Kaspersky, 2025 yılı boyunca elde edilen verilere dayanan "Siber Dünyanın Anatomisi" başlıklı küresel raporu yayımladı.
Şirketten yapılan açıklamada paylaşılan rapora göre, parola tahmini ve yetkili hesapların suistimal edilmesi, 2025'te siber suçluların en sık kullandığı sızma yöntemleri arasında yer alıyor. Kaspersky Security Services'ın raporunda, sık karşılaşılan saldırgan teknikleri, araçları ve tespit senaryoları incelenirken, tespit edilen olayların ayırt edici özelliklerine de ışık tutuluyor.
Söz konusu durum saldırganların artık güvenlik altyapılarına takılan gürültülü zararlı yazılımlardan uzaklaştığını ortaya koyarken, tehdit aktörlerinin tespit edilmemek amacıyla meşru erişim haklarını kullanmaya başlayarak stratejik bir eksen kayması gerçekleştirdiğini gösteriyor.
Raporda, yoğun şekilde izlenen saldırı tekniklerinin büyük bölümü kimlik bilgileri ve kimlik yönetimi süreçleri etrafında şekillenirken, Çeşitli Saldırı Göstergelerinin (IoA) dönüşüm oranlarını inceleyen analizde siber tehditlerde öne çıkan taktiklere de yer veriliyor.
- Kimlik bilgileri ve hesaplara yönelik yöntemler öne çıkıyor
Saldırganların bir hesaba erişim sağlamak için sistematik olarak farklı parolaları denediği "parola tahmini" yöntemi, yüzde 34,8 ile dönüşüm oranı açısından listenin başında bulunuyor. Tekniğin ilk sırada yer almasının nedenleri arasında hem gerçek saldırılarda hem de yetkili güvenlik testlerinde yoğun olarak kullanılması ile siber güvenlik alanında kalıcı bir tehdit oluşturması bulunuyor. Zayıf veya yinelenen parolalar kullanan kuruluşlar ise söz konusu yönteme karşı risk taşımayı sürdürüyor.
Yüzde 34,7 ile listenin ikinci sırasında "yeni hesap oluşturma" yer aldı. Saldırganlar sisteme bir kez sızdıktan sonra, ilk elde ettikleri erişim noktası fark edilip kapatılsa bile içeride kalmayı sürdürmek amacıyla sık sık yeni yerel hesaplar oluşturuyor. Bu teknik, güvenlik tatbikatlarında da sıkça gözlemleniyor. Doğru telemetri altyapısıyla tespit edilebilen yönteme karşın, birçok şirkette bu görünürlüğü sağlayacak telemetri altyapısı bulunmuyor.
Saldırganlar, sisteme zararlı yazılım bulaştırmak yerine ele geçirdikleri geçerli kimlik bilgileriyle giriş yaparak normal kullanıcı faaliyetleri arasında kamufle oluyor.
"Yetkili hesapların suistimal edilmesi" de yüzde 34,5'lik oranla öne çıkıyor. Saldırganlar sisteme zararlı yazılım bulaştırmak yerine, ele geçirdikleri geçerli kimlik bilgileriyle giriş yaparak normal kullanıcı faaliyetlerinin arasında kamufle oluyor.
Yüzde 32 ile "hesap manipülasyonu"nda ise saldırganlar, içerideki erişimlerini kalıcı kılmak ve pekiştirmek için mevcut hesaplar üzerinde değişiklik yapıyor. Devre dışı bırakılmış hesapları yeniden aktif hale getiriyor, grup üyeliklerini değiştiriyor veya yetki yükseltiyor.
"Ağ servislerinin keşfi" de yüzde 31,2 ile dikkati çekiyor.
- "Çözümlerimizle güvenlik altyapılarını güçlendirebilirler"
Rapor, saldırgan tekniklerini, gözlemlenen şüpheli faaliyetlerin ne kadarının kesinleşmiş siber olaylara dönüştüğünü esas alarak sıralıyor.
Kaspersky uzmanlarına göre, MITRE ATT&CK matrisi geniş bir saldırgan tekniği kataloğu sunarken, etkili bir savunma için hatalı alarm üretmekten kaçınılması ve kötü niyetli olma olasılığı yüksek davranışlara öncelik verilmesi gerekiyor.
Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Operasyonları Merkezi (SOC) Müdürü Sergey Soldatov, siber tehdit aktörlerinin hedeflerine ulaşmak için her zaman gelişmiş zararlı yazılımlara ihtiyaç duymadığını, çoğu senaryoda, meşru yönetim araçları ve ele geçirilmiş hesapların fark edilmeden bir kurum içinde ilerlemenin en hızlı ve en etkili yolu olduğunu belirtti.
Soldatov, şirketin güvenlik altyapılarının güçlendirilmesine yönelik çözümlerine de değinerek, şunları kaydetti:
"Bu tekniklerin popülaritesini koruması, kurumların saldırgan davranışlarına karşı derin bir görünürlüğe ve bir saldırının farklı aşamalarındaki şüpheli faaliyetleri birbiriyle ilişkilendirme yeteneğine ihtiyaç duyduğunu gösteriyor. Şirketler bu zorlukların üstesinden gelmek için, tehdit tespitinden sürekli koruma ve müdahaleye kadar tüm olay yönetimi döngüsünü kapsayan Kaspersky Yönetilen Tespit ve Yanıt (MDR) ile Olay Müdahalesi (IR) çözümlerimizle güvenlik altyapılarını güçlendirebilirler."