HP, 2022'nin 1. çeyreğinde siber tehditlerde yüzde 27'lik genel bir artış olduğunu ve HP Wolf Security tehdit araştırma ekibinin Emotet kötü amaçlı spam saldırılarda 2021'in 4. çeyreğine kıyasla 28 kat (yüzde 2.823) artış tespit ettiğini duyurdu. Gerçek dünyadaki siber güvenlik saldırılarının analizini ortaya koyan en son küresel HP Wolf Güvenlik Tehditleri Öngörü Raporu, Emotet'in 36 basamak yükselerek bu çeyrekte tespit edilen en yaygın kötü amaçlı yazılım ailesi olduğunu gösteriyor (saptanan tüm kötü amaçlı yazılımların yüzde 9'unu temsil ediyor). Kullanıcıların PC'lerine bulaşmayı kolaylaştırmak için e-postaları ele geçiren ve Japon kurumlarını hedef alan Emotet saldırılardan biri, tespit edilen XLSM (Microsoft Excel) kötü amaçlı yazılımların önceki çeyreğe kıyasla yüzde 879'luk artışına neden oldu.
HP Wolf Security güvenlik yazılımının kuruluğu olduğu ve çalıştığı milyonlarca cihazdan elde edilen verilere dayanıyor. HP Wolf Security, kullanıcıyı korumak ve denenmiş tüm bulaşma zincirini anlayıp yakalamak için izole edilmiş, mikro sanal makinelerde (mikro VM'ler) riskli görevler açarak kötü amaçlı yazılımları izliyor ve diğer güvenlik araçlarını aşan tehditleri azaltıyor. HP müşterileri bugüne kadar 18 milyardan fazla e-posta ekine, web sayfasına, indirme butonuna tıkladı ve bunların hiçbirinde ihlal yaşanmadı.Bu veriler, tehdit aktörlerinin kötü amaçlı yazılımları nasıl kullandıklarına dair benzersiz bilgiler sağlıyor.
Rapordaki diğer önemli bulgular arasında şunlar yer alıyor:
- Tehditlerin yüzde 9'unun HP Wolf Security tarafından izole edilmeden önce tespit edilemediği görüldü. HP Wolf
- Security tarafından izole edilmiş e-posta kötü amaçlı yazılımlarının yüzde 14'ünün ise en az bir e-posta ağ geçidi tarayıcısını atlattığı tespit edildi.
- Diğer güvenlik araçlarının hash bilgilerini kullanarak tehditleri tespit etmesi ortalama 3 günden (79 saat) fazla sürdü.
- HP Wolf Security tarafından izole edilen kötü amaçlı yazılımların yüzde 45'i Office dosyaları biçimindeydi.
- Saldırganlar, kurumlara virüs bulaştırma girişimlerinde 545 farklı kötü amaçlı yazılım ailesi kullandı. Bu yazılımlar içerisinde Emotet, AgentTesla ve Nemucod ilk üç sırada yer aldı.
- Bir Microsoft Denklem Düzenleyicisi istismarı (CVE-2017-11882), yakalanan tüm kötü amaçlı örneklerin yüzde 18'ini oluşturuyordu.
- Tespit edilen kötü amaçlı yazılımların %69'u e-posta yoluyla bulaşırken web indirmeleri yüzde 18'inden sorumluydu.
- Kötü amaçlı yazılım bulaştırmak için en çok ekli belgeler (yüzde 29), arşivler (yüzde 28), yürütülebilir dosyalar (yüzde 21), elektronik tablolar (yüzde 20) kullanıldı.
- Kötü amaçlı yazılımları dağıtmak için kullanılan en yaygın ekler arasında elektronik tablolar (yüzde 33), yürütülebilir dosyalar ve komut dosyaları (yüzde 29), arşivler (yüzde 22) ve belgeler (yüzde 11) yer aldı.
- En yaygın kimlik avı yolları; sipariş, ödeme, satın alma, istek ve fatura gibi ticari işlemlerdi.
- HP Wolf Security tehdit araştırma ekibinden Kıdemli Kötü Amaçlı Yazılım Analisti Alex Holland konuyla ilgili açıklamasında, "1. çeyrek verilerimiz, 2021'in başlarında bu saldırıların önünün kesilmesinden bu yana geçen sürede gördüğümüz en büyük Emotet faaliyetine işaret ediyor. Burada Emotet operatörlerinin yeniden toplandığına, güçlerini geri kazandığına ve botnet'i büyütmeye yatırım yaptığına dair açık bir işaret görüyoruz. Emotet bir zamanlar CISA tarafından en yıkıcı ve maliyetli kötü amaçlı yazılımlardan biri olarak tanımlanmıştı. Emotet operatörleri genellikle fidye yazılımı gruplarıyla iş birliği yapıyor; bu modeli devam ettireceklerini düşünüyoruz. Bu yüzden yeniden ortaya çıkmaları hem işletmeler hem de kamu sektörü için kötü bir haber.” dedi.
HP Kişisel Sistemler Küresel Güvenlik Başkanı Dr. Ian Pratt ise “Bu çeyrekte HP Wolf Security tarafından tespit edilen tehditlerde yüzde 27 gibi önemli bir artış oranı görüyoruz. Siber suçlular BT ortamındaki değişikliklere karşılık olarak yaklaşımlarını değiştirdikçe saldırıların hacmi ve çeşitliliği artmaya devam ediyor ve geleneksel araçların saldırıları algılaması zorlaşıyor. Algılamayı atlamak için kullanılan alternatif dosya türleri ve tekniklerindeki gelişmeler nedeniyle kurumların rotasını değiştirmesi ve uç nokta güvenliğine katmanlı bir yaklaşım benimsemesi gerekiyor. En azından ayrıcalık ilkesini uygulayarak ve en yaygın tehdit kaynaklarını (e-postadan, tarayıcılardan veya indirmelerden) izole ederek bu kaynaklar aracılığıyla bulaşan kötü amaçlı yazılımlar zararsız hale getirilmeli. Bu şekilde, kurumların siber tehditlere maruz kalma riski önemli ölçüde azalacaktır," açıklamasında bulundu.