Deep Web ortamlarında satın alınabilen ve “Commodity Trojan” (Ticari Truva Atı) olarak da bilinen fidye yazılımı saldırıları, yama ve uç nokta güvenlik açıkları olan sistemlere karşı etkili oluyor. 2020’nin sonundan 2021’in başına kadar bu saldırı aktörleri, eğitim, sağlık, enerji ve kamu hizmetleri, devlet kurumları ve çok daha fazlasını hedef aldı. Cisco Talos Incidence Response, Hafnium’dan kaynaklanan Microsoft Exchange güvenlik açıklarının yer aldığı giderek artan olaylara, şirketlerin yaygın bir biçimde kullanıma sunulan SolarWinds’e farkında olmadan truva atı bulaşmış güncellemeler indirdiği çeşitli vakalara müdahale etti.
CISCO Talos Incident Response (CTIR) üst üste yedinci çeyrekte de yine fidye yazılımlarının en yaygın tehdit olduğunu tespit etti. Kasım 2020 ile Ocak 2021 arasında bu türün en yaygın örnekleri ise Ryuk ve Vatet oldu. Cisco Talos ayrıca Egregor ve WastedLocker varyantlarının da dünya genelinde çeşitli kuruluşları hedef almaya devam ettiğini belirledi.
Önceki çeyreğin aksine bu fidye yazılımı saldırılarının büyük çoğunluğu ticari truva atı belge dosyaları gönderen Zloader, BazarLoader ve IcedID gibi kimlik avı uygulamalarından faydalanıyordu. Son çeyrekte fidye yazılımı saldırılarının yaklaşık yüzde 70’inde ticari truva atı yazılımları kullanıldı. Bilgisayar korsanları ayrıca Cobalt Strike gibi ticari araçlar, Bloodhound gibi açık kaynaklı erişim sonrası korsanlık araçları ve PowerShell gibi kurbanın sisteminde zaten bulunan araçlardan faydalandı.
Fidye yazılımlarının sektörler genelinde başa çıkması güç bir siber güvenlik tehdidi olmaya devam ettiğini ifade eden Cisco Orta Doğu ve Afrika Bölgesi Siber Güvenlik Direktörü Fady Younes, şunları söyledi: “Ticari truva atları söz konusu olduğunda, hızlı ve etkili sonuçlar için alınıp satılabilen saldırılardan bahsediyoruz. Bazı durumlarda ücretsiz indirilen truva atları dahi oluyor. Basit kimlik avı e-postaları yoluyla bilgisayar korsanları ağlara sızabiliyor, istihbarat toplayabiliyor ve bunun sonucunda uzun vadeli zararlar verebiliyor. Paket halinde sunulan bu siber suç araçlarının kolayca ulaşılabilir olmasının yanında, daha az deneyimli saldırganların dahi kullanabilir olduğunun göz önünde bulundurulması gerekiyor. Dolayısıyla şirketlerin, çalışanlarını şüpheli e-postaları nasıl tespit edip diğer kişileri uyarabilecekleri konusunda sürekli bilgilendirmesi gerekiyor. Karar vericilerin bir sorumluluğu da kapsamlı yamalar uygulama ve uç noktaları koruma gibi siber güvenlik önlemleriyle etkili bir savunma hattı oluşturarak BT sistemlerinin güvenliğini sağlamaktan da sorumlu.”
CTIR, şirketlerin truva atı bulaşmış güncellemeleri farkında olmadan SolarWinds’in yaygın kullanılan Orion yazılımına indirdiği vaka müdahaleleriyle de karşılaştı. Bu müdahalelerden yalnızca birinde sistemin ele geçirilmesinden sonraki (post-compromise) eylemler kullanılmıştı.
Buna uygun olarak Microsoft, Exchange Server’da dört güvenlik açığı açıkladı ve Hafnium adında bir tehdit aktörünün bu güvenlik açıklarını kullanarak çeşitli şirketleri hedef alan web kabukları attığını bildirdi. Kısa süre sonra, APT’lerden kripto para madenciliği gruplarına kadar başka tehdit aktörleri de bu güvenlik açıklarından faydalanarak on binlerce şirketin faaliyetlerini etkiledi. CTIR, Microsoft Exchange güvenlik açıklarının kullanıldığı giderek artan sayıda vakaya müdahale ediyor.
Saldırı aktörleri ise bugüne dek işletme yönetimi, inşaat, eğitim, enerji ve kamu hizmetleri, eğlence, finans, devlet kurumları, sağlık, endüstriyel dağıtım, hukuk, üretim ve teknoloji başta olmak üzere çeşitli sektörlere saldırılar gerçekleştirdi.
Saldırganların en sık hedefi olan sektör sağlık sektörü olurken, bu durum, sağlık kuruluşlarını hedef aldığı bilinen Vatet adlı kötü amaçlı yazılımının kullanımındaki artışı da kısmen açıklıyor. CTIR, başlangıçta belirli bir eyaletteki hastaneyle ilişkili bölgesel hastanelerin saldırıya uğradığı ve özellikle etkilenen kuruluşa aktif VPN bağlantısının olması durumunda sonraki saldırılar için sıçrama tahtası işlevi görebildiği potansiyel bir örüntü tespit etti. Saldırganların sağlık sektörüne saldırmasının nedenlerinden birinin de mağdur olan sağlık kuruluşlarının COVID-19 döneminde hizmetlerini sağlamaya mümkün olduğunca hızlı bir biçimde devam etmek istemesi olduğu görülüyor.