03 Mayıs 2021

Siber Güvenlik Bülteni - Nisan 2021

 

Cring Fidye Saldırısı Kapısı:
Forti VPN

2021 yılında da fidye saldırılarının hız kesmeden devam ettiğini görüyoruz. Siber Suçluların, endüstriyel işletmelere Cring olarak adlandırılan fidye yazılımı bulaştırmak için Fortinet VPN CVE-2018-13379 kodlu zafiyeti kullandığı tespit edilmiştir. Cring zararlısı, eriştiği cihazlardaki kritik dosyaları şifrelemekte ve daha sonra şifrelenen dosyaların kurtarılması için ücret talep etmektedir.

2019 yılında tespit edilmiş ve yaması yayınlamış olmasına rağmen, bu zafiyetin hâlâ kullanılabilmesi, birçok saldırıda olduğu gibi güncellemenin vaktinde yapılmamasının sonuçlarını net olarak ortaya koymaktadır.

Cring yazılımı bulaştırıldığı sistemde, ilk etapta açık kaynak kodlu Mimikatz aracını kullanarak hedef cihazdaki kullanıcı bilgilerini toplamaktadır. Topladığı bilgiler ile birlikte ağda tüm cihazlara yerleşmeyi deneyerek mümkün olan en fazla sayıda cihaza bulaşmaya çalışmaktadır, bulaştıktan sonra ise APT'lerin genel mantığı olan kalıcılık için, bir arka kapı oluşturmakta ve saldırgana dışarıdan erişim imkanı vermektedir.

Korunmak için;

  • CVE-2018-13379 için hazırlanmış olan yamayı uygulayınız.
  • Kritik sistemlerin yedeklerini düzenli olarak yedekleyip, yedekleme planlamanızı uygulayınız.
  • Kurum sistemlerinin güvenliğini kontrol altında tutmak için güvenlik danışmanlarından faydalanınız. Bu konuda desteğe ihtiyaç duyduğunuzda ISR Bilgi Güvenliği 'nin uzman kadrosuyla her zaman yanınızda olduğunu unutmayın.
  • Ağınızdaki sistemlerin anlık analiz edilebilmesi ve korunması için çözüm sunan siber saldırı algılama ve engelleme sistemleri kullanınız. Bu konuda desteğe ihtiyaç duyduğunuzda TINA Security 'nin ürün ailesinin her zaman yanınızda olduğunu unutmayın.

Hedefte Bu Kez SAP var

Güncel olmayan ve yanlış yapılandırılmış sistemler SAP'yi de vurmaya devam ediyor. Saldırganlar hassas verilerin çalınmasına, finansal dolandırıcılığa, fidye saldırılarına, kkritik iş süreçlerinin kesintiye uğratmasına ve diğer operasyonel kesintilere sebep olmaktadır. SAP günümüzde kritik önem taşıyan gıda dağıtımı, tıbbi sistemler, ilaç sektörü, kamu sistemleri, savunma sektörü gibi yaygın bir şekilde kullanılıyor.

Dünya üzerinde yaklaşık 400.000 den fazla kuruluşta kullanıldığı bilinmektedir. SAP şimdiye açığa çıkmış tüm zafiyetlerini yamalamıştır fakat yamalanmamış sistemlerin sayısı epey yüksektir ve bu sistemler her geçen gün saldırıya uğramaktadır.

Hali hazırda sık kullanılan SAP zafiyetleri şu şekilde listelenmektedir:

CVE-2020-6287
CVE-2020-6207
CVE-2018-2380
CVE-2016-9563
CVE-2016-3976
CVE-2010-5326

Google Play Faturalandırma Saldırıları

Geçtiğimiz aylarda Google Play Store üzerinde birçok uygulama kaldırıldı, bilindiği üzere Google Play Store son yıllarda artan uygulama ve kontrol denetimlerinde tespit edilemeyen birçok uygulamayı da güvenlik ihlali dolayısıyla bir süre sonra kaldırıyor. Bu sefer tespit edilen ve kaldırılan uygulamalar SMS bildirimlerini ele geçiren uygulamalar oldu. Tespit edilip Google Play Store'dan kaldırılmadan önce uygulamaların yaklaşık 750.000 kişi tarafından indirildiği tespit edildi. İndirilen uygulamalar, arka planda kişi telefonunda yapılan ödemelerin onay kodu SMS'lerini arka planda alarak, kurbana faturalandırmaktadır.

Bu yazılımların genel çalışma mantığı, Google Play Store üzerinde ilk yayınlandığı sürümlerin normal bir uygulama olarak çalışması ve ilerleyen dönemlerde güncellemelerde gönderilen kodlar ile birlikte kullanıcı telefonlarını gizlice saldırıya açık hale getirmesidir.

Telefonunuza indirdiğiniz uygulamaların sizlerden ne tür izinler talep ettiğini incelemenizi ve standart global popüler uygulamalar dışında herhangi bir uygulamayı telefonunuza yüklememenizi öneririz.

Tespit Edilen En Popüler Uygulamalar:

  • Keyboard Wallpaper (com.studio.keypaper2021)
  • PIP Photo Maker (com.pip.editor.camera)
  • 2021 Wallpaper and Keyboard (org.my.favorites.up.keypaper)
  • Barber Prank Hair Dryer, Clipper and Scissors (com.super.color.hairdryer)
  • Picture Editor (com.ce1ab3.app.photo.editor)
  • PIP Camera (com.hit.camera.pip)
  • Keyboard Wallpaper (com.daynight.keyboard.wallpaper)
  • Pop Ringtones for Android (com.super.star.ringtones)
  • Cool Girl Wallpaper/SubscribeSDK (cool.girly.wallpaper)

​1.3 Milyon RDP Server Erişim

UAS (Ultimate Anonymity Services), RDP bilgileri satılan platform üzerinden yaklaşık 1.3 milyon RDP giriş bilgileri satıldığı tespit edildi. Bu giriş bilgilerinin birçoğu önceki saldırılardan elde edilen kullanıcı adı ve parolalardan oluşmaktadır. RDP (Uzak Masaüstü Protokolü) kurum ağındaki sistemlere uzaktan veya yerel ağdan sisteme direkt erişim olanağı sağlamaktadır ve pandemi ile birlikte birçok kurum tarafından hızlı ve kolay erişim sağlaması sebebiyle kullanılmaktadır fakat büyük risk içerdiği geçtiğimiz yıllarda gerçekleşen saldırılarda da kendini göstermiştir.

Fidye saldırılarında da aktif olarak kullanılmaktadır hatta siber korsanlar piyasada açık olan ve kullanıcı adı parolasına sahip oldukları RDP giriş bilgilerini ortalama $ 3 ile $ 70 arası satmaktadır. FBI yaptığı araştırmalarda göstermiştir ki fidye saldırılarına yol açan ihlallerin ortalama %70 - %80 i RDP kaynaklıdır. Bilinen birçok fidye yazılım grupları sadece RDP üzerinden kurumların iç ağlarına erişim saldırıları gerçekleştirmektedir.

UAS üzerinde yapılan incelemelerde büyük bir ağın oluştuğu, burada satışa çıkarılmış RDP sunucuların, canlı olup olmadığı, bilgilerin güncel olup olmadığı, CPU, lokasyon, versiyon bilgisi, Download ve Upload Hızı gibi sunucular hakkında derinlemesine ve detaylı bilgi içermektedir. Bu platforma sızan güvenlik araştırmacılarının verdiği bilgilere göre 2018 'in sonundan bu yana 1.379.609 RDP hesabı, IP adresleri kullanıcı adı ve parola bilgilerini topladılar.

Bazı istatistikleri de burada paylaşacağız:

  • Yaklaşık 63 ülkeden devlet kurumları dahil birçok kuruma ait bilgi bulunmaktadır.
  • En çok erişim bilgisi bulunan RDP sunucu lokasyonları Amerika Birleşik Devletleri, Çin, Brezilya, Almanya, Hindistan ve Birleşik Krallık'tır.
  • Son 2 yılda fidye saldırısına uğramış birçok büyük kuruluş bilgileri de bu listede yeralmaktadır.
  • RDP sunucu bilgisi en fazla sağlık sektöründen kuruluşları içermektedir.
  • En çok kullanılan kullanıcı adları; 'Administrator', 'Admin', 'User', 'test', ve 'scanner'
  • En çok kullanılan parolalar; '123456', '123', 'P@ssw0rd', '1234', ve 'Password1'.

Pandemi En Çok VPN'leri Etkiledi.

Saldırganlar pandemi sürecinde kurumların aktif olarak kullandığı VPN sistemleri hedefledi ve kurumsal ağlara sızma yolları olarak VPN zafiyetlerini kullanmaya başladı. Geçtiğimiz haftalarda Pulse Secure VPN sistemleri üzerinde keşfedilen zafiyetler kısa sürede siber saldırganlar tarafından kullanılmaya başlandı. Araştırmalar gösteriyor ki Pulse Secure VPN sistemleri için hali hazırda aktif olarak kullanılan 12 zararlı yazılım ailesi mevcut.

VPN sistemlerindeki zafiyetlerden dünya üzerinde on binlerce kuruluşun etkilendiği düşünülmektedir. Açığa çıkan zafiyetler her ne kadar yamalanmış olsa da, yamayı uygulayan kuruluş sayısı çok azdır, bu ve benzeri büyük çaplı saldırılarda genellikle yaması çıkmış olmasına rağmen, yama yapılmamış sistemlerin kullanılmasıdır. Bu risk her geçen gün artmakta ve ülkelerin de özel ve kamu birçok kuruluşunu zor durumda bırakmaktadır. ABD'de mahkeme özel kuruluşlar dahil FBI'ya tespit edilen zafiyetli sistemlere gerekli yamayı uygulama yetkisi vermiştir.

Pandemiyle kullanımı yoğun olarak artan VPN sistemleri, zafiyet çıktığında yama uygulanması gereken ilk sistemler arasında yer almaya başladı, eğer sizler için ilk sıralarda değilse, bu konuda acil olarak kurumunuzdaki güvenlik politikalarını güncellemenizi öneririz.

Popüler Yayınlar