Raporda şu üç temel eğilim öne çıkıyor:
Farklı uçlarda yer alan fidye yazılımı operatörlerinin marifetleri ve sahip oldukları kaynaklar ortasındaki boşluk giderek artacak
Tehdit zincirinin en üstünde yer alan büyük fidye yazılımı aileleri, milyon dolarlık fidye talepleri eşliğinde dev kuruluşları amaç almak üzere taktiklerini, tekniklerini ve prosedürlerini güzelleştirmeye ve kaynaklarını zenginleştirmeye devam edecekler. 2020’de Ryuk ve RagnarLocker bu alanda öne çıkmıştı. Zincirin başka ucunda ise çok sayıda küçük avı hedefleyen, menüye dayalı ve kiralama modeliyle dağıtılan araçlardan yardım alan Dharma üzere giriş düzeyi tehditler yer alıyor. Sophos, 2021’de bunların da sayısının artacağını öngörüyor.
Bir diğer fidye yazılımı trendi, bilgi şifrelemenin yanı sıra saldırganların kurbanlarını taleplerinin karşılanmaması durumunda çaldığı hassas yahut bâtın bilgileri ifşa etmek tehdit ettiği ‘ikincil gasp’ yahut ‘şantaj’ olarak geçiyor. Maze, RagnarLocker, Netwalker, REvil ve başkaları, taarruzlarında fidye talebinin yanı sıra şantaj tehdidini de masaya koymaktan geri durmuyor.
Fidye yazılımı iş modelinin kendi içinde kümelere ayrılarak dinamik ve karmaşık bir hal aldığını söyleyen şirketin Kıdemli Güvenlik Araştırmacısı Chester Wisniewski, bunun yanı sıra 2020 yılında tipinin en güzel akın araçlarını birbiriyle paylaşan, ortak çalışmaya dayalı ‘fidye yazılımı kartellerinin’ de ortaya çıktığına dikkat çekiyor. Wisniewski, “Bu periyotta Maze üzere kimi tehditlerin piyasadan çekildiğine şahit olsak da, kısa bir müddet sonra kullandıkları araç ve teknikler Egregor ismiyle yine ortaya çıktı. Bu toplulukta bir tehdit ortadan kalkarsa süratle onun yerini bir oburu alıyor. Fidye yazılımlarının bundan sonra hangi tarafa gideceğini kestirmek güç olsa da, atak eğilimlerinin 2021’de devam edeceğini öngörüyoruz” diyor.
Yükleyiciler, botnetler yahut gerçek şahıslar tarafından sağlanan birinci erişim üzere gündelik tehditlere daha fazla kıymet vermek gerekecek
Gündelik tehditler başkalarının yanında düşük nitelikli makus gayeli yazılımlardan oluşan bir taban gürültüsü üzere görünse de, amaca dair daha ayrıntılı akın öncesi destek noktası oluşturma, gereken temel bilgileri toplama ve bu dataları siber saldırganların komuta denetim merkezlerine aktarma üzere değerli işleri üstleniyor. Akabinde tespit edilen yüksek nitelikli maksatlar, bunları yarara çevirme potansiyeli olanlar ortasında en yüksek teklifi verene satılıyor. 2020’de Ryuk’un fidye yazılımını sistemlere yüklemek için Buer Loader’i kullanması bunun bir örneğiydi.
“Sık karşılaşılan berbat gayeli yazılımlar, birinci bakışta güvenlik ihtar sistemlerini tıkayan bir kum fırtınası üzere görünebilir” diyor Wisniewski. “Ancak uzmanların tahlilleri, genel geçer tehditlerin daha önemli ataklar için bir başlangıç noktası oluşturabildiğini gösteriyor. Enfeksiyon bir sefer bulaştığında akabinde diğer enfeksiyonları da tetikliyor. Birden fazla güvenlik takımı, berbat maksatlı yazılımları engellediğinde ve kaldırdığında saldırıyı önlediği hissine kapılıyor. Lakin atağın birden fazla makineyi maksat alabileceğini, Emotet ve Buer Loader üzere görünüşte yaygın olan makûs hedefli yazılımların Ryuk, Netwalker ve başka gelişmiş taarruzların ön işaretçisi olduğunu fark edemeyebiliyorlar. Özetle küçük enfeksiyonları başta göz arkası etmek, sonrasında çok daha önemli sonuçlara yol açabiliyor.”
Siber saldırganlar tespite dair tedbirlerinden kaçınmak, güvenlik tahlili ve ilişkilendirmeyi engellemek için yasal araçları, bilinen yardımcı programları ve ortak ağ maksatlarını kullanacak
Legal araçların berbata kullanılması, ağ içerisinde yol alan saldırganların atağın ana kısmı başlamaya hazır olana kadar güvenlik sistemlerinin tespitinden uzak kalmasını sağlıyor. Bu bilhassa ulus-devlet dayanaklı saldırganların avantaj sağlamak için sıkça kullandığı bir sistem.
“Aktif atakları gizlemek için günlük araçların ve tekniklerin berbata kullanılması, şirketin 2020 yılı tehdit ortamı incelemesinde besbelli bir formda öne çıktı” diyor Wisniewski. “Bu teknik klâsik güvenlik yaklaşımlarına meydan okuyor, zira bilinen araçlar güvenlik sistemlerinde kırmızı bayrağı tetiklemiyor. Siber güvenlikte insan müdahalesiyle tehdit avcılığının ve yönetilen tehdit tedbire hizmetlerinin süratle büyümesinin bir nedeni de bu. Gerçek uzmanlar, legal bir aracın yanlış vakitte yahut yanlış yerde kullanılması üzere ince nüansları ve bunların ardında bıraktığı izleri fark edebiliyorlar. Uç nokta tehdit algılama ve karşılık (EDR) özelliklerini kullanan eğitimli tehdit avcıları ve BT yöneticileri için bu işaretler, güvenlik gruplarını mümkün bir davetsiz konuğa ve devam eden bir atağa karşı uyaran birer tuzak teli fonksiyonu görüyor.”
Sophos 2021 Yılı Tehdit Raporunda yer alan öteki güvenlik eğilimleri ortasında şunlar yer alıyor:
Sunuculara yönelik akınlar sürat kesmeyecek. Siber saldırganlar hem Windows hem Linux çalıştıran sunucu platformlarını maksat almaya devam ediyor ve bu platformları kurumlara içeriden saldırmak için kullanıyor.
COVID 19 salgınını BT güvenliğini etkilemeye devam edecek. Bilhassa farklı güvenlik düzeyleriyle korunan şahsî ağları kullanan meskenden çalışanlar, güvenlik idaresini zorlaştırıyor.
Bulut ortamlarına özel ilgi göstermek gerekecek. Bulut bilgi süreç inançlı bir bilgi süreç ortamı sağlamak için kurumsal gereksinimlerin yükünü muvaffakiyetle karşılasa da, klasik kurumsal ağlardan farklı zorluklarla karşı karşıya kalıyor.
RDP ve VPN üzere uzak irtibat hizmetleri akın odağında yer alacak. Saldırganlar sızmayı başardıkları ağ üzerinde hareket etmek için uzak masaüstü protokolünden (RDP) sıkça yardım alıyor.
İstenmeyen reklamlar tekrar başa bela olacak. Çok sayıda reklam gösterdikleri için “potansiyel olarak istenmeyen” olarak işaretlenen uygulamalar, berbat hedefli yazılımlardan ayırt edilemeyen yeni taktikler uyguluyor.
Eski açıklar tekrar hatırlanacak. Makroları ve makus gayeli içeriği gizlemek ve gelişmiş tehdit algılamasından kaçınmak için Microsoft Excel’in eski sürümlerinde bulunan varsayılan parola özelliği VelvetSweatshop’un tekrar gündeme gelmesi buna hoş bir örnek.
Siber salgınları önlemek için epidemiyolojik yaklaşımlar gündeme gelecek. Siber akınların algılanmasındaki boşlukları daha düzgün kapatmak, riski kıymetlendirmek ve öncelikleri tanımlamak için görülmeyen, tespit edilmeyen ve bilinmeyen siber tehditleri ölçmek üzere tıpta salgın hastalıklara dair uzmanlık kısmı olan epidemiyolojiye emsal yaklaşımları uygulama muhtaçlığı doğuyor.
