Hacker’lar, saldırmadan önce 15 gün içerde saklanıyor

Sophos’un aktif olarak sahada siber tehditlerle mücadele eden Rapid Response ekibinin 2021’de karşılaştıkları siber saldırılara dair gözlemlerinin yer aldığı Active Adversary Playbook 2022 çalışması, çarpıcı sonuçlar ortaya koydu. Geçtiğimiz yıl sisteme sızan saldırganların içerde kalma süresi 15 güne uzarken, şirket küçüldükçe bu süre artıyor. Sophos uzmanları, bu nedenle herhangi bir aktif saldırı gözlenmemesinin sistemlerin ihlal edilmediği anlamına gelmeyebileceğine dikkat çekiyor.  

Yeni nesil siber güvenliğin lideri Sophos, sahada aktif olarak siber tehditlerle mücadele eden Sophos Rapid Response ekibinin 2021’de karşılaştığı siber saldırıların davranışlarına etraflıca yer verdiği “Active Adversary Playbook 2022” çalışmasını yayınladı. Rapora göre sistemlere sızan siber saldırganların harekete geçmeden önce içerde bekleme süresi bir önceki yıla kıyasla %36 artarak 11 günden 15 güne çıktı. Rapor ayrıca Sophos’un İlk Erişim Aracıları (IAB) tarafından ihlal edildiğine inandığı Microsoft Exchange ProxyShell güvenlik açıklarının etkisini de ortaya koydu. Söz konusu güvenlik açıkları ihlal edildikten sonra diğer siber saldırı gruplarına satılıyor. 

Siber suç dünyasının son derece uzmanlaşmış bir iş kolu haline geldiğine dikkat çeken Sophos Kıdemli Güvenlik Danışmanı John Shier, şunları söylüyor: 

“İlk Erişim Aracıları, ağda keşif yapıp hedeflerine sızdıktan sonra arka kapılar yerleştiriyorlar. Böylece hedefe sadece kendileri saldırmakla kalmıyor, fidye yazılımı çetelerine anahtar teslim erişim sattıkları bir siber suç ekonomisini hayata geçiriyorlar. Sürekli gelişen siber tehdit ortamında kuruluşların saldırganların kullandığı değişen araçlara ve yaklaşımlara ayak uydurması zor olabilir. Bu nedenle siber güvenlik uzmanlarının saldırı zincirinin her aşamasında nelere dikkat etmeleri gerektiğini anlamaları hayati önem taşıyor.”

Kurum Küçüldükçe İçerde Kalma Süresi Artıyor

Sophos’un araştırması, davetsiz misafirin sistemde kalma süresinin kurum küçüldükçe daha da uzadığını gösteriyor. Saldırganlar 250’ye kadar çalışanı olan kuruluşlarda yaklaşık 51 gün kalırken, 3 bin ila 5 bin çalışanı olan kurumlarda yaklaşık 20 gün geçiriyorlar. Shier, bunun sebebini şöyle açıklıyor:

“Saldırganlar büyük organizasyonları daha değerli görüyorlar. Bu yüzden şirkete sızmak, istediklerini almak ve çıkmak için daha motive oluyorlar. Küçük kuruluşların bu tarz saldırganların gözündeki değeri genellikle daha düşük. Bu nedenle küçük şirketlerde daha uzun süre arka planda gizlenmeyi göze alabiliyorlar. Bunun sebebi bu gibi kurumlara sızan saldırganların daha az deneyimli olması ve ağa girdikten sonra ne yapacaklarını kestirmek için daha fazla zamana ihtiyaç duymaları da olabilir. Ayrıca küçük organizasyonlar, saldırganları tespit etmek ve uzaklaştırmak için gerekli kaynaklara sahip olmayabilirler ve bu da içerde kalma süresini uzatabilir.” 

Yama uygulanmamış ProxyLogon ve ProxyShell güvenlik açıklarından ve İlk Erişim Aracılarının yükselişinden kaynaklanan fırsatlar eşliğinde, tek bir hedefte birden fazla saldırganın yer aldığına dair pek çok kanıt gördüklerine de dikkat çeken Shier, “Ağ ne kadar kalabalıksa saldırganlar rakiplerini geride bırakmak için o kadar hızlı hareket etmek isteyeceklerdir” diyor.

Rapordaki öne çıkan diğer bulgular arasında şunlar yer alıyor:

• Küçük organizasyonlarda ve BT için yeterince kaynak ayıramayan endüstrilerde faaliyet gösteren şirketlerde, nihai amacını henüz gerçekleştirmemiş saldırganların tespit edilmesi daha uzun zaman alıyor. Fidye yazılımının vurduğu kuruluşlarda ortalama bekleme süresi 11 gün iken, sistemleri ihlal edilmiş ancak henüz büyük bir saldırıdan etkilenmemiş kurumlar için ortalama bekleme süresi 34 gün. Eğitim sektöründe veya 500’den az çalışanı olan kuruluşlarda bekleme süreleri daha uzun.

• Uzun bekleme süreleri ve açık giriş noktaları, kuruluşları birden fazla saldırgana karşı savunmasız bırakıyor. Adli kanıtlar İlk Erişim Aracıları, fidye yazılımı çeteleri ve kripto madenciler dahil olmak üzere birden fazla saldırganın aynı anda aynı kuruluşu hedef aldığı örnekler ortaya koydu. Hatta bazı durumlarda birden fazla fidye yazılımının aynı sistemde yer aldığı gözlendi.

• Harici erişim için Uzak Masaüstü Protokolü (RDP) kullanımındaki düşüşe rağmen, saldırganlar dahili yanal hareket için araç kullanımını artırıyor. Saldırganlar 2020’de analiz edilen vakaların %32’sinde harici etkinlik için RDP kullanırken, bu oran 2021’de %13’e düştü. Bu durum kuruluşların harici saldırı yüzeyi yönetimini iyileştirdiğini gösterse de, saldırganlar içerdeki yanal hareketler için RDP’yi kötüye kullanmaya devam ediyor. Sophos 2021’de vakaların %82’sinde saldırganların RDP’yi dahili yanal hareket için kullandığını tespit ederken, 2020’de oran %69 idi.

• Saldırılarda kullanılan yaygın araç kombinasyonları, davetsiz misafirlerin etkinliğine dair güçlü ipuçları sunuyor. Olay araştırmaları, 2021’de PowerShell kullanan ve kullanmayan kötü amaçlı komut dosyalarının vakaların %64’ünde birlikte yer aldığını ortaya koydu. PowerShell ve Cobalt Strike vakaların %56’sında bir arada bulunurken, PowerShell ve PsExec vakaların %51’inde yer alıyordu. Bu tür ilişkilerin tespiti, aktif veya yaklaşmakta olan bir saldırıya karşı erken uyarı görevi görebilir.

• Fidye yazılımı saldırılarının %50’si veri hırsızlığı da içerirken, veri hırsızlığıyla fidye yazılımının devreye alınması arasındaki ortalama süre 4,28 gün. Sophos’un 2021’de yanıt verdiği olayların %73’ü fidye yazılımlarıyla ilişkiliydi. Fidye yazılımı olaylarının %50’sinde veri hırsızlığı da vakaya eşlik ediyordu. Veri hırsızlığı genellikle saldırının fidye yazılımının çalıştırılmasından önceki son aşamasına karşılık geliyor. İncelemeler bu iki olay arasındaki boşluğun ortalama 4,28 gün, en üst noktada 1,84 gün olduğunu ortaya çıkardı.

• 2021’in en üretken fidye yazılımı grubu olan Conti, tüm olayların %18’inden sorumlu. REvil fidye yazılımı 10 olaydan birini üstlenirken, diğer yaygın fidye yazılımı aileleri arasında ABD’deki Colonial Pipeline’a yapılan kötü şöhretli saldırının arkasındaki RaaS olan DarkSide ve Mart 2021’de ortaya çıkan ProxyLogon güvenlik açığının ardından piyasada beliren yeni fidye yazılımı ailelerinden Black KingDom yer alıyor. Analizlere dahil edilen 144 olayda 41 farklı fidye grubu tespit edildi. Bunların 28’i ilk olarak 2021’de bildirilen yeni gruplardı. 2020’deki olaylarda görülen 18 fidye yazılımı grubu 2021’de listeden kayboldu.

Hiç Belirti Olmaması Organizasyonun İhlal Edilmediği Anlamına Gelmiyor

Organizasyonda saldırıya dair belirti olmamasının saldırıya uğramadığı anlamına gelmeyeceğine dikkat çeken Shier, kurumlara şu tavsiyelerde bulundu: 

“Siber güvenlik profesyonellerinin dikkat etmesi gereken kırmızı bayraklar arasında meşru bir aracın veya araç kombinasyonunun beklenmedik bir yerde, alışılmadık bir faaliyetinin tespit edilmesi yer alıyor. Ayrıca zaman zaman çok az faaliyet olsa veya hiç olmasa dahi, bu organizasyonun ihlal edilmediği anlamına gelmiyor. Örneğin arka kapıların kalıcı erişim için hedeflenen kurumlara yerleştirildiği, bunların kullanılana veya başkalarına satılana kadar sessizce bekletildiği bilinmeyen çok sayıda ProxyLogon veya ProxyShell ihlalinin söz konusu olması büyük olasılık. Bu nedenle güvenlik uzmanları herhangi bir şüpheli işarete karşı tetikte olmalı ve bunu derhal soruşturmalıdır. Özellikle yaygın olarak kullanılan yazılımlardaki kritik hataların düzeltilmesi ve öncelikli olarak uzaktan erişim hizmetlerinin güvenliğinin sağlanması gerekir. Açıkta kalan giriş noktaları kapatılmadığı sürece herkes sistemlerinize sızabilir ve büyük ihtimalle de sızacaktır.”

Sophos Active Adversary Playbook 2022, geçtiğimiz yıl çeşitli endüstri ve sektörlerindeki farklı büyüklüklere sahip kuruluşları hedefleyen ve ABD, Kanada, Birleşik Krallık, Almanya, İtalya, İspanya, Fransa, İsviçre, Belçika, Hollanda, Avusturya, Birleşik Arap Emirlikleri, Suudi Arabistan, Filipinler, Bahamalar, Angola ve Japonya’daki 144 olayı temel alıyor. En çok temsil edilen sektörler imalat (%17), perakende (%14), sağlık (%13), BT (%9), inşaat (%8) ve eğitim (%6) olarak sıralanıyor. 

Sophos’un raporu, güvenlik ekiplerinin siber saldırganların saldırı sırasında neler yaptığını daha iyi anlayarak ağdaki kötü niyetli etkinlikleri tespit edip, bunlara karşı uygulayabilecekleri savunma tekniklerinde yardımcı olmayı amaçlıyor.