ESET telemetrisi tarafından ve ESET tehdit tespit ve araştırma uzmanlarının gözünden Q4 2020 tehdit manzarası
2020 birçok şeydi ("tipik" bunlardan biri değil) ve bunları geçmiş zamanda yazmak iyi hissettiriyor.
Gerçekten bir noktayı kanıtlamaya çalışıyormuş gibi, pandemi son çeyrekte yeniden alevlenince, dünya çapında en büyük enfeksiyon dalgalarını ve bununla birlikte daha fazla sokağa çıkma yasağını getirdi. Kaosun ortasında, uzun zamandır beklenen aşı tanıtımları, çok uzak olmayan bir gelecekte bir yerde toplu bir rahatlama olabileceğine dair bir umut ışığı getirdi.
SolarWinds tedarik zinciri saldırısının haberi tüm endüstriyi kasıp kavurduğu için siber uzaydaki olaylar da yıl sonuna doğru dramatik bir dönüş yaptı. Birçok yüksek profilli kurbanla birlikte, olay, tespit edilmesi ve önlenmesi son derece zor olan bu tür saldırıların potansiyel kapsamının ve etkisinin açık bir hatırlatıcısıdır.
Hepsi SolarWinds saldırısı kadar sarsıcı olmasa da, tedarik zinciri saldırıları büyük bir trend haline geliyor: ESET, birkaç yıl öncesinde tüm sektörün tüm senede gördüğü kadar çok şeyi sadece Q4'te ortaya çıkardı. Ve siber suçluların bu saldırılardan ne kadar kazanabileceklerini düşününce, saldırıların gelecekte daha da artmaya devam etmesi bekleyebiliriz.
Neyse ki, saldırgan olanlar sadece tehdit aktörleri değil. Ekim 2020'de ESET, en büyük ve en uzun ömürlü botnetlerden biri olan Trickbot'u hedef alan küresel bir yıkım kampanyasına katıldı. Bu operasyona katılan herkesin ortak çabaları sayesinde, TrickBot ağır bir darbe aldı ve sunucularının %94'ü bir hafta içinde çöktü.
Pandeminin getirdiği en büyük değişimlerden biri olan evden çalışma, birçok sektörde yeni normal haline geldiğinden, Q1 ve Q4 2020 arasındaki RDP saldırılarının %768'lik muazzam büyümesi şaşırtıcı değil. Uzaktan çalışmanın güvenliği arttıkça, bu tür saldırılardaki patlamanın yavaşlaması bekleniyor (Q4'te bununla ilgili bazı işaretler gördük). RDP güvenliğine önem vermenin en acil nedenlerinden biri, RDP istismarları yoluyla yaygın olarak dağıtılan ve hem özel hem de kamu sektörleri için büyük bir risk oluşturan fidye yazılımlarıdır.
Q4 2020'de, fidye yazılımı çeteleri tarafından verilen ültimatomlar her zamankinden daha agresifti ve tehdit aktörleri muhtemelen bugüne kadarki en yüksek fidye miktarlarını talep ediyordu. Fidye yazılımı saldırılarını ve doxing tehdidini birleştirmenin öncüsü olan Maze, Q4'te dükkanı kapatırken, diğer tehdit aktörleri kurbanları üzerindeki baskıyı artırmak için giderek daha agresif teknikler geliştirdi. 2020 boyunca fidye yazılımı manzarasındaki çalkantılı gelişmeleri izlemek, bu yaygın saldırıların 2021'de devam etmeyeceğini öngörecek hiçbir şey sunmuyor.
Fidye yazılımlarının gelişmesi, kötü amaçlı bankacılık yazılımlarının azalmasında (sadece yılın son çeyreğinde yoğunlaşan bir düşüş) önemli bir faktör olabilir. Fidye yazılımları ve diğer kötü amaçlı faaliyetler, bankacılık sektöründeki artan güvenlikle uğraşmak zorunda olan bankacılık kötü amaçlı yazılımlarından daha kârlıdır. Bununla birlikte, bu eğilimin bir istisnası vardı: kötü amaçlı Android bankacılık yazılımları, 2020'nin en yüksek tespit seviyelerini Q4'te kaydetti ve truva atı Cerberus'un kaynak kodu sızıntısı tarafından körüklendi.
Pandemi, her türlü kötü amaçlı faaliyet için verimli bir zemin oluşturduğundan, e-posta dolandırıcılarının pasif kalmak istemediği açıktır. Telemetrimiz, COVID-19'un 2020 boyunca yasadışı e-postalarda yem olarak kullanıldığını gösterdi. Q4 ayrıca, 2021'de devam etmesi beklenen bir eğilim olan ve cezbedici olarak kullanılan aşı dolandırıcılıklarında da artış gördü.
2017'nin kripto para birimi patlamasına benzer bir gelişmeyle, bu yıl sonunda bitcoin'in değeri de fırladı. Buna, ilk kez tespit edildiği Ekim 2018'den beri kripto para madencilerinin tespitlerinde hafif bir artış eşlik etti. Kripto para birimleri büyümeye devam ederse, kripto para birimini hedef alan kötü amaçlı yazılım, kimlik avı ve dolandırıcılıkların daha yaygın hale gelmesini bekleyebiliriz.
2020'in son çeyreği, ESET Research'ün bir dizi tedarik zinciri saldırısını ortaya çıkarmasıyla birlikte araştırma bulguları açısından da zengindi: Güney Kore'de bir Lazarus saldırısı, Stealthytrident operasyonu adlı bir Moğol tedarik zinciri saldırısı ve Vietnam'daki bir sertifika yetkilisine karşı SignSight tedarik zinciri saldırısı. Araştırmacılarımız ayrıca, daha önce Turla tarafından belgelenmemiş bir arka kapı olan Crutch'ı ve en azından 2011'den beri gizlice faaliyet gösteren bir APT grubu olan XDSpy'ı keşfettiler.
ESET, Ekim güncellemesinde beş ESET girişinin eklendiği MITRE ATT&CK bilgi bankasına aktif olarak katkıda bulunmaya devam ediyor. Ve her zaman olduğu gibi, ESET araştırmacıları, bu çeyrekte Black Hat Asia, AVAR, CODE BLUE ve daha pek çok sanal konferansta konuşarak, uzmanlıklarını paylaşmak için birçok fırsattan yararlandılar.
Q4 2020 Tehdit Raporu sadece Q4 tehdit ortamına genel bir bakış sunmakla kalmaz, aynı zamanda 2020 boyunca gözlemlenen daha geniş eğilimler ve ESET zararlı yazılım araştırma ve tespit uzmanları tarafından 2021 için tahminler hakkında yorum yapar. ESET research güncellemeleriyle özellikle ilgilenenler için bu rapor, Operation In(ter)ception, InvisiMole, PipeMon ve daha fazlası gibi APT grup operasyonlarıyla ilgili daha önce yayımlanmamış bilgileri de sağlar.
Önemli trendler ve en sık karşılaşılan tehditler hakkında düzenli güncellemeler için ESET research'ü Twitter'da takip edin.