Sophos’un aktif olarak sahada siber tehditlerle mücadele eden Rapid Response ekibinin 2021’de karşılaştıkları siber saldırılara dair gözlemlerinin yer aldığı ‘Active Adversary Playbook 2022’ çalışması, çarpıcı sonuçlar ortaya koydu. Geçtiğimiz yıl sisteme sızan saldırganların içeride kalma süresi 15 güne uzarken, şirket küçüldükçe bu süre artıyor. Sophos uzmanları, bu nedenle herhangi bir aktif saldırı gözlenmemesinin sistemlerin ihlal edilmediği anlamına gelmeyebileceğine dikkat çekiyor.  

Sophos, sahada aktif olarak siber tehditlerle mücadele eden Sophos Rapid Response ekibinin 2021’de karşılaştığı siber saldırıların davranışlarına etraflıca yer verdiği ‘Active Adversary Playbook 2022’ çalışmasını yayınladı. Rapora göre sistemlere sızan siber saldırganların harekete geçmeden önce içerde bekleme süresi bir önceki yıla kıyasla yüzde 36 artarak 11 günden 15 güne çıktı. Rapor ayrıca Sophos’un İlk Erişim Aracıları (IAB) tarafından ihlal edildiğine inandığı Microsoft Exchange ProxyShell güvenlik açıklarının etkisini de ortaya koydu. Söz konusu güvenlik açıkları ihlal edildikten sonra diğer siber saldırı gruplarına satıldığı da gelen bilgiler arasında yer aldı.

Siber suç dünyasının son derece uzmanlaşmış bir iş kolu haline geldiğine dikkat çeken Sophos Kıdemli Güvenlik Danışmanı John Shier, “İlk Erişim Aracıları, ağda keşif yapıp hedeflerine sızdıktan sonra arka kapılar yerleştiriyorlar. Böylece hedefe sadece kendileri saldırmakla kalmıyor, fidye yazılımı çetelerine anahtar teslim erişim sattıkları bir siber suç ekonomisini hayata geçiriyorlar. Sürekli gelişen siber tehdit ortamında kuruluşların saldırganların kullandığı değişen araçlara ve yaklaşımlara ayak uydurması zor olabilir. Bu nedenle siber güvenlik uzmanlarının saldırı zincirinin her aşamasında nelere dikkat etmeleri gerektiğini anlamaları hayati önem taşıyor.” dedi.

Kurum küçüldükçe içeride kalma süresi artıyor

Sophos’un araştırması, davetsiz misafirin sistemde kalma süresinin kurum küçüldükçe daha da uzadığını gösteriyor. Saldırganlar 250’ye kadar çalışanı olan kuruluşlarda yaklaşık 51 gün kalırken, 3 bin ila 5 bin çalışanı olan kurumlarda yaklaşık 20 gün geçiriyorlar. Shier, “Saldırganlar büyük organizasyonları daha değerli görüyorlar. Bu yüzden şirkete sızmak, istediklerini almak ve çıkmak için daha motive oluyorlar. Küçük kuruluşların bu tarz saldırganların gözündeki değeri genellikle daha düşük. Bu nedenle küçük şirketlerde daha uzun süre arka planda gizlenmeyi göze alabiliyorlar. Bunun sebebi bu gibi kurumlara sızan saldırganların daha az deneyimli olması ve ağa girdikten sonra ne yapacaklarını kestirmek için daha fazla zamana ihtiyaç duymaları da olabilir. Ayrıca küçük organizasyonlar, saldırganları tespit etmek ve uzaklaştırmak için gerekli kaynaklara sahip olmayabilirler ve bu da içerde kalma süresini uzatabilir.” bunun sebebini şeklinde açıkladı.

Yama uygulanmamış ProxyLogon ve ProxyShell güvenlik açıklarından ve İlk Erişim Aracıları’nın yükselişinden kaynaklanan fırsatlar eşliğinde, tek bir hedefte birden fazla saldırganın yer aldığına dair pek çok kanıt gördüklerine de dikkat çeken Shier, “Ağ ne kadar kalabalıksa saldırganlar rakiplerini geride bırakmak için o kadar hızlı hareket etmek isteyeceklerdir.” ifadelerini kullandı.

Küçük organizasyonlarda ve BT için yeterince kaynak ayıramayan endüstrilerde faaliyet gösteren şirketlerde, nihai amacını henüz gerçekleştirmemiş saldırganların tespit edilmesi daha uzun zaman alıyor. Fidye yazılımının vurduğu kuruluşlarda ortalama bekleme süresi 11 gün iken, sistemleri ihlal edilmiş ancak henüz büyük bir saldırıdan etkilenmemiş kurumlar için ortalama bekleme süresi 34 gün. Eğitim sektöründe veya 500’den az çalışanı olan kuruluşlarda bekleme süreleri daha uzun.

Uzun bekleme süreleri ve açık giriş noktaları, kuruluşları birden fazla saldırgana karşı savunmasız bırakıyor. Adli kanıtlar İlk Erişim Aracıları, fidye yazılım çeteleri ve kripto madenciler dahil olmak üzere birden fazla saldırganın aynı anda aynı kuruluşu hedef aldığı örnekler ortaya koydu. Hatta bazı durumlarda birden fazla fidye yazılımının aynı sistemde yer aldığı gözlendi.

Harici erişim için Uzak Masaüstü Protokolü (RDP) kullanımındaki düşüşe rağmen, saldırganlar dahili yanal hareket için araç kullanımını artırıyor. Saldırganlar 2020’de analiz edilen vakaların yüzde 32’sinde harici etkinlik için RDP kullanırken, bu oran 2021’de yüzde 13’e düştü. Bu durum kuruluşların harici saldırı yüzeyi yönetimini iyileştirdiğini gösterse de, saldırganlar içerideki yanal hareketler için RDP’yi kötüye kullanmaya devam ediyor. Sophos 2021’de vakaların yüzde 82’sinde saldırganların RDP’yi dahili yanal hareket için kullandığını tespit ederken, 2020’de oran yüzde 69 idi.

Saldırılarda kullanılan yaygın araç kombinasyonları, davetsiz misafirlerin etkinliğine dair güçlü ipuçları sunuyor. Olay araştırmaları, 2021’de PowerShell kullanan ve kullanmayan kötü amaçlı komut dosyalarının vakaların yüzde 64’ünde birlikte yer aldığını ortaya koydu. PowerShell ve Cobalt Strike vakaların yüzde 56’sında bir arada bulunurken, PowerShell ve PsExec vakaların yüzde 51’inde yer alıyordu. Bu tür ilişkilerin tespiti, aktif veya yaklaşmakta olan bir saldırıya karşı erken uyarı görevi görebilir.

Fidye yazılımı saldırılarının yüzde 50’si veri hırsızlığı da içerirken, veri hırsızlığıyla fidye yazılımının devreye alınması arasındaki ortalama süre 4,28 gün olarak belirlendi. Sophos’un 2021’de yanıt verdiği olayların yüzde 73’ü fidye yazılımlarıyla ilişkiliydi. Fidye yazılımı olaylarının yüzde 50’sinde veri hırsızlığı da vakaya eşlik ediyordu. Veri hırsızlığı genellikle saldırının fidye yazılımının çalıştırılmasından önceki son aşamasına karşılık geliyor.

2021’in en üretken fidye yazılımı grubu olan Conti, tüm olayların yüzde 18’inden sorumlu. REvil fidye yazılımı 10 olaydan birini üstlenirken, diğer yaygın fidye yazılımı aileleri arasında ABD’deki Colonial Pipeline’a yapılan kötü şöhretli saldırının arkasındaki RaaS olan DarkSide ve Mart 2021’de ortaya çıkan ProxyLogon güvenlik açığının ardından piyasada beliren yeni fidye yazılımı ailelerinden Black Kingdom yer alıyor. Analizlere dahil edilen 144 olayda 41 farklı fidye grubu tespit edildi. Bunların 28’i ilk olarak 2021’de bildirilen yeni gruplardı. 2020’deki olaylarda görülen 18 fidye yazılımı grubu 2021’de listeden kayboldu.

Hiç belirti olmaması organizasyonun ihlal edilmediği anlamına gelmiyor

Organizasyonda saldırıya dair belirti olmamasının saldırıya uğramadığı anlamına gelmeyeceğine dikkat çeken Shier, kurumlara şu tavsiyelerde bulundu: “Siber güvenlik profesyonellerinin dikkat etmesi gereken kırmızı bayraklar arasında meşru bir aracın veya araç kombinasyonunun beklenmedik bir yerde, alışılmadık bir faaliyetinin tespit edilmesi yer alıyor. Ayrıca zaman zaman çok az faaliyet olsa veya hiç olmasa dahi, bu organizasyonun ihlal edilmediği anlamına gelmiyor. Örneğin arka kapıların kalıcı erişim için hedeflenen kurumlara yerleştirildiği, bunların kullanılana veya başkalarına satılana kadar sessizce bekletildiği bilinmeyen çok sayıda ProxyLogon veya ProxyShell ihlalinin söz konusu olması büyük olasılık. Bu nedenle güvenlik uzmanları herhangi bir şüpheli işarete karşı tetikte olmalı ve bunu derhal soruşturmalıdır. Özellikle yaygın olarak kullanılan yazılımlardaki kritik hataların düzeltilmesi ve öncelikli olarak uzaktan erişim hizmetlerinin güvenliğinin sağlanması gerekir. Açıkta kalan giriş noktaları kapatılmadığı sürece herkes sistemlerinize sızabilir ve büyük ihtimalle de sızacaktır.”