03 Kasım 2021

Siber Güvenlik Bülteni - Ekim 2021

 

Bültenimizin Ekim ayına ait başlıkları; 
  • Dropbox Üzerinden Saldırı
  • Hasta Verileri Yine Çalındı
  • Accenture Fidye Yazılımı Saldırısına Uğradı
  • Kurbanların %83'ü Fidye Ödemeyi Kabul Ediyor
  • Üniversitede Veri İhlali

Dropbox Üzerinden Saldırı

İranlı hack gruplarının Dropbox üzerinden Ortadoğu'da havacılık ve telekomünikasyon endüstrilerine yönelik saldırı gerçekleştirildiği bildirildi. Saldırıyı gerçekleştiren grubun MalKamak isimli grup olduğu ve bu grubun İran hükümeti tarafından desteklendiği iddia ediliyor. Bu grubun 2018 yılından beri aktif olarak havacılık ve telekomünikasyon endüstrilerine karşı saldırı gerçekleştirdiği bilinmektedir; grup geçmişte Orta doğu dışında grup ABD, Avrupa ve Rusya'da da benzer saldırılar gerçekleştirdi.

MalKamak grubunun saldırdığı kurumlara yerleştirdiği RAT (Remote Access Trojan) ağdan bilgi toplayıp, ağda komut çalıştırmaya olanak sağlamaktadır. MalKamak grubu  içeri yerleştirilen RAT ile olan iletişimi Dropbox API üzerinden sağlamakta, içerideki zararlı yazılımı Dropbox üzerinden güncelleyebilmekte ve bilgi toplamaktadır. Dropbox üzerinden gerçekleştirildiğinden dolayı bu iletişimin ağ izleme araçları tarafından tespiti oldukça zordur.

2018 yılından beri aktif olan zararlı ShellClient'ın günümüze kadar geldiği ve Temmuz 2021 yılında ilk olarak tespit edildiği düşünülüyor. Farklı bir açıdan bakarsak; zararlı yazılımların ne kadar güçlendiği ve hali hazırda güven kazanmış uygulamalar üzerinden de bizlere ulaşabileceği ve 3 yıl sonra ancak tespit edilebildiği de düşünüldüğünde, siber dünyada ne kadar zor bir alanda savunma mücadelesi verdiğimizi unutmamak gerekiyor.

Hasta Verileri Yine Çalındı

Pandemiyle beraber sağlık sektörüne yapılan saldırılar hız kesmeden devam ediyor. Sağlık alanında en çok saldırı hastanelere ve tabiki hasta bilgilerine yönelik olarak gerçekleşiyor. Son gerçekleşen saldırıda bir hastanenin 68,792 hastası etkilendi. KVKK ile birlikte her ne kadar kişisel veriler koruma altına alınmaya çalışılsa da henüz yeterli ölçüde temel önlemler alınmamakta; bir çok kurum veri toplamaya çok rahat bütçe ayırırken maalesef veri koruma konusunda yeteri hassasiyeti göstermemektedir.

Dünyada olduğu gibi ülkemizde de hastaneler her geçen gün hedef olmaya ve ciddi anlamda bu saldırılardan etkilenmeye de devam ediyor. Sağlık sektörüne yönelik gerçekleştirilen saldırılar geçtiğimiz yıla göre %30 artmış durumda ve artmaya devam edecek gibi görünüyor.

Hastaneye yapılan son saldırıda, hastaların ifşa olan verileri içerisinde ise şu bilgiler yer almaktaydı:
  • Hasta İsimleri
  • Doğum Tarihleri
  • Sosyal Güvenlik Numaraları
  • Ehliyet Numaraları
  • Pasaport Bilgileri
  • Banka Hesap Numaraları
  • Tıbbi Bilgiler (Tanı, Tedavi, Tıbbı Kayıt ve Hasta Bilgileri)

Accenture Fidye Yazılımı Saldırısına Uğradı

Danışmanlık devi Accenture Ağustos 2021'de ifşa edilen bir fidye yazılımı saldırısında özel bilgilerin çalındığını doğruladı. Saldırı Lockbit fidye operatörleri tarafından gerçekleşti ve saldırgan grup 6 terabayttan fazla veri çaldığını iddia ederek, 50 milyon dolarlık fidye talep ettiler.

Accenture yetkilileri bir fidye yazılımı sonrasında gerekli yedeklerden sistemin aktif hale getirildiğini belirtirken, hangi verilerin sızdırıldığı noktasında araştırmaların devam ettiğini ancak henüz net bir bilgi olmadığını belirttiler. Operasyonel olarak müşterilerin etkilenmediğini, ancak kurumun finansal olarak sorun yaşayabileceğini öngördüklerini de eklediler.

Geçtiğimiz haftalarda yayınlanan FinCEN (ABD Hazine Bakanlığı Mali Suçları Engelleme Ağı) raporuna göre Bitcoin transferlerinin 5.2 milyar dolarlık bir kısmının en popüler 10 fidye yazılımı ödemelerine ait olduğu düşünülüyor.

Bu kadar büyük bir ekonomik değer hesaba katıldığında, bundan sonraki dönemlerde de Accenture gibi büyük ölçekli firmalara milyon dolar seviyesinden fidye talep edilen saldırıların devam edeceği öngörülüyor ve unutmamak gerekir ki fidye saldırıları sadece büyük şirketleri değil, verisi olan her kurumu ve şahsı da tehdit eden bir saldırı türü olmaya devam ediyor.

Kurbanların %83'ü Fidye Ödemeyi Kabul Ediyor

Uluslarası bir kurumun yaptığı araştırmaya göre son 12 ayda fidye yazılımı saldırısına denk gelen kurumların %83'ü fidyeyi ödemekten başka çarelerinin olmadığını düşünüyor.

300 ABD'li BT yöneticisi ile yapılan ankette kurumların %64'ünün son 12 ayda en az bir kere fidye yazılımı saldırısına uğradığı belirtiliyor. Yine anketten ortaya çıkan diğer sonuçlar ise fidye yazılımı saldırısı sonrasında kurumların %50'sinin gelir kaybı ve itibar kaybı yaşadığını, %42'sinin ise müşteri kaybettiğini gösteriyor. Durum böyle olunca da birçok kurum fidye ödemekten başka çaresi olmadığını tekrar ediyor.

Ankete katılan BT yöneticileri fidye saldırıları vektörlerini şu şekilde sıralıyor:
- %53'i e-posta
- %41'i uygulamalar
- %38'i bulut sistemleri

kaynaklı.

Saldırıların pandemiyle beraber artış gösterdiği ve kurumlarında buna yönelik bütçelerini artırdığı görülüyor, saldırıya uğrayan kurumların %93'ü bütçe artırımına gidiyor. Ama unutmamak gerekir ki bu saldırılarda para kaybından daha da önemli olanı "itibar" ve "güven" gibi yıllara yaygın birikimlerin kaybını engellemektir; bundan dolayı bu tür saldırılara karşı profesyonel destek almak ve saldırılara karşı hazırlıklı olmak gerekiyor.

Gerek saldırılara karşı önceden tedbir almak, gerekse saldırı anında destek almak üzere bizlere ulaşabilirsiniz.

https://www.isr.com.tr/#SiberGuvenlik

Üniversitede Veri İhlali

ABD'de bir üniversitede eski ve yeni öğrencilere ait kişisel veriler sızdırıldı. Saldırıya uğrayan Colorado Üniversitesi yayınladığı güvenlik bildiriminde yaması uygulanmamış yazılımdaki güvenlik açığından kaynaklandığını belirtti. Uygulama öğrenci bilgilerini barındırıyordu ve zafiyetten kaynaklı olarak uygulamadan öğrencilere ait; adları, okul numaraları, adresleri, doğum tarihleri ve telefon numaraları gibi bilgiler sızdırıldı.

Konuyla alakalı olarak öğrenciler bilgilendirildi ve gerekli yamalar yapıldı; fakat yamanın 3 ay önce yayınlandığı ve kurumdaki saldırının başarılı olmasının Bilgi İşlem ekibinin yamayı yapmakta gecikmesinden kaynaklı olduğu ortaya çıktı. Çalınan verilerin henüz nerede ne şekilde kullanıldığı konusunda ise herhangi bir bilgi bulunmamaktadır.

Popüler Yayınlar