WatchGuard 2025 2. Çeyrek İnternet Güvenliği Raporu’nu Yayınladı

Yönetilen hizmet sağlayıcıları (MSP) için bütünleşik siber güvenlik alanında küresel bir aktör olan WatchGuard® Technologies, WatchGuard Tehdit Laboratuvarı araştırmacıları tarafından 2025 yılının ikinci çeyreği olan Nisan-Haziran döneminde gözlemlenen en önemli kötü amaçlı yazılım, ağ ve uç nokta güvenlik tehditlerini ayrıntılı olarak ele alan üç aylık analiz raporu olan İnternet Güvenliği Raporu’nun bulgularını yayınladı.

Raporun temel bulguları, gelişmiş kötü amaçlı yazılımların çeyrek bazda %40 artış gösterdiğini ortaya koyuyor. Veriler, şifrelenmiş kanalların, saldırganların Transport Layer Security (TLS) kullanarak tercih ettikleri saldırı yönü olduğunu vurguluyor. TLS, kullanıcıları korumak için hayati önem taşırken, saldırganlar kötü amaçlı yazılımları gizlemek için bunu giderek daha fazla kullanıyor. Genel olarak, kötü amaçlı yazılım tespitleri ikinci çeyrekte %15 artış gösterdi. Bu artışın nedeni, Gateway AntiVirus (GAV) tarafından tespit edilen kötü amaçlı yazılımların %85, IntelligentAV (IAV) tarafından tespit edilenlerin ise %10 artmasıydı. Bu durum, IAV’nin karmaşık tehditleri yakalamadaki rolünün giderek arttığını gösteriyor. Tüm kötü amaçlı yazılımların %70’i artık şifreli bağlantılar üzerinden dağıtıldığından, bulgular saldırganların gizleme ve gizlilik yöntemlerine giderek daha fazla güvendiklerini ve kuruluşların şifreli trafiğin görünürlüğünü artırmaları ve esnek koruma stratejileri benimsemeleri gerektiğini ortaya koyuyor.

Threat Lab ayrıca ağ saldırılarında %8,3’lük hafif bir artış gözlemledi. Aynı zamanda, saldırıların çeşitliliği azaldı ve geçen çeyrekte 412 olan benzersiz imza sayısı 380’e düştü. Özellikle, yepyeni bir kötü amaçlı JavaScript algılama olan “WEB-CLIENT JavaScript Obfuscation in Exploit Kits” verilere girdi ve eski kontrolleri atlatmak için gizlemeyi bir kaçınma tekniği olarak kullanan yeni tehditlerin ne kadar hızlı yayılabileceğini vurguladı. Bulgular, yeni istismarların ortaya çıkmasına rağmen, saldırganların tarayıcılarda, web çerçevelerinde ve açık kaynak araçlarda yaygın olarak kullanılan eski güvenlik açıklarına büyük ölçüde güvenmeye devam ettiğini gösteriyor.

“Kötü Amaçlı Yazılımlar İkinci Çeyrekte Artış Gösterdi”

WatchGuard Technologies’in güvenlik sorumlusu Corey Nachreiner şu açıklamalarda bulundu:

“Raporun bulguları, saldırganların tespit edilmeyi önlemek ve etkilerini en üst düzeye çıkarmak için yoğun çaba sarf etmeleri nedeniyle, şifreli kanallarda kaçak kötü amaçlı yazılımların ikinci çeyrekte artış gösterdiğini ortaya koyuyor. Kaynakları sınırlı MSP’ler ve küçük BT ekipleri için bu değişim, asıl zorluğun güçlü önlemlerle hızlı bir şekilde uyum sağlamak olduğu anlamına geliyor. Tutarlı yama uygulamaları, kanıtlanmış savunma sistemleri ve hızlı hareket edebilen gelişmiş algılama ve yanıt teknolojileri, bu tehditleri azaltmak için en etkili önlemler olmaya devam ediyor.”

WatchGuard’ın 2025 2. Çeyrek İnternet Güvenliği Raporu’nun önemli bulguları şunlar:

1. Yepyeni, benzersiz kötü amaçlı yazılım tehditleri %26 artış göstererek, kötü amaçlı yazılım kaçakçılığı türlerinden biri olan paket şifrelemenin tehdit aktörleri arasında ne kadar yaygın olduğunu ortaya koydu. Bu polimorfik tehditler, imza tabanlı algılamadan kaçarak WatchGuard’ın APT Blocker (Gelişmiş Kalıcı Tehdit Engelleyici) ve IAV sayıları gibi gelişmiş hizmetlerinin daha yüksek isabet oranlarına yol açıyor.
2. Threat Lab, beklenmedik bir şekilde iki USB tabanlı kötü amaçlı yazılım tehdidi tespit etti: uzaktan erişim arka kapısı PUMPBENCH ve yükleyici HIGHREPS. Her ikisi de Monero (XMR) madenciliği yapan XMRig adlı bir coin madencisi kullanıyor ve kripto sahipleri arasında donanım cüzdan kullanımına bağlı olmaları muhtemel.
3. Fidye yazılımları %47 oranında azaldı. Bu, daha az sayıda ancak daha etkili ve daha büyük sonuçlara yol açan, yüksek profilli hedeflere yönelik saldırılara doğru bir kayma olduğunu gösteriyor. Özellikle, aktif şantaj gruplarının sayısı arttı ve Akira ve Qilin en agresif gruplar arasında yer aldı.
4. Dropper’lar ağ kötü amaçlı yazılımlarını domine etti. En çok tespit edilen on yazılımdan yedisi, Trojan.VBA.Agent.BIZ ve kimlik bilgisi hırsızı PonyStealer dahil olmak üzere, ilk aşamada kullanıcı tarafından etkinleştirilen makroları istismar eden birinci aşama yükleriydi. Kötü şöhretli Mirai botnet de beş yıl aradan sonra yeniden ortaya çıktı ve çoğunlukla APAC bölgesinde yoğunlaştı. Dropper’ların hakimiyeti, saldırganların çok aşamalı enfeksiyonları tercih ettiğini gösteriyor.
5. Sıfırıncı gün kötü amaçlı yazılımlar, tespit edilenlerin %76’sından fazlasını ve şifrelenmiş kötü amaçlı yazılımların neredeyse %90’ını oluşturarak hakimiyetini sürdürüyor. Bu bulgular, özellikle TLS trafiğinde gizlenen tehditler için, imzaların ötesinde gelişmiş tespit yeteneklerine duyulan ihtiyacı vurguluyor.
6. DNS tabanlı tehditler, RAT görevi gören bir yükleyici kötü amaçlı yazılım olan DarkGate uzaktan erişim truva atı (RAT) ile bağlantılı etki alanları da dahil olmak üzere devam etti ve DNS filtrelemesini kritik bir savunma katmanı olarak güçlendirdi.