fidye saldırısı etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
fidye saldırısı etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

01 Eylül 2023

Siber Güvenlik Bülteni - Ağustos 2023

 

Bültenimizin Ağustos Ayı konu başlıkları; 
    • Endüstriyel Kuruluşlarda Fidye Yazılımı Saldırıları İki Katına Çıktı
    • Ivanti Sentry Gateway 0. Gün Zafiyeti
    • WinRAR'da 0. Gün Zafiyeti
    • Küresel Acil Durum Hizmetleri İletişim Protokolünde 0. Gün Zafiyeti

    Endüstriyel Kuruluşlarda Fidye Yazılımı Saldırıları İki Katına Çıktı

    Endüstriyel kuruluşları ve altyapıyı hedef alan fidye yazılımı saldırılarının sayısı 2022'nin ikinci çeyreğinden bu yana iki katına çıktı. 2023'te ikinci çeyrekte de, ilk çeyreğe göre daha fazla saldırı gerçekleşti. 2022'de Conti fidye yazılım grubunun pasif hale gelmesiyle bir dönem azalış meydana gelse de, saldırılar hızla artmaya devam ediyor.

    Saldırıların artmasındaki en büyük payda, bazı kurban şirketlerin ödemeyi reddetmesi yatıyor, bazı şirketler ödemeyi kabul etmeyince fidye yazılımı grupları daha fazla noktaya saldırmaya başlıyor.

    2023'te saldırıların artmasında iki önemli neden gösteriliyor; birincisi, NATO ülkeleri ile Rusya arasında hakim olan siyasi gerilim, Rusya'ya bağlı fidye yazılımı gruplarını NATO ülkelerindeki kritik altyapıları hedef almaya ve bozmaya devam etmeye motive ediyor. İkincisi, fidye ödemeye istekli kurbanların sayısı azaldıkça, RaaS grupları odaklarını daha büyük kuruluşlara kaydırdı ve gelirlerini sürdürmek için yaygın fidye yazılımı dağıtım saldırılarına başvurdu. 

    Saldırgan gruplar aktif olarak Kuzey Amerika'yı hedeflerken, hemen ardından Asya bölgesi geliyor. 2023'ün en aktif fidye yazılım grupları LockBit, Alpha V, Black Basta, Bianlian, BBase, Play, Royal, Clop ve Akira diye devam ediyor.

    Üretim en çok hedeflenen sektör olarak ön plana çıkarken, onu endüstriyel kontrol sistemleri, ulaşım ve petrol-gaz takip ediyor.

    Ivanti Sentry Gateway 0. Gün Zafiyeti

    Ivanti, Sentry mobil ağ geçidini etkileyen yakın zamanda keşfedilen bir güvenlik zafiyetinin saldırılarda kullanıldığını doğruladı. CVE-2023-38035 kodu ile takip edilen ve 'kritik' olarak derecelendirilen güvenlik zafiyetinin varlığı 21 Ağustos'ta ortaya çıktı. Ivanti, zafiyetten "sınırlı sayıda müşterinin" etkilendiğinin farkında olduğunu söyledi.

    Bu güvenlik zafiyetinden yararlanılması halinde, kimliği doğrulanmamış bir aktörün yönetici portalında Ivanti Sentry'yi yapılandırmak için kullanılan bazı hassas API'lere erişmesine olanak sağlıyor. Ivanti, müşterilerin MICS'e erişimi dahili yönetim ağlarıyla sınırlamalarını ve bunu internete maruz bırakmamalarını tavsiye ediyor. 8443 numaralı portu internete açmayan müşteriler için istismar riskinin düşük olduğunu da ekledi.

    Uzmanlar, "başarılı bir istismar, kimliği doğrulanmamış bir tehdit aktörünün Ivanti Sentry sunucusuna dosya okuyup yazmasına ve 'süper kullanıcı' (sudo) kullanarak sistem yöneticisi (root) olarak işletim sistemi komutlarını yürütmesine olanak tanır" dedi. Geçtiğimiz ay Ivanti EPMM yazılımlarına ait güvenlik zafiyeti ortaya çıkmış ve aktif olarak kamuya saldırılarda kullanılmıştı.

    Bu güvenlik zafiyeti 9.18 ve önceki sürümleri etkiliyor. Ivanti, yazılımların önce desteklenen sürümlere yükseltilmesini daha sonra aktif hale getirdiği RPM kodlarının uygulanmasını önerdi.

    Eğer sistemlerinizde yamayı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    WinRar'da 0. Gün Zafiyeti

    WinRAR, sıkıştırma ve arşivleme aracının, bir RAR dosyası açıldığında kod çalıştırılmasına izin veren bir güvenlik zafiyetinden etkilendiği tespit edildi. WinRAR, birden fazla dosyayı dağıtım veya arşivleme amacıyla sıkıştırmak ve paketlemek için kullanılabilen birçok uygulamadan biridir ve dünya çapında 500 milyondan fazla kullanıcısı ile dünyanın en popüler sıkıştırma aracı olduğu tahmin edilmektedir.

    CVE-2023-40477 kodu ile takip edilen WinRAR zafiyetinin, bir arşiv dosyasını açarken kullanıcı tarafından sağlanan verilerin tam olarak doğrulanmamasından kaynaklandığı ve bu durumun belleğe de erişime imkan sağladığı belirtilmekte. Bu zafiyet, saldırgana bir RAR dosyası oluşturup, zararlı kodu yürütmek üzere kullanmasına olanak sağlamaktadır.

    CVE-2023-38831 kodu ile takip edilen diğer WinRar sıfır gün güvenlik zafiyeti, bir arşivdeki zararsız dosyalara tıklandığında kötü amaçlı yazılım yüklemek için aktif olarak kullanıldı ve bilgisayar korsanlarının çevrimiçi kripto para birimi ticaret hesaplarını ihlal etmesine olanak tanıdı.
    Bu güvenlik zafiyeti Nisan 2023'ten beri aktif olarak kullanılıyor ve DarkMe, GuLoader ve Remcos RAT gibi çeşitli kötü amaçlı yazılım ailelerinin dağıtılmasına yardımcı oluyor. Saldırganların JPG (.jpg) resimleri, metin dosyaları (.txt) veya PDF (.pdf) belgeleri gibi görünüşte zararsız olan dosyaları görüntüleyen kötü amaçlı .RAR ve .ZIP arşivleri oluşturmasına da olanak tanımaktadır.

    WinRAR bu iki kritik zafiyeti kapatan WinRAR 6.23 yeni sürümünü yayınladı, acilen güncellemenizi öneririz.  

    Küresel Acil Durum Hizmetleri İletişim Protokolünde 0. Gün Zafiyeti

    Araştırmacılar, dünya çapında acil servisler tarafından kullanılan bir radyo iletişim protokolünün, saldırganların iletimleri gözetlemesine veya manipüle etmesine izin verebilecek bir çok kritik güvenlik açığını barındırdığını buldu.

    Karasal Hatlı Radyo (TETRA), esas olarak polis, itfaiye ve askeriye gibi acil servislerin yanı sıra bazı endüstriyel ortamlarda kullanılan bir radyo ses ve veri standardıdır. Çoklu TETRA güvenli kanalları anahtar yönetimi, ses ve veri şifreleme sunarken TETRA Şifreleme Algoritması (TEA1), verilerin kablosuz olarak gizli bir şekilde iletilmesini sağlayan gerçek şifreleme algoritmalarını uygular.

    İlk olarak 1995 yılında Avrupa Telekomünikasyon Standartları Enstitüsü (ETSI) tarafından yayınlanan TETRA, özellikle kolluk kuvvetleri için en yaygın kullanılan profesyonel mobil radyo standartlarından biridir ve ses, veri ve makineler arası iletişim için onlarca yıldır sürekli olarak kullanılmaktadır.

    TETRA'da beş güvenlik açığı bulundu; kritik olarak derecelendirilen CVE-2022-24402 ve CVE-2022-24401 kodu ile takip edilen ise iki zafiyettir. Sıfır gün güvenlik açıkları toplu olarak "TETRA:BURST" olarak bilinir.

    Altyapı ve cihaz yapılandırmalarına bağlı olarak bu güvenlik açıkları, gerçek zamanlı veya gecikmeli şifre çözme, mesaj ekleme, kullanıcı anonimleştirme veya oturum anahtarı sabitleme saldırılarına olanak tanır. Pratik olarak bu güvenlik açıkları, üst düzey saldırganların polis ve askeri iletişimleri dinlemesine, hareketlerini takip etmesine veya TETRA üzerinden taşınan kritik altyapı ağ iletişimlerini manipüle etmesine olanak tanıyor.

    Uzmanlar, herhangi bir yamanın olmadığını, üreticilerin iyileştirme için hali hazırda çalışmalara devam ettiğini ve TEA1'den başka bir TEA şifrelemesine geçilmesini öneriyor.

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    28 Nisan 2023

    Siber Güvenlik Bülteni - Nisan 2023

    Bültenimizin Nisan Ayı konu başlıkları; 
      • Microsoft Fidye Saldırılarına Karşı Güncelleme
      • Cisco Kritik Zafiyetler İçin Yama Yayınladı
      • SAP Zafiyetleri İçin Yama Yayınladı
      • MSI Fidye Yazılımı Saldırısına Uğradı!

      Microsoft Fidye Saldırılarına Karşı Güncelleme

      Microsoft, 97 adet güvenlik açığı için yama yayınladı, bu zafiyetlerden bir tanesi ise aktif olarak fidye saldırılarında kullanıldı.

      97 zafiyetin; 7'si kritik olarak belirlendi, 90'ı ise önemli olarak derecelendirildi. Bu zafiyetlerin 45'i uzaktan kod yürütme, 20'si de yetki yükseltme kusuru.

      Aktif olarak istismar edilen güvenlik açığı, Windows Ortak Günlük Dosya Sistemi (CLFS) yetki yükseltme hatası CVE-2023-28252 referans numarası ile takip edilebilir. 2018'den bu yana CLFS üzerinde en az 32 güvenlik açığı keşfedildi. Güvenlik araştırmacıları bu güvenlik zafiyetinin Orta Doğu, Kuzey Amerika ve Asya'daki küçük ve orta işletmelere Nokoyawa fidye yazılımını dağıtmak için kullanıldığını açıkladı.

      CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı) istismarı devam eden zafiyet için sorumlu olduğu kurumlara 2 Mayıs 2023 tarihine kadar sistemlerini güvence altına almaları uyarısını iletti.

      Microsoft'un Nisan ayında Office, Defender, SharePoint Server, Hyper-V, PostScript Yazıcı ve Microsoft Dynamics dahil olmak üzere Windows bileşenleri için yayınlanmış olduğu yamaların tamamına buradan ulaşabilirsiniz.

      Cisco Kritik Zafiyetler için Yama Yayınladı

      Cisco, endüstriyel ağ yönetimi çözümü Industrial Network Director (IND) ve ağ simülasyon platformu Modeling Labs çözümlerini etkileyen kritik güvenlik açıkları için yamalar yayınladı.

      Cisco Industrial Network Director'da bulunan zafiyet web ara yüzünde kimliği doğrulanmamış bir saldırgan NT AUTHORITY\SYSTEM ayrıcalıklarıyla kod yürütebilir. Bu zafiyet CVE-2023-20036 referans numarası ile takip edilebilir. (Cisco IND sürüm 1.11.3'de bu hatalar giderilmiştir.)

      Modeling Labs'da bulunan zafiyet, harici kimlik doğrulama mekanizmasındaki kusurdan kaynaklanmaktadır. Harici kimlik doğrulama sunucusunda depolanan geçerli kullanıcı kimlik bilgilerine eriştiği takdirde web ara yüzünde oturum açarak bu güvenlik açığından yararlanabilir ve yönetici olarak oturum açabilir. Bu zafiyet CVE-2023-20154 referans numarası ile takip edilebilir. (Modeling Labs sürüm 2.5.1'de bu hatalar giderilmiştir.)

      SAP Zafiyetleri için Yama Yayınladı

      SAP Diagnostics Agent ve SAP BusinessObjects Business Intelligence Platform'unu etkileyen kritik öneme sahip iki güvenlik açığı için düzeltmeler içeren Nisan 2023 güvenlik güncellemelerini yayınladı. Detaylarına "En Son Yayınlanan SAP Zafiyetleri ve SAP Güncellemeleri" yazımızda detaylı ulaşabilirsiniz.

      MSI Fidye Yazılımı Saldırısına Uğradı

      MSI fidye yazılımı saldırısında şirket ağının ihlal edildiğini doğruladı.

      Money Message fidye yazılım grubu MSI'ın bazı sistemlerine sızdığını ve şirketin 4 milyon dolar fidye ödemeyi kabul etmemesi halinde sızdırdığı bir takım dosyaları dağıtacağını açıkladı.
       
      Fidye yazılım grubu yaklaşık 1.5 TB boyutuna varan belgeleri sızdırdığını ve bu belgeler arasında ERP veri tabanları, yazılım kaynak kodu, özel anahtarlar ve BIOS üretici yazılımı içeren dosyaların ekran görüntülerini de paylaştı. 
       
      Fidye yazılımı grubunun sahip olduğu dosyalar ile kötü amaçlı ürün yazılımı oluşturarak kullanıcıyı güven oluşturup yüklemelerini sağlayabilir.

      MSI, firmware/BIOS güncellemelerini yalnızca resmi web sitesinden alınması ve diğer kaynaklardan dosya kullanımından uzak durulması konusunda uyaran bir bildiri yayınladı. 

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      02 Şubat 2022

      Siber Güvenlik Bülteni - Ocak 2022

       

      Bültenimizin Ocak ayına ait başlıkları; 

      • 2021'de Finansal Siber Saldırılar
      • Fidye Yazılımı Hapishaneye Denk Geldi !
      • Sağlık Verileri İhlal Edildi
      • Linux Zararlı Yazılımları Artmaya Devam Ediyor
      • QR Kodlara Dikkat

       2021'de Finansal Siber Saldırılar

      Bankacılık, Finans, Sigorta ve Menkul Kıymetler gibi kritik sektörler yoğun olarak BT sistemlerine bağlı şekilde gelişmekte. Hal böyle olunca siber saldırganlar tarafından en büyük hedef haline gelmesi kaçınılmaz oluyor. Fortune 500'ün 20 şirketinden sızdırılan 3,3 milyondan fazla kayıtla 6.472 ihlal ve veri sızıntısı tespit edildi. Sızan veri miktarı son iki yılda 6 kat oranında artmış durumda. Finans sektörünün diğer tüm sektörlere göre yaptığı yatırımlar ise %40 daha fazla.

      2021 yılındaki siber saldırıların ve özelliklerinin listesi aşağıdaki şekilde belirmiş durumda;

      Zararlı Yazılımlar;

      Yapılan araştırmalar gösteriyor ki zararlı yazılımların küresel çapta birden fazla sektörde mali kayıplar haftada yaklaşık 115,4 milyar dolara yükseldi.

      • Tedarik zinciri saldırıları artmaya devam ediyor, zararlı yazılımlar ile ağa sızan saldırganlar kuruma özel gizli verileri sızdırıyor.
      • Zararlı yazılımları yaymak için kullanılan en etkili yöntemlerden biri "Google Adsense"; kötü niyetli kampanyalar kullanılıyor.
      • Kötü amaçlı yazılımlar, sosyal mühendislik yöntemleriyle iletilen sahte zararlı dosyaları hâlâ aktif olarak kullanıyor.
      • Saldırganlar, kurumlar tarafından kontrolü zor olan mobil cihazları hedefliyor.


      APT Saldırıları

      APT; siber suçluların kurbanın ağında uzun süreli ve kalıcılığı artırmaya yönelik saldırıları ile gerçekleştirmektedir. Saldırı planı, hedeflenmiş kuruluşların zayıf noktalarını tespit edip, saldırılmasına yöneliktir.

      • Saldırılar kurum ağına yerleşmek ile başlar ve yanal hareketler ile ağda yayılmaya, ilerlemeye başlar.
      • Sonraki aşamada uzaktan erişim elde etmek ve sistemde komutları vermek için arka kapı oluşturulur. 2021 yılında en çok kullanılan yazılım "Cobalt Strike" olmuştur.
      • Keşif aşamasında kurum ağının alışkanlıkları tespit edilir ve buna göre saldırı zamanı planlanır.
      • Sonraki aşamalarda, kurumun içerisinde toplanan bilgiler dahilinde veri sızdırma, veri şifreleme, ATM ağlarını riske sokmak gibi tercihler de olabilmektedir.


      Sosyal Mühendislik

      Sosyal mühendislik uzun süredir hayatımızda olan ve halen en tehlikeli saldırılardan biridir. Yapılan araştırmalar çalışanların %43'ünün şirketlerini potansiyel olarak saldırıya maruz bırakmakta olduğunu göstermektedir.

      • Epostalar yoğun olarak sosyal mühendislik saldırılarında kullanılan en etkili yöntemdir. Amaç kullanıcıyı dolandırıcılık için hazırlanan web sitesini ziyaret etmeye veya virüslü bir dosyayı indirmeye motive etmektedir.
      • Sosyal mühendislik odaklı zararlı yazılımlar, kişileri dolandırıcılıkta kullanılan web sitesine ziyaret etmeye yönlendirmektedir.
      • Kişilerin iyi niyetlerini suistimal ederek, yanlış yapmaya sevk etmektedir.
      • Kimlik avı saldırıları, saldırganlar ağa girdikten sonra hızlıca giriş noktalarını aşmaya yardımcı olmaktadır.


      Üçüncü Parti Uygulamalar

      Üçüncü parti uygulamalara yapılan saldırılar büyük finans kurumlarını ciddi anlamda zora sokmaktadır. Geçtiğimiz yıllarda büyük kurumları hedefleyen saldırganlar, son dönemlerde daha kolay lokma olarak gördükleri üçüncü parti firmaları hedefleyerek başarıya ulaşmışlardır.

      • Büyük finans kurumlarına saldırılar gerçekleşirken, çok karmaşık olmayan bir saldırı ön plana çıkıyor, bir tedarikçi gibi kurum ile iletişime geçen ve başarılı olan saldırgan grupları görülüyor.
      • Finansal kurumların web sitelerini klonlayarak kullanıcıların ve çalışanların bilgilerini ele geçirmeye yönelik saldırılar da gerçekleşmektedir.
      • Mobil cihazların erişilebilirlik hizmetlerinden faylanarak, uzaktan erişim imkânı sağlayan zararlı yazılımlar ile kişinin kimlik bilgileri ele geçirilerek kurumlara bir çalışan gibi sızılabilmekte.
      • Kurumların destek ve hizmet aldığı daha ufak ölçekteki şirketlere sızılarak, büyük kurumlara olan direkt iletişim/erişim kanalları ile büyük kurumların ağlarına sızma gerçekleştirilebilmekte. Burada büyük finans kuruluşları ve birçok büyük kurum, bu tür saldırılara maruz kalmamak için, üçüncü parti firmaların kendilerini referans olarak kullanmasına izin vermemektedir.


      Finans sektörü için yukarıda bahsettiğimiz riskler ve saldırı metotları diğer sektörlerde de çok farklı olmamaktadır. Şirketler bu tür saldırı yüzeylerini iyi analiz etmeli ve bunlara karşı iyi bir siber güvenlik planlaması yapmalılar. Bu konuda tecrübeli, analiz yeteneği güçlü, saldırı metotlarını hem ofansif hem de defansif olarak irdeleyebilen bir destek ihtiyacınızda ISR Bilgi Güvenliği'ne danışabilirsiniz.

      Fidye Yazılımı Hapishaneye Denk Geldi!

      Geçtiğimiz hafta hapishane sistemlerine fidye yazılımı saldırısı gerçekleşti! Saldırı ile hapishane kameraları devre dışı bırakılarak, mahkûmlar ise hücrelerine hapsedildi. Hapishane personeli, hücrelerine hapsolan mahkûmları çıkarmak için manuel olarak müdahale etmek durumunda kaldı.

      Aynı saldırganlar ilçedeki nüfus işlerini; evlilik cüzdanı verilmesi, seçmen kayıtları ve emlak işlemlerini de engelleyerek bizlere fidye yazılımlarının sınırının ne kadar genişleyebildiğini hatırlatıyor.

      ABD'de yapılan araştırmada belirtildiği üzere, resmî makamlara ulaşan bilgilere göre 2021 yılında fidye yazılımlarına 500 milyon dolardan fazla ödeme yapıldı. Bu rakamların sadece resmî kurumlara gelen bilgiler olduğu düşünüldüğünde saldırıların geçmişe kıyasla ne kadar büyük bir pazara ulaştığını gözardı etmek mümkün değil.

      Bu haberden yola çıkarak 2022'deki fidye saldırılarına kısaca değinmek gerekirse; fidye yazılımları artık büyük saldırgan gruplar tarafından bayilik yoluyla birçok alt gruplara hizmet olarak verilerek, ölçeğini büyütmeye devam ediyor. Yedekleme sistemleriyle beraber şirketler fidye yazılımlarına karşı fidye ödemelerini azaltmaya başlamıştı fakat fidye yazılımları artık, verileri şifrelemeye ek olarak hassas verileri de dışarı çıkartıp şirketleri veri hırsızlığı ile vurmaktalar.

      2022 yılı itibariyle ağırlıklı olarak fidye yazılımlarının veri şifrelemek yerine, sızdırma faaliyetlerine ağırlık vereceği öngörülüyor.

      Kripto paraların ise bu konuda saldırgan grupların işini fazlasıyla kolaylaştırdığını biliyoruz. Bu ödemeleri engellemeye yönelik çeşitli devletlerin getirdiği birçok yasak dahi mevcut, bu yasakların saldırıları azaltacağı inanılıyor fakat buna istinaden saldırgan grupların paralarını almak için gasp ettiği şirketlere NFT satışı yaparak, fidyeleri aklayacağı da öngörülmekte.

      Bu saldırıları azaltmanın en önemli etkenleri; dijital süreçlerin iyi planlaması ve sistemlerin saldırıya karşı korunaksız, rahat erişilebilir durumda olmaması.

      Sağlık Verileri İhlal Edildi

      Florida'da bulunan hastane sistemi Broward Health yaşanan bir veri ihlalinden 1,3 milyondan fazla kişi etkilendi. 30'dan fazla sağlık tesisi işleten Broward Health'in etkilenen kişileri bilgilendirmesiyle açığa çıktı. Açıklama 1 Ocak'ta gerçekleştirildi, 15 Ekim'de sisteme erişim sağlandığı ve 19 Ekim'de izinsiz girişin keşfedildiği belirtildi.

      İhlali gerçekleştirilen veriler içerisinde kişilere ait; ad, soyad, doğum tarihleri, iletişim bilgileri (adres ve telefon numaraları), ehliyet numaraları, sosyal güvenlik numaraları, finansal bilgileri, sigorta verileri ve tıbbı bilgiler (teşhisler, tıbbı geçmiş, tedavi vs.) yer almaktadır.

      Kurum, çalışanlarının şifrelerinin sıfırlandığını, tüm sistemlerde çok faktörlü kimlik doğrulama uyguladığını ve ağa erişimi olan 3. parti cihaz ve uygulamalar için minimum güvenlik gereksinimlerini uygulamaya başladığını açıklamıştır.

      Dijitalleşme ile beraber hastaneler kişisel ve özel bilgileri fazlasıyla dijital ortamda barındırmaktadır, bu bilgileri korumaya karşın alınan önlemler maalesef yetersiz kalmaktadır, ayrıca bu bilgilerin kritikliği hakkında da birçok kuruluş yeteri farkındalığa sahip değildir. Bu tür saldırılara karşı önceden hazırlıklı olmak üzere, bilgi güvenliği adımları atılmalı ve süreçler bu çerçevede güncellemelidir. Bu konuda yardım ihtiyacınız bulunuyorsa, ürünlerimiz ve hizmetlerimiz hakkında bilgi almak için bizlere ulaşabilirsiniz. 

      Linux Zararlı Yazılımları Artmaya Devam Ediyor

      Linux cihazları hedefleyen zararlı yazılım bulaşmalarının sayısı 2021'de %35 arttı ve zararlı yazılımlar en yaygın olarak DDoS saldırıları için IoT cihazlarını kullandı.

      IoT cihazlar genellikle Linux dağıtımları kullanılan, belirli fonksiyon çerçevelerinde çalışan akıllı cihazlardır. Bu cihazlar tek başına saldırılar odağında yeterli etkiyi sağlayamasa dahi, birçok IoT cihazının birlikte saldırıya aracı (kurban olarak) kullanıldığında büyük DDoS saldırıları gerçekleştirdiğini geçtiğimiz dönemlerde dünyanın görülen en büyük saldırılarında görmüştük.

      2021'de saldırı verileri incelendiğinde karşımıza çıkan bazı istatistikler;

      • 2021'de Linux sistemlerini hedefleyen zararlı yazılımlar 2020'ye kıyasla %35 oranında arttı.
      • XorDDoS, Mirai ve Mozi; 2021'de gözlemlenen tüm Linux hedefli zararlı yazılım saldırılarının %22'sini oluşturan en yaygın ailelerdi.
      • Mozi ailesi, 2020'ye kıyasla yaklaşık 10 kat büyüme kaydetti.
      • XorDDoS ise 2020'ye kıyasla %123'lük bir büyüme kaydetti.

      QR Kodlara Dikkat

      FBI, kimlik bilgileri ve finansal bilgileri hedefleyen kötü amaçlı QR kodlar ile yapılan saldırılar hakkında uyarıda bulundu. Bilindiği üzere QR kodlar uzun zamandır hayatımızda ve birçok kullanıcıyı kampanya odaklı sitelere veya uygulamalara yönlendirmek için fazlasıyla kullanılıyor, son yıllarda finansal teknolojilerde hızlı ödeme gibi gelişmiş alanlarda da karşımıza çıkıyor.

      Bu duruma göre saldırı senaryosu kuran saldırganlar potansiyel kurbanlarını kandırmak için orijinal QR kodları kendi hazırladıkları sahte sayfalara yönlendiren QR kodlar ile değiştirerek, kurbanların kişisel bilgilerini, finansal bilgilerini ele geçirmek veya cihazlarına zararlı yazılım yüklemek için kullanıyor.

      Bu yüzden herhangi bir QR kod okuturken yönlendirilen adresin gerçekten gitmek istediğimiz adres olduğundan emin olmalıyız, yoksa ele geçirilen bilgiler ile ciddi finansal kayıplar yaşayabiliriz.

      Artık birçok kurumun kampanyalarını bile QR kod üzerinden mağazalarında paylaştığına, restoranların menülerini QR kod üzerinden paylaştığına şahitlik ediyoruz. Bu yüzden mümkün olduğunca erişmek istediğimiz sayfalara klavye ile adres alanına yazarak girmemiz, daha güvenli ve kontrollü bir halde gezinmemize olanak sağlar.

      Bunun haricinde diğer bir risk alanı ise QR kod okuma uygulamaları, mobil uygulama marketlerinde binlerce QR kod uygulaması mevcut ve bunların da siz doğru adrese gitmek isteseniz ve doğru kodu okutsanız bile, sizleri istedikleri başka bir adrese yönlendirebileceğini unutmayın! Bu yüzden QR kod okuma uygulamaları için mümkünse telefonunuz ile birlikte sunulan varsayılan uygulamaları veya uygulama marketlerindeki güvenilir olduğundan emin olduğunuz uygulamaları tercih edin.

      07 Aralık 2021

      Siber Güvenlik Bülteni - Kasım 2021

      Bültenimizin Kasım ayına ait başlıkları; 

      • MediaMarkt Fidye Yazılımı Saldırısına Uğradı
      • 2.1 Milyon Kişinin DNA Verileri Çalındı. 
      • FBI, Satın Alma ve Birleşme Yapan Şirketleri Uyarıyor.
      • ABD Hükümeti Hackerlar İçin Kesenin Ağzını Açtı.
      • Pink Botnet 1.6 Milyon Cihaza Bulaştı.

       MediaMarkt Fidye Yazılımı Saldırısına Uğradı

      Alman devi MediaMarkt fidye yazılımı saldırısına uğradı.

      MediaMarkt 13 ülkede 1,000'den fazla mağazasıyla Avrupa'nın en büyük tüketici elektroniği mağaza zinciridir, yaklaşık 53,000 çalışanı vardır ve yıllık cirosu 20.8 milyar Euro'dur.

      Saldırı, Almanya ve Hollanda'da da BT sistemlerinin kapanmasına ve depolama operasyonlarının kesintiye uğramasına sebep oldu. Hive fidye yazılımı şirket sistemlerine pazarı pazartesiye bağlayan gece vurdu ve sabah tüm sistemlerin şifrelendiği görüldü. Almanya ve Hollanda ağırlıklı olsa da Avrupa'da birçok mağaza da durumdan etkilendi. Şirket online satışlarına devam ederken, yazar kasalar üzerinden ödeme alınamadı, makbuz kesilemedi ve iade taleplerine cevap veremez duruma gelindi.

      Yapılan analizlerde yaklaşık 3,100 sunucunun etkilendiği belirtiliyor.

      Hive fidye yazılımı grubu, MediaMarkt'tan şifre çözmek için ütopik bir ücret talep etti; 240 milyon dolar. Şimdiye kadar talep edilen en yüksek fidyelerden biri olduğunu söyleyebiliriz fakat bu rakamların, büyük şirketlerde pazarlığa başlamak amaçlı seçildiğini de biliyoruz. Hive grubu talep edilen fidyenin verilmemesi karşılığında bazı dosyaları ifşa edeceğini de açıkladı.

      Saldırgan Hive grubuna da kısaca değinmek gerekirse;

      • Genellikle oltalama saldırıları ile elde ettiği bilgileri kullanarak sisteme sızarlar.
      • Sisteme sızdıktan sonra ağda yatay (yanal) hareketler ile tüm sistemlere ulaşmaya çalışır.
      • Ulaştığı sistemleri hızlıca şifrelemeye başlar.
      • Mağdurun yedeklerden sistemi eski haline getirememesi için tüm yedekleri de silmeye odaklanır.
      • Linux ve FreeBSD sistemlerini şifrelemek içinde varyant geliştirmekte ve kullanmaktadırlar.
      • Şimdiye kadar yapılan saldırılar incelendiğinde herhangi bir hedef sektörü bulunmamaktadır.


      Hive grubu Ağustos ayında da Memorial Sağlık Grubuna saldırmış ve tüm kurumda sistemleri etkisiz hale getirerek, çalışanları kağıt tablolar üzerinde çalışmaya zorlamıştı.

       2.1 Milyon Kişinin DNA Verileri Çalındı.

      ABD merkezli DNA test şirketi DNA Diagnostics Center (DDC) 2,102,436 milyon kişiyi etkileyen bir veri ihlali açıkladı. Şirket, yaptığı incelemelerde, kurum ağına 6 Ağustos'ta sızıldığını fakat veri ihlalinin tespitinin geçtiğimiz haftalarda gerçekleştiğini belirtti. İhlaldeki verilerin 2004 - 2012 yılı arasındaki yedeklerden elde edildiği, hali hazırdaki sistemlerden ihlal olmadığını da eklediler.

      DDC bünyesinde 1995 yılından itibaren 20 milyondan fazla DNA testi gerçekleştirmiştir. Bu testler içerisinde babalık, göçmenlik, COVID19DNA ilişkisi ve doğurganlık gibi kritik testler de yer almaktadır.

      Günümüzde saldırı vektörleri her geçen gün şiddetini ve insan hayatına olan etkisini artırmaya devam ediyor. Sağlık sektörü son zamanlarda ciddi anlamda saldırıya maruz kalıyor ve her saldırı diğerinden daha güçlü ve etkili olmaya devam ediyor.

      KVKK'nın da etkisiyle birçok kurum bu alanda çalışma gerçekleştiriyor fakat KVKK gibi regülasyonlar sadece standardı sağlamak içindir, kurumların kendilerine özel olarak belirlenmiş stratejik kapsamlar dahilinde detaylı tespit çalışmaları yaptırmaları bu tür saldırılara karşı önceden hazırlık olmasını sağlayacaktır.

       FBI, Satın Alma ve Birleşme Yapan Şirketleri Uyarıyor.

      Fidye yazılım gruplarının saldırıları hız kesmeden devam ediyor. Fidye ödeyen kurumların çokça olmasına karşın, ödemeyen kurum sayısının da epeyce fazla olduğu biliniyor. Bu durumu bilen fidye yazılım grupları ödeme alabilmek için bazı stratejik dönemlerde saldırmayı tercih ediyor. FBI; genellikle şirketlerin büyük satın alma veya birleşme durumlarında kurumları hedeflediğini ve bu dönemlerde dikkatli olunması gerektiği konusunda uyardı.

      FBI açıklamasında; saldırganların şirketleri genellikle finansal işlemlerinin yoğun olduğu dönemde hedeflediğini kurum itibarına, satın alma ve birleşmeleri engelleme korkusundan dolayı daha yüksek meblağlar alabildiğini belirtmiş. Ayrıca kurumların hisselerinin dalgalanmasını da ciddi anlamda siber saldırılarla etkileyebileceklerinin farkında olduklarından bu dönemlerde şirketleri hedefleyip, başarıya ulaşma oranlarını artırıyorlar.

      Saldırıya uğrayan şirketleri ödemeye ikna etmek için, saldırıyı direkt olarak NASDAQ vb. borsalara bildirmekle tehdit ettiklerini de biliyoruz. Bunun yanı sıra 2020'de ise kurumlara sızan saldırganlar çalınan verileri inceleyip, şirkete ait bilançoları, stok durumu gibi şirketi direkt olarak etkileyecek verileri sızdırmakla da tehdit ediyorlar.

      FBI ek olarak fidye ödememeleri konusunda birçok şirketi de uyarıyor, çünkü ülkemizde de gördüğümüz vakalarda ödeme sonrası ulaşılamayan birçok saldırgan gruplar mevcut. Ödemeyi yapsanız bile dosyalarınızı kurtarma ihtimaliniz çok düşük ve ödeme yapan kuruluşların ise saldırgan grupları motive ettiğini sonraki yıllarda tekrar tekrar aynı yerlere saldırı yaptıklarından da anlayabiliyoruz. Bu yüzden saldırıya maruz kalmamak adına bazı adımlar atılmalıdır. Bu adımlar hem çözüm için yatırımı hem de danışmanlık gereğini doğurur. Doğru ve bütçe dostu bir çözümü satın almak için ürünlerden bağımsız olarak bir kurumun güvenlik danışmanlığı tercih edilmelidir. Bu konuda destek gerektiren bir durumda bizlere ulaşabilirsiniz.

       ABD Hükümeti Hackerlar İçin Kesenin Ağzını Açtı.

      DarkSide ilk olarak Ağustos 2020'de ortaya çıktı ve 15 ülkeden fazla fidye yazılımı dağıttılar. Bu ülkelerde finansal hizmetler, yasal hizmetler, üretim, perakende ve teknoloji başta olmak üzere birçok şirketi hedeflediler ve başarılı oldular.

      Mayıs 2021'de ise ABD'nin en büyük yakıtını taşıyan Colonial Pipeline Company boru hattı firmasına saldırdılar ve bu saldırı firmanın sistemlerini kapatmalarına sebep oldu. Saldırıdan dolayı şirketin 1 hafta boyunca ABD'nin Doğu Sahiline yakıt tedariki kesintiye uğradı.

      Grup kar amacı gütmeyen kurumlar yerine, finansal analizler gerçekleştirip büyük kurumları hedefliyor ve kurumlardan büyük fidye talep ediyor.

      Bu saldırı sonrasında ABD yeni bir plan ortaya koydu. Bu tehlikeli gruba karşı bir ödül programı başlattı; grubun yetkililerinden herhangi birinin tespiti için kişilerin belirlenmesine veya konumlarının belirlenmesine yarayacak bilgi paylaşması sonucunda 10 Milyon Dolar ödül vereceğini açıkladı. Buna ek olarak ABD Dış İşleri Bakanlığı ise gruba destek veren veya destek vermek üzere hazırlananlar hakkında istihbarat veya ihbarda bulunanlara da 5 Milyon Dolar kadar ödül vereceğini açıkladı. Bu girişimlerin nasıl sonuçlar doğuracağını yakın zamanda birlikte takip ediyor olacağız.

       Pink Botnet 1.6 Milyon Cihaza Bulaştı.

      Çoğunluğu Çin'de bulunan yaklaşık 1.6 Milyon cihaza bulaşan Pink Botnet şimdiye kadar görülen en büyük botnetlerden biridir.

      Pink Botnet kullanıcıların HTTP (web) trafiğine reklam enjekte etmek için kullanılıyor. Araştırmacılar son 6 yıldaki en büyük botnet olabileceğini ve 2019'da günlük 1,962,308 tekil IP'den trafik tespit edildiğini belirtiyorlar.

      2020'de ise 5 milyondan fazla IP'den trafik oluştuğunu ve bu IP'lerin arkasında daha fazla cihaz olabileceğini de ekliyorlar. Pink Botnet ağırlıklı olarak MIBs tabanlı fiber routerları hedefliyor. Botnet, siber güvenlik firmalarına yakalanmamak için 3. taraf servisler, P2P ve C&C sunuculardan faydalanıyor.

      Pink Botnet, Github ve Baidu Tieba üzerinden de uzak erişimi sağlıyor ve bu erişim için DNS-over-HTTPS (DoH) kullanıyor. Aynı zamanda dosya indirme, sistemde komut yürütme, DDoS atak, cihaz bilgilerini bildirme, ağda tarama yapma, kendi kendini güncelleme, P2P düğüm listesini senkron etme vb. komutları da barındırmaktadır.

      Popüler Yayınlar