Raporda şu üç temel eğilim öne çıkıyor:
Farklı uçlarda yer alan fidye yazılımı operatörlerinin becerileri ve sahip oldukları kaynaklar arasındaki boşluk giderek artacak
Tehdit zincirinin en üstünde yer alan büyük fidye yazılımı aileleri, milyon dolarlık fidye talepleri eşliğinde dev kuruluşları hedef almak üzere taktiklerini, tekniklerini ve prosedürlerini iyileştirmeye ve kaynaklarını zenginleştirmeye devam edecekler. 2020’de Ryuk ve RagnarLocker bu alanda öne çıkmıştı. Zincirin diğer ucunda ise çok sayıda küçük avı hedefleyen, menüye dayalı ve kiralama modeliyle dağıtılan araçlardan yardım alan Dharma gibi giriş seviyesi tehditler yer alıyor. Sophos, 2021’de bunların da sayısının artacağını öngörüyor.
Bir başka fidye yazılımı trendi, veri şifrelemenin yanı sıra saldırganların kurbanlarını taleplerinin karşılanmaması durumunda çaldığı hassas veya gizli bilgileri ifşa etmek tehdit ettiği ‘ikincil gasp’ veya ‘şantaj’ olarak geçiyor. Maze, RagnarLocker, Netwalker, REvil ve diğerleri, saldırılarında fidye talebinin yanı sıra şantaj tehdidini de masaya koymaktan geri durmuyor.
Fidye yazılımı iş modelinin kendi içinde gruplara ayrılarak dinamik ve karmaşık bir hal aldığını söyleyen şirketin Kıdemli Güvenlik Araştırmacısı Chester Wisniewski, bunun yanı sıra 2020 yılında türünün en iyi saldırı araçlarını birbiriyle paylaşan, ortak çalışmaya dayalı ‘fidye yazılımı kartellerinin’ de ortaya çıktığına dikkat çekiyor. Wisniewski, “Bu dönemde Maze gibi bazı tehditlerin piyasadan çekildiğine şahit olsak da, kısa bir süre sonra kullandıkları araç ve teknikler Egregor adıyla yeniden ortaya çıktı. Bu camiada bir tehdit ortadan kalkarsa hızla onun yerini bir başkası alıyor. Fidye yazılımlarının bundan sonra hangi yöne gideceğini kestirmek güç olsa da, saldırı eğilimlerinin 2021’de devam edeceğini öngörüyoruz” diyor.
Yükleyiciler, botnetler veya gerçek kişiler tarafından sağlanan ilk erişim gibi gündelik tehditlere daha fazla önem vermek gerekecek
Gündelik tehditler diğerlerinin yanında düşük nitelikli kötü amaçlı yazılımlardan oluşan bir dip gürültüsü gibi görünse de, hedefe dair daha detaylı saldırı öncesi dayanak noktası oluşturma, gereken temel verileri toplama ve bu verileri siber saldırganların komuta kontrol merkezlerine aktarma gibi önemli işleri üstleniyor. Ardından tespit edilen yüksek nitelikli hedefler, bunları kazanca çevirme potansiyeli olanlar arasında en yüksek teklifi verene satılıyor. 2020’de Ryuk’un fidye yazılımını sistemlere yüklemek için Buer Loader’i kullanması bunun bir örneğiydi.
“Sık karşılaşılan kötü amaçlı yazılımlar, ilk bakışta güvenlik uyarı sistemlerini tıkayan bir kum fırtınası gibi görünebilir” diyor Wisniewski. “Ancak uzmanların analizleri, genel geçer tehditlerin daha ciddi saldırılar için bir başlangıç noktası oluşturabildiğini gösteriyor. Enfeksiyon bir kez bulaştığında ardından başka enfeksiyonları da tetikliyor. Çoğu güvenlik ekibi, kötü amaçlı yazılımları engellediğinde ve kaldırdığında saldırıyı önlediği hissine kapılıyor. Ancak saldırının birden fazla makineyi hedef alabileceğini, Emotet ve Buer Loader gibi görünüşte yaygın olan kötü amaçlı yazılımların Ryuk, Netwalker ve diğer gelişmiş saldırıların ön işaretçisi olduğunu fark edemeyebiliyorlar. Özetle küçük enfeksiyonları başta göz ardı etmek, sonrasında çok daha ciddi sonuçlara yol açabiliyor.”
Siber saldırganlar tespite dair önlemlerinden kaçınmak, güvenlik analizi ve ilişkilendirmeyi engellemek için yasal araçları, bilinen yardımcı programları ve ortak ağ hedeflerini kullanacak
Meşru araçların kötüye kullanılması, ağ içerisinde yol alan saldırganların saldırının ana bölümü başlamaya hazır olana kadar güvenlik sistemlerinin tespitinden uzak kalmasını sağlıyor. Bu özellikle ulus-devlet destekli saldırganların avantaj sağlamak için sıkça kullandığı bir yöntem.
“Aktif saldırıları gizlemek için günlük araçların ve tekniklerin kötüye kullanılması, şirketin 2020 yılı tehdit ortamı incelemesinde belirgin bir şekilde öne çıktı” diyor Wisniewski. “Bu teknik geleneksel güvenlik yaklaşımlarına meydan okuyor, çünkü bilinen araçlar güvenlik sistemlerinde kırmızı bayrağı tetiklemiyor. Siber güvenlikte insan müdahalesiyle tehdit avcılığının ve yönetilen tehdit önleme hizmetlerinin hızla büyümesinin bir nedeni de bu. Gerçek uzmanlar, meşru bir aracın yanlış zamanda veya yanlış yerde kullanılması gibi ince nüansları ve bunların arkasında bıraktığı izleri fark edebiliyorlar. Uç nokta tehdit algılama ve yanıt (EDR) özelliklerini kullanan eğitimli tehdit avcıları ve BT yöneticileri için bu işaretler, güvenlik ekiplerini olası bir davetsiz misafire ve devam eden bir saldırıya karşı uyaran birer tuzak teli işlevi görüyor.”
Sophos 2021 Yılı Tehdit Raporunda yer alan diğer güvenlik eğilimleri arasında şunlar yer alıyor:
Sunuculara yönelik saldırılar hız kesmeyecek. Siber saldırganlar hem Windows hem Linux çalıştıran sunucu platformlarını hedef almaya devam ediyor ve bu platformları kurumlara içeriden saldırmak için kullanıyor.
COVID 19 salgınını BT güvenliğini etkilemeye devam edecek. Özellikle farklı güvenlik seviyeleriyle korunan kişisel ağları kullanan evden çalışanlar, güvenlik yönetimini zorlaştırıyor.
Bulut ortamlarına özel ilgi göstermek gerekecek. Bulut bilgi işlem güvenli bir bilgi işlem ortamı sağlamak için kurumsal ihtiyaçların yükünü başarıyla karşılasa da, geleneksel kurumsal ağlardan farklı zorluklarla karşı karşıya kalıyor.
RDP ve VPN gibi uzak bağlantı hizmetleri saldırı odağında yer alacak. Saldırganlar sızmayı başardıkları ağ üzerinde hareket etmek için uzak masaüstü protokolünden (RDP) sıkça yardım alıyor.
İstenmeyen reklamlar yine başa bela olacak. Çok sayıda reklam gösterdikleri için “potansiyel olarak istenmeyen” olarak işaretlenen uygulamalar, kötü amaçlı yazılımlardan ayırt edilemeyen yeni taktikler uyguluyor.
Eski açıklar yeniden hatırlanacak. Makroları ve kötü amaçlı içeriği gizlemek ve gelişmiş tehdit algılamasından kaçınmak için Microsoft Excel’in eski sürümlerinde bulunan varsayılan parola özelliği VelvetSweatshop’un yeniden gündeme gelmesi buna güzel bir örnek.
Siber salgınları önlemek için epidemiyolojik yaklaşımlar gündeme gelecek. Siber saldırıların algılanmasındaki boşlukları daha iyi kapatmak, riski değerlendirmek ve öncelikleri tanımlamak için görülmeyen, tespit edilmeyen ve bilinmeyen siber tehditleri ölçmek üzere tıpta salgın hastalıklara dair uzmanlık dalı olan epidemiyolojiye benzer yaklaşımları uygulama ihtiyacı doğuyor.