DENVER, 22 Mart 2022 /PRNewswire/ — kırmızı kanaryakimsenin yapmadığı tehditleri tespit eden Yönetilen Tespit ve Müdahale (MDR) sağlayıcısı, geçtiğimiz yıl müşterilerin ortamlarında tespit edilen 30.000’den fazla onaylanmış tehdidin analizine dayanan kapsamlı bir rapor olan dördüncü yıllık Tehdit Tespiti Raporunu bugün yayınladı.
Bulgular, grupların tespitten kaçınmak ve kazançlarını en üst düzeye çıkarmak için çifte gasp ve “hizmet olarak” modeller gibi yeni teknikleri benimsediği 2021’de fidye yazılımlarının tehdit ortamına hakim olduğunu ortaya koyuyor. Rapor, Cobalt Strike gibi düşmanların favorilerinden Rose Flamingo gibi yeni etkinlik kümelerine kadar Red Canary müşterilerinin çoğunu etkileyen en büyük 10 tehdidi ve şirketlerin bu saldırıları gerçekleştirmek için kullandıkları en yaygın teknikleri ve şirketlere güçlerini güçlendirmeleri için rehberlik de dahil olmak üzere inceliyor. Bu tehditleri tespit etme yeteneği.
Red Canary’den Keith McCammon, “Bu tehditler, başka yerlerde bulabileceğinizden daha az sansasyonel, ancak kuruluşların çoğunu etkileyecek olanlardır” dedi. “Bu rapor, son derece yaygın tehditleri ve kuruluşlara zarar veren denenmiş ve doğrulanmış teknikleri ele alıyor. Önleyici kontrollerden kaçınmaya devam eden ve tespit edilmesi zor olabilen düşmanca teknikleri derinlemesine araştırmak için onu bir adım daha ileri götürüyoruz. Bu raporun, yöneticilerden uygulayıcılara kadar herkes için değerli bir araç olarak hizmet etmesini ve siber güvenlik tehditlerini kuruluşları olumsuz etkilemeden önce tespit etmek ve bunlara yanıt vermek için gereken bilgileri sağlamasını umuyoruz.”
Meşru araçlar hain amaçlarla kullanılıyor
Red Canary, rakiplerin meşru araçlar kullanarak saldırılar gerçekleştirmeye devam ettiğini tespit etti. Güvenlik araçlarının gelişmişliği arttıkça, rakipler savunmadan kaçan kendi kötü amaçlı yazılımlarını geliştirmeyi ve dağıtmayı daha zor buluyor. Sonuç olarak, düşmanlar, yerel olmayan yazılımları tanıtmak yerine, bir cihaza yüklenmesi garanti edilen veya muhtemel olan araçları birlikte seçerek, gereklilik dışında yönetimsel araçlara (uzaktan yönetim yazılımı gibi) ve yerel işletim sistemi yardımcı programlarına güvenir.
Raporda vurgulanan en önemli 10 tehdit ve teknikten bazıları, komuta ve kontrol (C2) aracı Cobalt Strike, test aracı Impacket ve açık kaynak aracı Bloodhound dahil olmak üzere rakipler ve yöneticiler veya güvenlik ekipleri tarafından kullanılmaktadır. Özellikle Cobalt Strike hiç bu kadar popüler olmamıştı ve 2021’de Red Canary müşterilerinin %8’ini etkiledi. Conti, Ryuk ve REvil dahil olmak üzere en kötü şöhretli fidye yazılımı operatörlerinden bazılarının büyük ölçüde Cobalt Strike’a güvendiği biliniyor. 5. sırada yer alan Impacket, yasal olarak test için kullanılan ancak fidye yazılımı operatörleri tarafından kötüye kullanılan bir Python kitaplıkları koleksiyonudur. Bu, kötü niyetli veya iyi huylu olarak ayırt edilmesinin zorluğu nedeniyle tespit edilmekten kaçındığı bilindiğinden, düşmanlar arasında bir başka favoridir.
Fidye yazılımı tehdit ortamına hakim oldu
Fidye yazılımları, geçen yılın en yıkıcı siber saldırılarından bazıları için en yüksek faturaydı. Rapor, fidye yazılımı gruplarının 2021’de kullandığı, kurbanları fidye ödemeye zorlamak için birden fazla yolla baskı uygulayan çifte gasp gibi yeni taktikleri açıklıyor. Geçen yıl ayrıca, izinsiz girişler genellikle farklı fidye yazılımı gruplarına erişim sağlayan bir dizi farklı bağlı kuruluştan kaynaklanabileceğinden, kötü amaçlı etkinliklerin izlenmesini zorlaştıran bağlı kuruluş modelinin yükselişini de beraberinde getirdi. Bunun örnekleri arasında, düşmanlar tarafından fidye yazılımlarına veya diğer tehdit gruplarına erişimi devre dışı bırakmadan önce ortamlara ilk erişim sağlamak için kullanılan Bazar ve Qbot truva atları sayılabilir.
Rapor, BlackByte, Grief, Hive, Yanluowang, Vice Society ve CryptoLocker/Phoenix Locker dahil olmak üzere 2021’de daha yaygın hale gelen birkaç yeni fidye yazılımı ailesini analiz ederken Egregor, REvil, BlackMatter ve Doppelpaymer. Ortaya çıkan fidye yazılımı ailelerinin çoğu, daha az veya etkin olmayan hale gelenlere benziyordu ve analistlerin, bilinen rakiplerin yeni bir ad kullanarak yeniden ortaya çıktığını değerlendirmelerine yol açtı.
“Hizmet olarak” modeli norm haline geldi
Tehdit ortamı, 2021’de bir Hizmet Olarak Yazılım (SaaS) ekonomisine doğru ilerledi ve zaten bulanık olan ilişkilendirme sularını bulandırdı. Hizmet Olarak Fidye Yazılımı (RaaS) yıllardır geniş çapta rapor edilirken, bu model artık düşmanlar için bir norm haline geldi. Red Canary, TA551 gibi bazı “hizmet olarak” modelleri yıllardır takip ederken, diğerleri daha yeni yeni ortaya çıkıyor. Özellikle Red Canary, Bazar kötü amaçlı yazılım ailesinin türevlerini bırakan birden fazla kimlik avı bağlı kuruluşunu izliyor.
Bu ekonomik model, girişin önündeki teknik engeli azaltarak operatörlerin yetenekleri geliştirmek yerine satın almalarına olanak tanır. Hizmet Olarak Kimlik Avı, Hizmet Olarak Erişim ve Hizmet Olarak Şifreciler arasında, kiralık bir rakip bulmak hiç bu kadar kolay olmamıştı.
Red Canary’nin tam Tehdit Algılama Raporunu indirin burada.
Kırmızı Kanarya Hakkında
Red Canary, başka kimsenin yapamadığı siber tehditleri durdurur, böylece kuruluşlar görevlerini korkusuzca sürdürebilir. Bunu kurumsal uç noktalar, bulut iş yükleri, ağ, kimlikler ve SaaS uygulamaları genelinde yönetilen algılama ve yanıt (MDR) sağlayarak yapıyoruz. Bir güvenlik müttefiki olarak, MDR’yi 7×24 sınırsız destek, derin tehdit uzmanlığı, uygulamalı iyileştirme ve müşteriler ve ortaklar için doğru olanı yaparak kendi koşullarımıza göre tanımlarız.
KAYNAK Kırmızı Kanarya