Siber suçlular, kurumsal kimlik avı saldırıları için yeni taktikler kullanıyor

 Siber suçlular, kurumsal kimlik avı saldırıları için yeni taktikler kullanıyor

Siber güvenlik uzmanları, dünya genelinde 2 binden fazla endüstriyel kuruluşa saldıran, hızla gelişen yeni bir casus yazılım serisini ortaya çıkardı. Pek çok ana akım casusluk atağından farklı olarak bu saldırılar, saldırılardaki hedef sayısının sınırlı olması ve her bir kötü amaçlı örneğin çok kısa ömürlü oluşuyla öne çıkıyor.

2021’in ilk yarısında siber güvenlik uzmanları, ICS (Endüstriyel Kontrol Sistemi) bilgisayarlarında engellenen casus yazılım tehditleriyle ilgili istatistiklerde ilginç bir anormallik fark etti. Bu saldırılarda kullanılan kötü amaçlı yazılımlar, Agent Tesla/Origin Logger, HawkEye ve diğerleri gibi iyi bilinen ticari casusluk yazılım ailelerine ait olsa da saldırılar sınırlı sayıda makineyi hedef alması ve saldırı kaynaklarının çok kısa ömürlü olması nedeniyle ana akımdan sıyrılıyordu.

Geçtiğimiz yılın ilk altı ayında ICS bilgisayarlarında engellenen 58 bin 586 casus yazılım örneğinin detaylı analizi, bunların yaklaşık %21,2’sinin bu yeni sınırlı kapsamlı ve kısa ömürlü saldırı serisinin parçası olduğunu ortaya çıkardı. Saldırıların yaşam döngüleri, geleneksel bir casus yazılım kampanyasının ömründen çok daha kısa yani yaklaşık 25 gün ile sınırlı.

Bu anormal casus yazılım örneklerinin her biri kısa ömürlü ve yaygın olarak dağıtılmamış olsa da tüm casus yazılım saldırılarının büyük bir bölümünü oluşturuyorlar. Örneğin Asya’da casus yazılım saldırısına uğrayan her beş bilgisayardan biri anormal casus yazılım örneklerinden birine maruz kaldı.

2 BİNDEN FAZLA KURULUŞ SİBER ÇETELERİN HEDEFİ OLDU

Bu kampanyaların çoğu, iyi hazırlanmış kimlik avı e-postaları aracılığıyla bir endüstriyel kuruluştan diğerine yayılıyor. Saldırgan kurbanın sistemine girdiğinde, cihazı bir sonraki saldırının C2 (komut ve kontrol) sunucusu olarak kullanıyor. Suçlular, kurbanın e-posta listesine erişim sağlayarak kurumsal e-postayı kötüye kullanabiliyor ve casus yazılımı daha da yayabiliyor.

Dünya çapında 2 binden fazla endüstriyel kuruluş, kötü niyetli altyapıya dâhil edildi ve siber çeteler tarafından saldırıyı iletişim kuruluşlarına ve diğer iş ortaklarına yaymak için kullanıldı. Bu saldırılar sonucunda ele geçirilen veya çalınan kurumsal hesapların toplam sayısı ise 7 binden fazla.

ICS bilgisayarlarından elde edilen hassas veriler genellikle çeşitli pazar yerlerinde satılıyor. Uzmanlar, endüstriyel kampanyalardan çalınan kimlik bilgilerinin satıldığı 25’ten fazla farklı pazar yeri belirledi. Analiz edilen pazar yerlerinde satılan tüm RDP (Uzak Masaüstü Protokolü) hesaplarının %46’sından fazlası ABD’deki şirketlere aitken, geri kalanı Asya, Avrupa ve Latin Amerika’dan. Satılan RDP hesaplarının yaklaşık %4’ü ise endüstriyel işletmelere ait.

İlginizi Çekebilir