Uzak Masaüstü Protokolü Saldırıları Artıyor
ESET’in en son Tehdit Raporu’na göre, Uzak Masaüstü Protokolü uç noktalarına yönelik saldırılar da bu yıl patlama yaşandı.
ESET bir ‘stalkerware’ salgınına, ve yeni Nobelium grup faaliyetine işaret ediyor
Güvenlik uzmanı ESET’in en son Tehdit Raporu, kullanıcıları Uzak Masaüstü Protokolü (RDP) uç noktalarına yönelik saldırılarda yaşanan büyük bir artış ve Nobelium çetesinin Avrupa devletlerine yönelik yeni faaliyetlerine karşı uyarıyor.
ESET’in rakamları, İspanyol hedeflerine odaklanıyor. Bu çalışma sayesinde, Yılda üç kez yayınlanan ve ilki Haziran ayında yayına giren T1 raporundan bu yana RDP sunucularına yönelik saldırıların yüzde 103,9 arttığı anlaşılıyor.
Raporda toplam 55 milyar tespit edilmiş saldırı olduğu belirtiliyor.
ESET güvenlik bilinci uzmanı Ondrej Kubovič The Register’a verdiği demeçte, “T1 2021’de Uzak Masaüstü Protokolü Saldırıları saldırı girişimlerinin büyümesinin yavaşlayacak gibi görünüyordu.”
“T2 2021, RDP tespitleri yeniden hızlandığından biraz sürpriz getirdi. Eğilim, saldırı girişimlerinde daha fazla büyüme olduğunu ve muhtemelen T3’te oldukça grafiğin oldukça yukarıda olacağını gösteriyor, çünkü bu genellikle yılın en yoğun kısmıdır.” Dedi.
Kıdemli kötü amaçlı yazılım araştırmacısı Ladislav Janko, “Bazı bölgelerde Uzak Masaüstü Protokolü Saldırıları saldırılarında ılımlı bir artış olsa da, Ağustos ayında İspanya kurumlarına yönelik büyük saldırılar olduğunu ve artışın kontrolden çıkmış bir trend olduğunu” belirtti.
“Telemetrimize göre, İspanyol hedeflerine yönelik saldırıların sayısı Ağustos ayındaki küresel tespitlerin üçte birini oluşturdu. İspanya’yı önemli bir farkla Almanya, Amerika Birleşik Devletleri ve İtalya izledi. SQL parola tahmin saldırılarında da benzer bir eğilim gözlemledik. ”
Uzak Masaüstü Protokolü Saldırıları saldırıları iki katına çıkmış olsa da kripto para birimine bağlı saldırılarda hafif de olsa bir düşüş eğilimi vardı – ancak bu durum zaten tersine dönüyor olabilir. Kubovič, “Verilerimiz, kripto para fiyatı ile kripto parayla ilgili saldırılar arasında güçlü bir bağlantı olduğunu gösteriyor- özellikle de kripto madenciliği söz konusu olduğunda.”
“Raporumuz, kripto para birimlerinin fiyatlarını yukarı çeken PayPal ve Twitter’ın duyurularına da değiniyor (T2’nin sonuna doğru eğilimde görülüyor).
Önümüzdeki aylarda kripto para birimlerini destekleyen daha yüksek profilli markalar/duyurular olacak, bu nedenle fiyatların artmasını ve kripto madenciliğinin de bu artışı takip etmesini bekliyoruz.”
ESET, fidye yazılımı saldırılarında da kripto para piyasasındaki düşüşle bağlantılı olarak tek haneli düşüş yaşandığını ancak sorunun ortadan kalkmadığını belirtti. ESET’in baş araştırma görevlisi Roman Kováč, raporun önsözünde “Fidye yazılımı alanı resmi olarak T2 2021’de takip edilemeyecek kadar yoğundu, fakat bazı olaylar göz ardı edilemeyecek derece büyüktü.” dedi.
“ABD’deki en büyük boru hattı şirketi olan COLONIAL PIPELINE’ın operasyonlarını durduran saldırı ve KASEYA BT yönetim yazılımındaki bir güvenlik açığından yararlanan saldırı, siber güvenlik alanında yaşanan şok dalgalarıydı.
SOLARWINDS saldırısından farklı olarak, KASEYA saldırısı siber casusluktan ziyade, korsanların finansal kazanç peşinde olduğunu gösteriyordu. Korsanlar 70 milyon dolarlık bir bedel belirledi – ve bugüne kadar bilinen en yüksek fidye talebiydi.”
Raporda ayrıca, Rus hükümetiyle bağlantılı olduğuna inanılan ve geçen yıl SOLARWINDS’in Orion BT izleme platformuna yapılan saldırıdan sorumlu tutulan Nobelium grubunun bu sayede ABD devlet sistemi ve özellikle mahkeme sistemine giriş için bir yol bulduğu belirtildi.
Ancak araştırmacılar, grubun odak noktasının ABD sınırlarının çok ötesine geçtiğini tespit etti. Raporda, “Son aylarda, Dukes [Nobelium] Avrupalı diplomatları, düşünce kuruluşlarını ve uluslararası örgütleri hedef alan kimlik avı kampanyası başlattığı belirlendi. Uzak Masaüstü Protokolü Saldırıları araştırmacıları, 12’den fazla farklı Avrupa ülkesinde yeni kurbanlar tespit etti.” dendi.
Araştırmacılar otel saldırıları için yeni bir APT grubu ortaya koydu. FamousSparrow, Boffins, SSD-Insider++’ı tanıttı, doğrudan depolama alanınızda fidye yazılımı algılama ve kurtarma sözü verdi.
(ProxyLogon hatası, spam e-postalar, Windows kutularında arka kapıları açmak için kullanılan SQL datalar.)
Jira Veri Merkezi kullanıcıları mı? İşte gününüzü mahvedecek kritik bir Ehcache güvenlik açığı daha…
Raporda, “ESET telemetrisi, saldırganların 13 Temmuz 2021’de çeşitli Avrupa diplomatik misyonlarına spearphishing e-postaları gönderdiğini gösteriyor” diye devam etti. ” Bu son olaylar, SOLARWINDS saldırısının ifşa edilmesinden sonra bile, Dukes’ün hala ana implantları olarak Kobalt Strike’ı kullandığını gösteriyor. Grubun ısrarı ve cazibelerinin kalitesi nedeniyle, batılı diplomatlar, STK’lar ve Düşünce Kuruluşları için ana tehdit olmaya devam ediyor.”
ESET, Nobelium’un şimdiye kadar devam eden eylemleri konusunda kullanıcıları uyaran ikinci büyük şirket, ancak ESET’in raporu ticari Kobalt Strike araç setini grubun birincil yükü olarak adlandırırken, Microsoft, grubun FoggyWeb adında ve Active Directory’yi hedef almak için tasarlanmış özel bir kötü amaçlı yazılım kullanmaya başladığını tespit etti.
Tehdit Raporu ayrıca Gamaredon grubunu, izlenen dönem boyunca Ukrayna’daki devlet kuruluşlarına özel bir odaklanma ile “son derece aktif” olarak nitelendirdi. Grubun araç setini güncellediği ve araştırmacıların “daha karmaşık” bir yük olarak tanımladığı açık kaynaklı ağ tarama aracı Nmap’i kullanmaya başladığı tespit edildi.
Raporun özellikle iç karartıcı bir bölümü, istismara uğrayan tarafın mesajlarını, konumunu ve hatta çevrimdışı konuşmalarını izlemek için genellikle taciz edici ilişkilerde kullanılan “stalkerware” veya daha da iğrenç bir şekilde adlandırılan “eş yazılım”lardaki artışla ilgilidir. Kubovič, “Potansiyel kurbanlar, herhangi birinin mobil cihazlarını manipüle etmesini engellemek istiyorsa, kolayca tahmin edilemeyen ve kimseyle paylaşılmayan güçlü bir şifre ile korumaları gerekir. Ancak, takibin çoğu zaman taciz ve diğer şiddet biçimleriyle ilişkili olduğunu anlıyoruz” dedi.
“Mağdurlar, bulabilecekleri bu tür işlevselliğe sahip herhangi bir takip yazılımını veya yazılımı silmeyi iyi düşünmeliler. Stoptalkerware.org tarafından belirtildiği gibi, onu kim kurduysa, kaldırıldığını veya devre dışı bırakıldığını bilecektir ve bunun sonuçları olabilir. Aşırı durumlarda Siber tacizin çok sağlıksız ve rahatsız bir ilişki dinamiğinin yalnızca bir parçası olduğunu biliyoruz. Bu aşama da mağdurlar polise baş vurmaya karar verebilir, ancak bu öncesinde dikkatli bir hazırlık gerektirir.
Kubovič, “Güvenli bir cihazda veya güvenilir bir kişi aracılığıyla,” diye devam etti, “yardım sunan kuruluşlarla iletişime geçebilirler. Bunu bir mobil cihazda veya takip yazılımı veya eş yazılımı yüklü başka bir cihazda yaparlarsa, fail bunu bilecektir. Başka bir yardım arama seçeneği, yeni bir telefon numarası, yeni e-posta adresi, yeni şifreler ve etkinleştirilmiş çok faktörlü kimlik doğrulama ile yedek bir cep telefonu kullanmak olabilir.”
Mobil cephede, rapor, özellikle Apple’ın iOS platformu için yazılmış kötü amaçlı yazılımlarla karşılaştırıldığında, Android için olan kötü amaçlı yazılımların ne kadar yaygın olduğunu vurguladı. Kubovič, Android’in başarısızlar arasında popüler olmasının bir nedeni olarak “Bu, birçok satıcının kendi Android sürümlerine sahip olduğu (kendi güvenlik açıkları ve yama sorunlarıyla birlikte) açık kaynaklı bir sistem olmasıdır” dedi.
“Yine de dikkate değer bir fark: iOS’un hedef alındığı çoğu vaka, yüksek profilli saldırılardı. Buna dayanarak, Android’in “ortalama” siber suçlular için daha ilginç olduğunu söyleyebiliriz. Para kazanma aracı olarak, iOS genellikle çok özel kullanıcıları hedefleyen karmaşık grupların, ulus devletlerin ve/veya casus yazılım şirketlerinin ilgi odağındayken, bu aktörlerin her iki işletim sistemini de hedeflediği tespit edildi.”
Rapor, Android ekosisteminde yapılan bazı olumlu değişikliklerin altını çizdi. Araştırmacılar, “Android’in yeni güncellemesi, daha fazla kontrol ve şeffaflık sağlamayı vaat ediyor” diye yazdı. “Örneğin, Privacy Dashboard, son 24 saat içinde cihaz konumuna, mikrofona ve kameraya yapılan uygulama erişimlerine ilişkin net ve basit bir genel veri sunacak. Android 12 ayrıca kullanıcılara hangi uygulamaların kameralarına ve hangi uygulamaların gerçek zamanlı olarak eriştiğini gösteren göstergeler de ekleyecek.
Kubovič, “Pandemi süresince, güncellemeler güvenlik için daha da önemli hale geldi,” dedi Kubovič, “son zamanlarda yayınlanan (ve yamalanan) güvenlik açıklarını (örn. VPN’ler, MS) hedef alan birçok saldırı bunu kanıtlamıştır. Yani bir şey seçmem gerekirse güncellemeler olurdu. “Close Second”, işletmeler için bağımsız olarak test edilmiş AV ve karmaşık bir güvenlik paketi (Endpoint + EDR + şifre yöneticisi/ MFA + ek) ve güvenilir bir güvenlik çözümüdür.)”
Ancak Kubovič, önümüzdeki yıl için tahminlerle yetinmeyecek ve bunun yerine şirketin 2021 nihai raporunun bir parçasını oluşturacak.