Web Shell’in hedefi sağlık sektörü oldu

Ticari tehdit istihbarat ekibi Cisco Talos, en yaygın saldırıları, hedefleri ve eğilimleri derleyen 2023’ün ilk çeyreğine ilişkin siber güvenlik raporunu yayımladı. Siber saldırıların yaklaşık yüzde 22’sini, tehdit aktörlerinin internete açık web tabanlı sunucuların güvenliğini aşmasını sağlayan kötü amaçlı komut dosyaları “web shell” oluşturuyor. Cisco EMEA Servis Sağlayıcıları ve MEA Siber Güvenlik Direktörü Fady Younes, sonuçları şöyle değerlendirdi:

“Siber suçlular, erişimlerini kurumsal ağlara yaymak için güvenlik boşluklarından yararlanarak daha fazla deneyim kazanıyor. Çok çeşitli tehditlerin önüne geçmek ve hareket halindeki risklere yanıt verebilecek bir konumda olmak için, siber savunucular koruma stratejilerini ölçeklendirmelidir. Bu da büyük miktarda veriyi gerçek zamanlı olarak analiz etmek ve potansiyel tehditleri herhangi bir hasara neden olmadan önce tanımlamak için otomasyon, makine öğrenimi ve tahmine dayalı zekâ gibi gelişmiş teknolojilerden yararlanmak anlamına geliyor. Siber tehditler artarken, kuruluşlar kendilerini olası ihlallerden korumak için proaktif önlemler almalıdır. Kurumsal güvenliğin önündeki en önemli engellerden biri, birçok kuruluşta Sıfır Güven mimarisi uygulamalarının bulunmamasıdır. Hassas verilere yetkisiz erişimi önlemek için işletmeler Cisco Duo gibi bir tür MFA uygulamalıdır. Cisco Secure Endpoint gibi uç nokta tespit ve müdahale çözümleri de ağ ve cihazlardaki kötü niyetli faaliyetleri tespit etmek için gereklidir.”

Öncelikli tehditlere bakış
Web shell: Bu çeyrekte, web shell kullanımı 2023’ün ilk çeyreğinde yanıt verilen tehditlerin yaklaşık dörtte birini oluşturdu. Her web shell’in kendi temel işlevleri olmasına rağmen, tehdit aktörleri genellikle ağ genelinde erişimi yaymak için esnek bir araç seti sağlamak üzere bunları birbirine zincirledi.
Fidye yazılımı: Fidye yazılımı, etkileşimlerin yüzde 10’undan azını oluşturdu ve önceki çeyrekteki fidye yazılımı etkileşimlerine (yüzde 20) kıyasla önemli bir düşüş gösterdi. Fidye yazılımı ve fidye yazılımı öncesi saldırıların toplamı, gözlemlenen tehditlerin yaklaşık yüzde 22’sini oluşturuyordu.
Qakbot emtiası: Qakbot emtia yükleyicisi, bu çeyrekte ZIP dosyalarını kötü amaçlı OneNote belgeleriyle kullanan etkileşimler arasında gözlemlendi. Saldırganlar, Microsoft’un Temmuz 2022’de Office belgelerinde makroları varsayılan olarak devre dışı bırakmasının ardından, kötü amaçlı yazılımlarını yaymak için OneNote’u giderek daha fazla kullanıyor.
Kamuya açık uygulamaları suistimal etme: Halka açık uygulamaların suistimali, bu çeyrekte en önemli ilk erişim vektörü oldu ve etkileşimlerin yüzde 45’ine katkıda bulundu. Bir önceki çeyrekte bu oran yüzde 15’ti.

Rapor, etkileşimlerin yüzde 30’unun çok faktörlü kimlik doğrulamasından yoksun olduğunu veya yalnızca belirli hesaplarda ve hizmetlerde etkinleştirildiğini gösterdi. Güvenlik birimlerinin çabaları, Hive fidye yazılımı gibi büyük fidye yazılımı çetelerinin faaliyetlerini çökertti, ancak bu yeni ortaklıkların kurulması için alan da yarattı. Sağlık hizmetleri bu çeyrekte en çok hedef alınan sektör oldu. Bunu perakende-ticaret, gayrimenkul, gıda hizmetleri ve konaklama sektörleri yakından takip etti.