılı Tehdit Raporunu yayınladı. Paranın kokusunu alan siber suçlular yeraltı dünyasındaki siber suç ağlarını hizmet odaklı bir model eşliğinde ticari olarak genişletirken, bir zamanlar yalnızca en gelişmiş saldırılarda kullanılan nadir araçları ve yetenekleri hizmet modeliyle diğer saldırganlara satıyorlar.

Siber güvenliği hizmet olarak geliştiren ve sunan dünyanın lider şirketi Sophos, 2023 Yılı Tehdit Raporunu paylaştı. Rapor, hizmet olarak sunulan siber suçların yaygınlaşmasıyla siber suça yönlenmek isteyenlerin bu dünyaya adım atmalarının önündeki engellerin neredeyse tamamen ortadan kalktığına, siber tehdit ortamının artık kolayca erişilebilen ticari bir platform haline dönüştüğüne dikkat çekiyor. Raporda ayrıca fidye yazılımlarının yeni haraç taktikleri eşliğinde kurumlara dadanan en büyük siber tehditlerden biri olmaya devam ettiği ve çalınan kimlik bilgilerine yönelik talebin arttığı da ele alınıyor.

Genesis ve benzeri yeraltı suç pazarları, uzun zamandır kötü amaçlı yazılım ve bunlara dair dağıtım hizmetleri (hizmet olarak kötü amaçlı yazılım) sunmanın yanı sıra, çalınan kimlik bilgilerinin ve diğer verilerin toplu olarak satışını mümkün kıldı. Geçtiğimiz 10 yıl boyunca fidye yazılımının artan popülaritesi, kapsamlı bir “hizmet olarak fidye yazılımı” ekonomisini ortaya çıkardı. 2022 yılında da bu hizmet tabanlı model genişledi ve ilk bulaşmadan tespitten kaçınma tekniklerine kadar siber suçlara yönelik araç setinin neredeyse her parçası satın alınabilir hale geldi.

Sadece Yazılım Değil, Yetenek de Kiralanıyor

Sophos Tehdit Araştırmaları Lideri Sean Gallagher, bunların kötü amaçlı yazılım, dolandırıcılık veya satılık kimlik avı kitleri gibi sıradan araçlar olmadığına dikkat çekiyor. Gallagher, şunları söylüyor: “Üst düzey siber suçlular, bir zamanlar yalnızca en gelişmiş saldırılarda kullanılan nadir araçları ve yetenekleri artık hizmet modeliyle diğer saldırganlara da satıyorlar. Örneğin geçtiğimiz yıl Cobalt Strike enfeksiyonlarının gizlenmesine yardımcı olmak üzere operasyon güvenliğinin, Metasploit gibi meşru ticari araçları bulup güvenlik açıklarından yararlanmaya olanak sağlayan keşif hizmetlerinin hizmet olarak sunulduğunu gördük. Siber suçun neredeyse her bileşeninin ticarileştirilmesi tehdit ortamını değiştiriyor ve beceri seviyesinden bağımsız olarak tüm saldırganlar için fırsat yaratıyor.”

Hizmet tabanlı ekonominin genişlemesiyle, yeraltı siber suç pazarı da ana akım işletmeler gibi çalışmaya başladı. Siber suç hizmet sağlayıcıları artık yalnızca hizmetlerinin reklamını yapmakla kalmıyor, farklı becerilere sahip saldırganları çekmek için iş ilanları yayınlıyor. Bazı pazar yerlerinde yardım aranıyor ilanları eşliğinde yetenek kiralanırken, iş arayanlar kendi becerilerini ve niteliklerini paylaşıyor.

Gallagher, “İlk fidye yazılımı operatörleri operasyonlarını merkezileştirildiği için yapabilecekleri oldukça sınırlıydı” diyor. “Grup üyeleri saldırının her aşamasını gerçekleştiriyordu. Ancak fidye saldırıları kârlı hale geldikçe üretimi ölçeklendirmenin yollarını aradılar. Böylece fidye yazılımlarını desteklemek için eksiksiz bir altyapı oluşturarak, operasyonlarının bazı adımlarını dış kaynak yoluyla temin etmeye başladılar. Bu yaklaşımın başarısını gören diğer siber suçlular da aynı yolu izledi.”

Yeni Saldırı Teknikleri Topluluğun Fikrinden Besleniyor

Gerçekten de siber suç altyapısının genişlemesiyle fidye yazılımlarının popülerliği ve karlılığı giderek arttı. Geçtiğimiz yıl fidye yazılımı operatörleri Windows dışındaki platformları hedefleyerek potansiyel saldırı hizmetlerini genişletmeye odaklanırken, tespitten kaçınmak için Rust ve Go gibi yeni dilleri benimsedi. Bazı gruplar ise operasyonlarını çeşitlendirmek ve kurbanları gasp etmek için daha “yenilikçi” yolların arayışına gidiyor. Bunlar arasında Lockbit 3.0 başı çekiyor.

Gallagher, “Fidye yazılımı kendi başına bir iş kolu haline geldi. Yeraltı suçlularının karmaşık yapısı fidye yazılımlarını da değiştiriyor. Örneğin Lockbit 3.0, kötü amaçlı yazılımlarında hata bulanlara ödül vaat ediyor ve operasyonlarını iyileştirmek için suç topluluğundan gelen kitle kaynaklı fikirleri kullanıyor. Bazı gruplar sızıntı verilerine erişim için abonelik modeline geçerken bazıları bunları açık artırmaya çıkarıyor” diyor.

Gelişen yeraltı ekonomisi yalnızca fidye yazılımlarının ve yeni hizmet tabanlı endüstrinin büyümesini teşvik etmekle kalmıyor, aynı zamanda kimlik bilgileri hırsızlığına olan talebi de artırıyor. Web hizmetlerinin yaygınlaşmasıyla birlikte çeşitli kimlik bilgileri, özellikle tanımlama bilgileri, ağlarda kendine daha derin bir yer edinmek isteyenlerce çeşitli şekillerde kullanılabiliyor. Bu yolla çok faktörlü doğrulama dahi aşılabiliyor. Kimlik bilgisi hırsızlığı, aynı zamanda acemi suçlular için yer altı pazarlarına erişim sağlamanın ve siber suç kariyerlerine başlamanın en kolay yollarından biri olmaya devam ediyor.

Sophos’un gözlemlediği diğer tehdit eğilimleri arasında şunlar yer alıyor:

• Ukrayna’daki savaşın siber tehdit ortamı üzerinde küresel yansımaları oldu. İşgalin hemen ardından mali amaçlı dolandırıcılıklarda patlama olurken, milliyetçilik Ukraynalılar ve Ruslar arasında, özellikle de fidye yazılımı bağlantılı kuruluşlar özelinde suç ittifaklarının sarsılmasına yol açtı.
• Suçlular, fidye yazılımı da dahil olmak üzere çeşitli türlerde saldırılar başlatmak için yasal yürütülebilir dosyalara ve LOLBins’e başvuruyor. Bazı durumlarda saldırganlar, tespit edilmemek adına uç nokta güvenliğini ve yanıt ürünlerini kapatmaya çalışmak için meşru ancak savunmasız sistem sürücülerini ‘kendi sürücünü getir’ saldırılarında kullanıyor.
• Mobil cihazlar artık yeni siber suç türlerinin merkezinde yer alıyor. Saldırganlar kötü amaçlı yazılım enjeksiyonu, casus yazılımlar ve bankacılıkla ilişkili kötü amaçlı yazılımlar dağıtmak için sahte uygulamalar kullanmakla kalmıyor, aynı zamanda yeni siber dolandırıcılık biçimlerinin popülaritesi artıyor. Bu suçlar artık sadece Android kullanıcılarını değil, iOS kullanıcılarını da etkiliyor.
• Kripto madencileri için en popüler kripto para birimlerinden biri olan Monero’nun devalüasyonu, kripto para madenciliğinde düşüşe yol açtı. Ancak madencilik yazılımları yine de hem Windows hem Linux sistemlerinde otomatik botlar aracılığıyla yayılmaya devam ediyor.

2022’de değişen tehdit ortamı ve bunun 2023’te güvenlik ekipleri için ne anlama geldiği hakkında daha fazla bilgiyi Sophos 2023 Tehdit Raporunda bulabilirsiniz.

Sophos 2023 Tehdit Raporu, Sophos’ta yerleşik üç siber güvenlik uzmanı ekibini (SophosLabs, Sophos SecOps ve Sophos AI) birbirine bağlayan yeni çapraz operasyon birimi Sophos X-Ops’un araştırma ve içgörülerinden oluşuyor. Sophos X-Ops, giderek daha karmaşık hale gelen tehdit ortamının eksiksiz, çok disiplinli bir resmini sunmak için dünya çapında benzersiz donanıma sahip 500’den fazla siber güvenlik uzmanını içeriyor.

Günlük siber saldırılar ve TTP’ler hakkında daha fazla bilgi edinmek için Twitter’da Sophos X-Ops’u takip edebilir, siber güvenliğin ön cephelerinden güncel tehdit araştırmaları, güvenlik makaleleri ve raporları almak için abone olabilirsiniz.