HP, kullanıcıları kandırma konusunda giderek daha da ustalaşan siber suçluların yeni alanlara sıçradığını tespit etti. Gizli teknikler ve büyüyen kötü amaçlı Excel yazılımı saldırıları, kullanıcıları fidye yazılımı çetelerinin hedefine koyuyor.
HP, algılama araçlarından kaçan ve kullanıcı uç noktalarına ulaştırılan tehditleri yalıtarak, siber suçlular tarafından kullanılan en son tekniklerin analizini içeren HP Wolf Security Threat Insights Raporu’nu yayınladı.
HP Wolf Security tehdit araştırma ekibi, kötü amaçlı yazılımları yaymak için Excel eklenti dosyalarını ele geçirerek, saldırganların hedeflere erişmesine yardımcı olan ve hem kurumları hem de bireyleri veri hırsızlığı ve yıkıcı fidye yazılımı saldırılarına maruz bırakan bir saldırı dalgası tespit etti. Sistemlere virüs bulaştırmak için kötü amaçlı Microsoft Excel eklentisi (.xll) dosyalarını kullanan saldırılarda geçen çeyreğe kıyasla altı kat büyük bir artış yaşandı. Sadece bir tıklama gerektiren bu kötü amaçlı yazılımın özellikle tehlikeli olduğu tespit edilmiş bulunuyor. Ekip ayrıca yeraltı pazarlarında ‘.xll dropper’ ve kötü amaçlı yazılım oluşturucu kitleri tanıtan reklamlar buldu. Tüm bunlar deneyimsiz saldırganların saldırı başlatmasını kolaylaştıran etkenler olarak öne çıkıyor.
Ayrıca, yeni bir QakBot spam saldırısı, güvenliği ihlal edilmiş e-posta hesaplarındaki e-posta zincirlerini ele geçirip postalara ekli bir kötü amaçlı Excel (.xlsb) dosyasıyla cevap yollayarak hedefleri kandırmak için Excel dosyalarını kullandı. QakBot, sistemlere girdikten sonra, algılanmamak için kendisini meşru Windows işlemlerine enjekte ediyor. Kötü amaçlı Excel (.xls) dosyaları, Ursnif bankacılık truva’sını kötü amaçlı bir spam saldırısıyla İtalyanca konuşan kurumlara ve kamu sektörü kuruluşlarına yaymak için de kullanıldı ve saldırganlar İtalyan kurye hizmeti BRT gibi davrandı. Emotet kötü amaçlı yazılımlarını yayan yeni saldırılar artık JavaScript veya Word dosyaları yerine Excel’i de kullanıyor.
HP Inc. Kıdemli Kötü Amaçlı Yazılım Analisti, HP Wolf Security tehdit araştırma ekibi üyesi Alex Holland; “Kendilerini algılayacak araçlardan gizlenmek için yazılımların meşru özelliklerini kullanmak ve e-posta ağ geçitlerinin geçmesine izin verebilecek nadir dosya türlerinden faydalanmak saldırganlar için yaygın bir taktik. Güvenlik ekiplerinin sadece tespit etmekle yetinmemeleri, en son tehditlere ayak uydurmalarını ve savunmalarını buna göre güncellemeleri gerekiyor. Örneğin, gördüğümüz kötü amaçlı .xll görüntülerindeki spike’a dayanarak, ağ yöneticilerinin gelen .xll eklerini engelleyecek şekilde e-posta ağ geçitlerini yapılandırmasını, yalnızca güvenilir ortaklar tarafından imzalanmış eklentilere izin vermelerini veya Excel eklentilerini tamamen devre dışı bırakmalarını öneriyorum.” şeklinde konuştu ve şöyle devam etti: “Saldırganlar tespit edilmemek için sürekli yenilik yapıyor, bu nedenle kurumların savunmalarını tehdit ortamına ve kullanıcılarının iş ihtiyaçlarına göre planlamaları ve ayarlamaları hayati önem taşıyor. Tehdit aktörleri, e-posta zincirleri ele geçirme gibi tekniklere yatırım yaparak, kullanıcının dostu düşmandan ayırmasını her zamankinden daha zor hale getirdi.”
HP Inc. Kişisel Sistemler Küresel Güvenlik Başkanı Dr. Ian Pratt, “Bugün, düşük seviyeli tehdit aktörleri gizli saldırılar gerçekleştirebilir ve organize fidye yazılımı gruplarına erişim satabilir, bu da BT sistemlerini sakatlayan ve operasyonları durma noktasına getiren büyük ölçekli ihlallere yol açabiliyor.” diyor ve ekliyor: “Kurumlar, saldırı yüzeyini azaltmaya ve uzlaşma durumunda hızlı iyileşme sağlamaya odaklanmalı. Bu, Sıfır Güven ilkelerini takip etmek ve donanım düzeyinden itibaren güçlü kimlik yönetimi, en az ayrıcalık ve yalıtım uygulamak anlamına gelir. Örneğin, mikro sanallaştırma kullanarak e-posta, tarayıcı veya indirme gibi yaygın saldırı vektörlerini izole ederek, içinde gizlenen olası kötü amaçlı yazılımlar veya istismarlar kontrol altına alınır ve böylece zararsız hale getirilirler.”
