Siber Güvenlik Bülteni - Nisan 2026

 

Bültenimizin Nisan Ayı konu başlıkları;  JanaWare Ransomware Türkiye’de SAP’ten Kritik Yama: SQL Injection Açığı Fortinet’te Kritik Zero-Day Alarmı Storm-1175: Zero-Day ile 24 Saatte Ransomware Vercel İhlali Derinleşiyor: OAuth Zinciriyle Genişleyen Supply Chain Saldırısı

JanaWare Ransomware Türkiye’de

Yeni bir fidye yazılımı ailesi olan JanaWare, Türkiye’deki bilgisayar kullanıcılarını hedef almaya başladı. Bu kampanya, Adwind RAT adlı kötü amaçlı yazılımın özelleştirilmiş bir versiyonunu kullanarak sistemlere sızıyor ve ardından fidye yazılımı yüklenmesini sağlıyor. Araştırmaya göre bu operasyon özellikle Türkiye’deki kullanıcıları hedefliyor ve daha çok küçük ve orta ölçekli işletmeleri etkiliyor. Saldırılar genellikle kimlik avı e-postaları (phishing) ile başlıyor ve bu e-postalarda kötü amaçlı Java arşiv dosyaları gönderiliyor. Kullanıcı bu dosyayı açtığında, sistemine Adwind RAT gizlice yükleniyor ve saldırgana uzaktan erişim sağlanıyor. Bu aşamada fidye yazılımı hemen devreye girmiyor; önce sistem analiz ediliyor ve hedefin değerli olup olmadığı kontrol ediliyor. Araştırmacılara göre bu kampanya en az 2020 yılından beri aktif ve halen devam ediyor. Malware, özellikle Türkiye’deki sistemleri hedef almak için coğrafi konum ve sistem dili kontrolü yapıyor. Sistem Türkçe değilse veya Türkiye dışında ise çalışmayı durdurabiliyor. Saldırılarda kullanılan e-posta içerikleri genellikle Google Drive bağlantıları içeriyor ve kullanıcı bu bağlantıya tıkladığında zararlı Java dosyası indiriliyor. Bu dosya çalıştırıldıktan sonra sistem şifrelenerek fidye talebi oluşturuluyor. Fidye notları genellikle Türkçe yazılıyor ve kurbanlardan iletişim için qTox veya Tor tabanlı kanallar kullanmaları isteniyor. Ransomware talepleri genellikle düşük seviyede, bu da saldırganların büyük kazanç yerine yüksek hacimli küçük ödemeler hedeflediğini gösteriyor. Bu tür saldırılar özellikle zayıf güvenlik önlemlerine sahip kullanıcılar ve KOBİ’ler için ciddi risk oluşturuyor, çünkü basit phishing teknikleri bile yeterli olabiliyor. Uzmanlara göre bu kampanya, büyük kurumsal hedeflerden ziyade küçük ölçekli ama sürekli gelir sağlayan bir saldırı modeli üzerine kurulmuş.

SAP’ten Kritik Yama: SQL Injection Açığı

SAP, Nisan 2026 güvenlik yama günü kapsamında 20 yeni ve güncellenmiş güvenlik notu yayınladığını duyurdu. Giderilen açıklar arasında en kritik olanı, Business Planning and Consolidation ve Business Warehouse bileşenlerini etkileyen CVE-2026-27681 (CVSS skoru: 9.9) olup, rastgele kod çalıştırmaya yol açabilen kritik bir SQL injection zafiyetidir. Araştırmacılara göre “Zafiyetli ABAP programı, düşük yetkili bir kullanıcının keyfi SQL komutları içeren bir dosya yüklemesine ve bu komutların çalıştırılmasına izin veriyor.” “Potansiyel bir saldırı senaryosunda, saldırgan ilgili yükleme fonksiyonunu kötüye kullanarak BW/BPC veri depolarına karşı zararlı SQL komutları çalıştırır. Başarılı bir istismar sonrasında saldırgan: Hassas finansal verileri dışarı çıkarabilir, Raporları, modelleri veya konsolidasyon verilerini değiştirebilir, Veritabanı içeriğini silebilir veya bozabilir, ve büyük çaplı kesintilere neden olabilir.” SAP ayrıca, ERP ve S/4HANA sistemlerini etkileyen yüksek önem dereceli bir yetkilendirme kontrolü eksikliğini gideren bir güvenlik notu da yayınladı. CVE-2026-34256 olarak takip edilen bu açık, bir ABAP programının çalıştırılmasına ve mevcut sekiz karakterlik executable programların yeniden yazılmasına olanak tanıyabilir. Kalan güvenlik notlarından 16 tanesi (15 yeni, 1 güncellenmiş) orta seviyede olup şu riskleri içermektedir: Bilgi sızması (information disclosure) Hizmet engelleme (DoS) XSS saldırıları Kod enjeksiyonu Kötü amaçlı içeriklere yönlendirme Kurbanın tarayıcısında kod çalıştırma Bu açıklar şu bileşenlerde giderilmiştir: BusinessObjects, Business Analytics, Content Management, S/4HANA, Supplier Relationship Management, NetWeaver, HANA Cockpit, HANA Database Explorer, Material Master Application ve S4CORE. Kalan iki güvenlik notu ise NetWeaver ve Landscape Transformation bileşenlerinde bulunan düşük önem dereceli kod enjeksiyonu açıklarını ele almaktadır. SAP, bu açıkların herhangi birinin aktif olarak istismar edildiğine dair bir bilgi paylaşmamıştır. Kullanıcılara güvenlik notlarını mümkün olan en kısa sürede uygulamaları tavsiye edilmektedir.

Fortinet’te Kritik Zero-Day Alarmı

Fortinet, zero-day olarak istismar edilen bir FortiClient Enterprise Management Server (EMS) açığı için acil düzeltmeler yayınladı. Uygunsuz erişim kontrolü (improper access control) sorunu olarak tanımlanan bu kritik seviye açık, CVE-2026-35616 (CVSS skoru: 9.1) olarak takip edilmekte olup uzaktan kod çalıştırma (RCE) için istismar edilebilir. Fortinet’in güvenlik duyurusuna göre, uzaktaki saldırganlar zafiyetli bir FortiClient EMS sistemine özel olarak hazırlanmış istekler göndererek açığı tetikleyebilir. Açıklamaya göre, başarılı istismar için kimlik doğrulaması gerekmemektedir. Şirket, “Fortinet bu açığın gerçek dünyada istismar edildiğini gözlemledi,” uyarısında bulundu. Fortinet, FortiClient EMS 7.4.5 ve 7.4.6 sürümlerindeki açığı gidermek için hotfix yayınladığını, 7.2 sürümünün ise etkilenmediğini açıkladı. Fortinet, “Yakında çıkacak olan FortiClientEMS 7.4.7 sürümü de bu soruna yönelik düzeltme içerecek. Bu arada mevcut hotfix açığı tamamen önlemek için yeterlidir,” dedi. Araştırmacılara göre, bu zafiyet kimlik doğrulaması olmadan API kimlik doğrulama ve yetkilendirme mekanizmalarının atlatılmasına olanak tanıyor. Bu sistemlerin, yeni zero-day açığının yanı sıra, bir haftadan uzun süredir istismar edilen CVE-2026-21643 SQL injection açığına karşı da potansiyel olarak savunmasız olduğu belirtiliyor.

Storm-1175: Zero-Day ile 24 Saatte Ransomware

Storm-1175 tarafından gerçekleştirilen saldırılar, bazı durumlarda henüz kamuya açıklanmamış zero-day açıkları ve yakın zamanda duyurulmuş zafiyetleri kullanarak ilk erişimi sağlamaktadır. Bazı vakalarda tehdit aktörünün, OWASSRF gibi birden fazla açığı zincirleyerek (exploit chaining) sistem içi faaliyetler yürüttüğü görülmüştür. Sisteme sızdıktan sonra, finansal motivasyonlu bu siber suç grubu, birkaç gün içinde, bazı vakalarda ise 24 saatten kısa sürede veri sızdırma (exfiltration) ve Medusa ransomware dağıtımı gerçekleştirmektedir. Bu süreçte grup: Yeni kullanıcı hesapları oluşturarak kalıcılık (persistence) sağlar, Web shell’ler veya meşru uzaktan yönetim yazılımları (RMM) kullanarak yatay hareket (lateral movement) yapar, Kimlik bilgisi hırsızlığı gerçekleştirir, Güvenlik çözümlerinin normal çalışmasını bozarak savunmayı zayıflatır ve ardından ransomware’i devreye alır. 2023’ten bu yana Storm-1175’in 16’dan fazla zafiyeti istismar ettiği tespit edilmiştir: CVE-2023-21529 (Microsoft Exchange Server) CVE-2023-27351 ve CVE-2023-27350 (Papercut) CVE-2023-46805 ve CVE-2024-21887 (Ivanti Connect Secure ve Policy Secure) CVE-2024-1708 ve CVE-2024-1709 (ConnectWise ScreenConnect) CVE-2024-27198 ve CVE-2024-27199 (JetBrains TeamCity) CVE-2024-57726, CVE-2024-57727 ve CVE-2024-57728 (SimpleHelp) CVE-2025-31161 (CrushFTP) CVE-2025-10035 (Fortra GoAnywhere MFT) CVE-2025-52691 ve CVE-2026-23760 (SmarterTools SmarterMail) CVE-2026-1731 (BeyondTrust) Özellikle CVE-2025-10035 ve CVE-2026-23760 açıklarının, kamuya açıklanmadan önce zero-day olarak istismar edildiği belirtiliyor. 2024 sonu itibarıyla grup, Linux sistemleri hedef alma konusunda belirgin bir eğilim göstermiş, birçok organizasyonda zafiyetli Oracle WebLogic instance’larını istismar etmiştir. Ancak bu saldırılarda kullanılan spesifik zafiyet henüz bilinmemektedir. Microsoft’a göre: “Storm-1175, açıklama ile yama uygulanması arasındaki sürede exploit’leri hızlıca değiştirerek, birçok kurumun korumasız kaldığı bu boşluktan faydalanıyor.” Bu saldırılarda gözlemlenen dikkat çekici taktikler şunlardır: PowerShell ve PsExec gibi LOLBins araçları ve Impacket kullanılarak yatay hareket gerçekleştirilmesi PDQ Deployer ile hem yatay hareket hem de Medusa ransomware dahil payload dağıtımı yapılması Windows Firewall politikalarının değiştirilerek RDP erişiminin açılması ve zararlı payload’ların diğer sistemlere taşınması Impacket ve Mimikatz kullanılarak kimlik bilgisi dump edilmesi Microsoft Defender Antivirus istisnaları tanımlanarak ransomware’in engellenmesinin önüne geçilmesi Bandizip ile veri toplama, Rclone ile veri sızdırma işlemleri gerçekleştirilmesi

Vercel İhlali Derinleşiyor: OAuth Zinciriyle Genişleyen Supply Chain Saldırısı

Uygulama ve web sitesi barındırma devi Vercel, Perşembe günü yaptığı açıklamada, şirketin son veri ihlalini fark etmesinden önce saldırganların bazı müşteri verilerine eriştiğini belirtti. Bu durum, olayın ilk tahmin edilenden daha geniş güvenlik etkileri olabileceğini gösteriyor. Vercel, güvenlik olayı sayfasındaki güncellemede, ilk incelemeyi genişlettikten sonra Nisan başındaki ihlalden önceye ait zararlı faaliyetlere dair kanıtlar bulduğunu açıkladı. Açıklamada şu ifadelere yer verildi: “Bu olaydan bağımsız ve daha önce gerçekleşmiş, az sayıda müşteri hesabında ihlal izleri tespit ettik. Bu durum sosyal mühendislik, zararlı yazılım veya diğer yöntemlerden kaynaklanmış olabilir.” Vercel ayrıca, Nisan ayındaki olay kapsamında daha fazla müşteri hesabının ele geçirildiğini de belirtti, ancak detay paylaşmadı ve yalnızca etkilenen müşterilerin bilgilendirildiğini söyledi. San Francisco merkezli şirket, başlangıçta ihlalin, bir çalışanın Context AI tarafından geliştirilen bir uygulamayı indirmesi sonrası gerçekleştiğini açıklamıştı. Saldırganlar bu uygulamayı kullanarak çalışanın iş hesabına ve ardından Vercel’in sistemlerine erişim sağlamıştı. Yeni güncelleme, ihlalin daha geniş kapsamlı olabileceğini ve daha uzun süredir devam ediyor olabileceğini ortaya koyuyor. Vercel CEO’su Guillermo Rauch, X platformunda yaptığı paylaşımda, saldırganların yalnızca Context AI ihlaliyle sınırlı kalmadığını ve “o girişimin ihlalinin ötesinde de aktif olduklarını” doğruladı. Saldırganlar, ele geçirilen çalışan hesabı üzerinden şirketin bazı iç sistemlerine ve şifrelenmemiş müşteri kimlik bilgilerine erişim sağladı. Rauch’un açıklamaları, daha önce güvenlik araştırmacılarının yaptığı bir iddiayı güçlendiriyor: Context AI çalışanlarından birinin bilgisayarına, Roblox hileleri ararken indirilen bir yazılım aracılığıyla infostealer bulaşmış olabilir. Şu an için kaç müşterinin etkilendiği bilinmiyor. Hem Vercel hem de Context AI, olaydan daha fazla şirketin etkilenmiş olabileceğini ve yeni mağdurların ortaya çıkabileceğini belirtiyor.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Ocak 2026

 

Bültenimizin Ocak Ayı konu başlıkları;  Kritik MongoDB Zafiyeti: MongoBleed  Yamalı Fortinet Cihazları da Hackleniyor: Kritik SSO Açığı Korean Air Tedarikçi Kaynaklı Siber Saldırıyla Sarsıldı Sahte Mavi Ekran Tuzağı: Oteller ClickFix Saldırısı Altında Veeam Backup & Replication’da Kritik RCE Açığı

Kritik MongoDB Zafiyeti: MongoBleed

Saldırganlar, MongoDB’deki kritik bir güvenlik açığını aktif olarak istismar ederek, etkilenen bir sunucunun belleğinden doğrudan hassas bilgileri çalıyor. Saldırıların, güvenlik açığı için yayımlanan kanıt amaçlı exploit kodunun (PoC) kamuya açık hale gelmesinden yalnızca üç gün sonra, 29 Aralık’ta başladığı görülüyor. CVE-2025-14847 olarak tanımlanan ve “MongoBleed” adı verilen bu güvenlik açığı, uzaktaki saldırganların herhangi bir kimlik doğrulama olmaksızın sunucu belleğinden açık metin kimlik bilgilerini, kimlik doğrulama token’larını ve hassas müşteri verilerini çıkarmasına olanak tanıyor. PoC’yi test eden uzmanlar, kodun tamamen işlevsel ve güvenilir olduğunu belirtti; bu durum, kendi kendini yöneten (self-managed) MongoDB örnekleri çalıştıran kurumlar için ciddi bir tehdit oluşturuyor. MongoBleed Güvenlik Tehdidi Bu hafta yayımlanan bir raporda, uzmanlar etkilenen kurumları normal yama döngülerini beklemek yerine açığı derhal gidermeye çağırdı ve şu ifadeye yer verildi: “Sızıntının doğası göz önüne alındığında, yalnızca yamalamak yeterli değildir; organizasyonlara, giderme öncesinde açığa çıkmış olabilecek tüm veritabanı ve uygulama kimlik bilgilerini de değiştirmesi tavsiye edilir.” MongoDB Inc., güvenlik açığını ilk kez 19 Aralık’ta kamuoyuna duyurdu. Bir hafta içinde, yani 26 Aralık’ta, işlevsel exploit kodu çevrimiçi olarak yayımlandı; yalnızca üç gün sonra ise ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) açığın gerçek saldırılarda aktif olarak istismar edildiğini doğruladı. MongoDB, bu zafiyete 10 üzerinden 8,7 CVSS etki puanı verdi; ancak uzmanlar, açığın etkilerinin etkilenen organizasyonlar için kritik seviyede olduğuna dikkat çekti. Özel olarak MongoBleed, birçok üretim ortamında yaygın bir yapılandırma olan Zlib sıkıştırma algoritmasını ağ mesajları için kullanan MongoDB sunucularındaki bir bellek sızıntısını istismar ediyor. Bir saldırgan, Zlib sıkıştırması kullanan özel hazırlanmış ağ paketleri aracılığıyla MongoDB sunucusunu bellek içeriğini sızdırmaya zorlayabiliyor; bu nedenle açık “MongoBleed” olarak adlandırılıyor. Bu güvenlik açığını özellikle tehlikeli kılan, hiçbir kimlik doğrulama gerektirmemesidir. Uzaktaki herhangi bir saldırgan, geçerli kimlik bilgilerine ya da özel yetkilere ihtiyaç duymadan bu açığa ağ üzerinden erişebilir. Sızdırılan bellek, parolalar, API anahtarları ve eşzamanlı diğer veritabanı oturumlarından gelen veriler dahil olmak üzere yüksek değerli bilgi içerebilir. Bu açığın tek sınırlayıcı yönü ise, CVE-2025-14847’nin saldırganların yalnızca başlatılmamış (uninitialized) heap belleğini, yani sunucu RAM’inde daha önceki verilerden düzgün şekilde temizlenmemiş alanları çalmasına izin vermesidir. Bu nedenle MongoBleed üzerinden sunucu belleğindeki belirli bir veriyi hedeflemek mümkün değildir. MongoDB Verilerini Çalmak İçin Yeni Bir İstismar Aracı Uzmanlar, savunmasız MongoDB sunucularına saldırmak için teknik eşiği ciddi şekilde düşüren yeni bir istismar aracı tespit ettiklerini açıkladı. Bu araç, grafiksel bir kullanıcı arayüzüne (GUI) sahip ve daha az deneyimli tehdit aktörlerinin bile: Etkilenen bir sunucudan tek seferde otomatik olarak 10 MB bellek çıkarmasına, veya Veri sızdırma sürecini canlı görsel akış üzerinden izlemesine olanak tanıyor. Bu da karmaşık komut satırı işlemlerine veya kodlama bilgisine olan ihtiyacı ortadan kaldırıyor. CVE-2025-14847, MongoDB’nin 4.4, 5.0, 6.0, 7.0 ve 8.0 sürüm dallarının tamamını etkiliyor. MongoDB, etkilenen kurumların 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 veya 4.4.30 sürümlerine yükseltme yapmasını istiyor. MongoDB yayımladığı güvenlik duyurusunda şu uyarıyı yaptı: “Eğer hemen yükseltme yapamıyorsanız, mongod veya mongos’u Zlib’i açıkça hariç tutan bir networkMessageCompressors ya da net.compression.compressors seçeneğiyle başlatarak MongoDB Sunucusu’nda zlib sıkıştırmasını devre dışı bırakın. Güvenli örnek değerler arasında snappy, zstd veya tamamen devre dışı bırakma yer alır.” MongoBleed saldırılarının ortaya çıkışı, yama yönetiminin kurumsal savunma için hala kritik olduğunu ve bir güvenlik açığının duyurulması ile aktif olarak istismar edilmesi arasındaki sürenin giderek daraldığını bir kez daha gösteriyor. Vectra.ai tarafından yapılan 2025 tarihli bir analiz, yeni açıklanan açıkların istismar edilme süresinin 2018–2019 döneminde ortalama 63 gün iken, 2024 itibarıyla sadece 5 güne düştüğünü ortaya koyuyor. Vectra.ai ayrıca, açıkların %28’inden fazlasının duyurudan sonraki ilk 24 saat içinde istismar edildiğini tespit etti. İstismar geliştirme süreçlerinde yapay zekanın artan kullanımı, bu süreleri daha da kısaltabilir ve güvenlik ekipleri üzerindeki baskıyı artırabilir

Yamalı Fortinet Cihazları da Hackleniyor: Kritik SSO Açığı

Yöneticiler, tamamen yamalanmış güvenlik duvarlarının ele geçirildiğini bildirmeye başladıktan günler sonra, Fortinet, Aralık ayı başından beri yamalanmış olması gereken kritik bir FortiCloud SSO kimlik doğrulama atlatma açığını tam olarak gidermek için çalıştığını doğruladı. Bu gelişme, Fortinet müşterilerinden gelen ve tehdit aktörlerinin CVE-2025-59718 güvenlik açığına ait bir yama atlatma yöntemini kullanarak tamamen güncel güvenlik duvarlarını ele geçirdiğini bildiren çok sayıda raporun ardından geldi. Siber güvenlik uzmanları, yaptığı açıklamada, saldırı kampanyasının 15 Ocak’ta başladığını ve saldırganların otomatik saldırılarla saniyeler içinde VPN erişimine sahip hesaplar oluşturup güvenlik duvarı yapılandırmalarını çaldığını belirtti. Şirket ayrıca bu saldırıların, Aralık ayında Fortinet ürünlerindeki CVE-2025-59718 kritik açığının açıklanmasının ardından belgelenen olaylara çok benzediğini ekledi. Perşembe günü Fortinet, bu raporları nihayet doğrulayarak, devam eden CVE-2025-59718 saldırılarının Aralık ayındaki kötü amaçlı faaliyetlerle örtüştüğünü ve açığı tamamen yamalamak için çalıştığını açıkladı. Etkilenen Fortinet müşterileri, saldırganların 104. 28 .244 .114 IP adresinden cloud-init@mail[.]io üzerinden yapılan bir SSO oturum açma işleminin ardından yönetici (admin) kullanıcılar oluşturduğunu gösteren günlük (log) kayıtlarını da paylaştı. Bu göstergeler, uzmanların devam eden FortiGate saldırılarını ve Aralık ayındaki gerçek ortam (in-the-wild) istismarlarını analiz ederken tespit ettiği IOC’lerle ve Fortinet’in Perşembe günü paylaştığı bulgularla örtüşüyor. Fortinet Bilgi Güvenliği Direktörü (CISO) Carl Windsor şu açıklamayı yaptı: “Son dönemde az sayıda müşteri, önceki sorunla çok benzer beklenmedik oturum açma faaliyetleri bildirdi. Ancak son 24 saat içinde, saldırı anında en güncel sürüme tamamen yükseltilmiş cihazların da istismar edildiğini tespit ettik. Bu durum, yeni bir saldırı yoluna işaret ediyor.” Windsor sözlerine şöyle devam etti: “Fortinet ürün güvenliği ekibi sorunu tespit etti ve şirket bu durumu gidermek için bir düzeltme üzerinde çalışıyor. Düzeltmenin kapsamı ve zaman çizelgesi netleştiğinde bir güvenlik duyurusu yayımlanacak. Şu an için yalnızca FortiCloud SSO istismarları gözlemlenmiş olsa da, bu sorunun tüm SAML SSO uygulamaları için geçerli olduğunu vurgulamak gerekir.” Fortinet: Yönetici erişimini kısıtlayın, FortiCloud SSO’yu devre dışı bırakın Fortinet, CVE-2025-59718 açığı tamamen giderilene kadar, müşterilere uç ağ (edge) cihazlarına İnternet üzerinden yapılan yönetici erişimini kısıtlamalarını tavsiye ediyor. Bunun için, cihazların yönetim arayüzlerine erişebilecek IP adreslerini sınırlayan yerel bir politika (local-in policy) uygulanması öneriliyor. Yöneticilerin ayrıca, Fortinet cihazlarında FortiCloud SSO özelliğini devre dışı bırakmaları gerekiyor. Bunun için System → Settings → Switch yoluna gidilerek “Allow administrative login using FortiCloud SSO” seçeneğinin kapatılması isteniyor. Cihazlarını istismar sonrası izler açısından kontrol ederken IOC’lerden herhangi birini tespit eden Fortinet müşterilerine, “sistemi ve yapılandırmayı ele geçirilmiş kabul etmeleri”, kimlik bilgilerini (LDAP/AD hesapları dahil) değiştirmeleri ve bilinen temiz bir yapılandırma sürümünden geri yükleme yapmaları tavsiye ediliyor. İnternet güvenliği izleme kuruluşu Shadowserver, şu anda FortiCloud SSO etkin halde internete açık yaklaşık 11.000 Fortinet cihazını takip ediyor. CISA da 16 Aralık’ta CVE-2025-59718’i aktif olarak istismar edilen güvenlik açıkları listesine ekledi ve federal kurumlara bir hafta içinde yama uygulama talimatı verdi.

Korean Air Tedarikçi Kaynaklı Siber Saldırıyla Sarsıldı

Güney Koreli havayolu şirketi Korean Air, eski iştiraki ve halihazırdaki ikram ve duty-free tedarikçisi Korean Air Catering & Duty-Free (KC&D)’ye yönelik bir siber saldırının ardından, 30.000 çalışana ait kaydın açığa çıktığını duyurdu. KC&D, Korean Air’e ek olarak Asya’dan ve dünyanın diğer bölgelerinden birçok büyük havayoluna da hizmet veriyor. Korea JoongAng Daily’nin aktardığına göre, KC&D kısa süre önce Korean Air’i bilgilendirerek, havayolunun çalışanlarına ait bilgilerin ihlal edildiğini bildirdi. Korean Air’in açıklamasına göre, saldırganlar KC&D üzerinden yaklaşık 30.000 mevcut ve eski çalışana ait bilgileri ele geçirdi. Sızdırılan veriler arasında isimler ve banka hesap numaraları bulunuyor. Havayolu, müşteri verilerinin etkilenmediğini özellikle vurguladı. Açıklanan olayın, yakın zamanda ortaya çıkan Oracle E-Business Suite (EBS) saldırı kampanyasıyla bağlantılı olduğu düşünülüyor. Bu kampanyada siber suçlular, EBS için sıfır gün (zero-day) güvenlik açıklarını istismar ederek, kurumsal yönetim yazılımını kullanan 100’den fazla kuruluşta depolanan verilere erişim sağladı. Saldırıların FIN11 tehdit grubu kümelenmesi tarafından gerçekleştirildiği düşünülse de, Cl0p fidye yazılımı grubu saldırının sorumluluğunu kamuoyuna açık şekilde üstlendi. Cl0p, Tor tabanlı sızıntı sitesinde mağdur kuruluşların isimlerini yayımladı ve fidye ödemeyi reddeden şirketlerden çalındığı iddia edilen verileri paylaştı. KC&D, 21 Kasım’da Cl0p’un sızıntı sitesine eklendi. Siber suçlular, o tarihten bu yana şirketten çalındığı iddia edilen dosyaları içeren yaklaşık 500 GB’lık arşivi kamuoyuna açıkladı. Oracle EBS saldırı kampanyası, onlarca büyük kuruluşu etkiledi ve havacılık sektöründeki tek mağdur KC&D değil. American Airlines’ın iştiraki Envoy Air, doğrulanan ilk mağdurlar arasında yer aldı. Oracle saldırısından etkilenen bazı kuruluşlar, veri ihlalinin yalnızca çalışan bilgileriyle sınırlı olduğunu belirtirken; bazıları ise sistemlerinden milyonlarca kişiye ait kişisel verinin çalındığını kabul etti. Korean Air veri ihlaline ilişkin haberler, Güney Kore’nin bir diğer büyük havayolu Asiana Airlines’ın, yaklaşık 10.000 çalışana ait bilgilerin bilgisayar korsanları tarafından ele geçirilmiş olabileceğini bildirmesinden sadece günler sonra geldi. Asiana’daki siber güvenlik olayının Oracle EBS kampanyasıyla bağlantılı olduğuna dair herhangi bir bulgu bulunmuyor. ABD Dışişleri Bakanlığı ise Clop’un saldırılarını herhangi bir yabancı hükümete bağlayabilecek bilgi sağlayanlara 10 milyon dolara kadar ödül verileceğini duyurdu.

Sahte Mavi Ekran Tuzağı: Oteller ClickFix Saldırısı Altında

Avrupa’daki konaklama sektörünü hedef alan yeni bir ClickFix sosyal mühendislik kampanyası, sahte Windows Mavi Ekran (Blue Screen of Death – BSOD) görüntüleri kullanarak kullanıcıları, zararlı yazılımı kendi elleriyle derleyip çalıştırmaya ikna ediyor. BSOD, Windows işletim sisteminin kritik ve kurtarılamaz bir hata ile karşılaştığında sistemi durdurduğunu gösteren çökme ekranıdır. ClickFix sosyal mühendislik saldırıları, bir hata ya da sorun varmış gibi davranan ve ardından bunu çözmek için sözde “düzeltmeler” sunan web sayfalarından oluşur. Bu hatalar; sahte hata mesajları, güvenlik uyarıları, CAPTCHA doğrulamaları veya güncelleme bildirimleri olabilir ve ziyaretçiden sorunu çözmek için bilgisayarında bir komut çalıştırması istenir. Bu süreçte kurbanlar, saldırganların verdiği kötü amaçlı PowerShell veya kabuk (shell) komutlarını çalıştırarak kendi sistemlerini kendileri enfekte eder. Bu yeni ClickFix kampanyasında saldırganlar, Booking.com üzerinden rezervasyonunu iptal eden bir otel müşterisi gibi görünen oltalama e-postaları gönderiyor. Bu e-postalar genellikle otel veya konaklama firmalarına ulaşıyor. İddia edilen iade tutarı, e-postayı alan kişide aciliyet hissi yaratacak kadar yüksek oluyor. E-postadaki bağlantıya tıklandığında kurban, low-house[.]com alan adında barındırılan sahte bir Booking.com sitesine yönlendiriliyor. Uzmanlar bu siteyi, “gerçeğine son derece benzeyen bir kopya” olarak tanımlıyor. Site, hedef kullanıcıya “Yükleme çok uzun sürüyor” şeklinde sahte bir hata gösteren kötü amaçlı JavaScript barındırıyor ve sayfayı yenilemesi için bir butona tıklamasını istiyor. Ancak kullanıcı bu butona tıkladığında, tarayıcı tam ekran moduna geçiyor ve sahte bir Windows BSOD çökme ekranı göstererek ClickFix sosyal mühendislik saldırısını başlatıyor. Bu sahte ekran, kullanıcıdan Windows Çalıştır (Run) penceresini açmasını ve ardından CTRL+V tuşlarına basmasını istiyor. Bu işlem, daha önce Windows panosuna kopyalanmış olan kötü amaçlı komutu yapıştırıyor. Ardından kullanıcıdan OK butonuna basması ya da Enter tuşuna basarak komutu çalıştırması isteniyor. Gerçek BSOD ekranları asla kurtarma talimatları sunmaz, yalnızca bir hata kodu ve yeniden başlatma bildirimi gösterir. Ancak deneyimsiz kullanıcılar veya bir anlaşmazlığı hızla çözmeye çalışan baskı altındaki otel personeli, bu kandırmacayı fark etmeyebilir. Yapıştırılan komut çalıştırıldığında, PowerShell üzerinden bir komut devreye girer ve sahte bir Booking.com yönetici sayfası açılır. Aynı anda arka planda, kötü amaçlı bir .NET projesi (v.proj) indirilir ve Windows’un meşru derleyicisi MSBuild.exe kullanılarak derlenir. Çalıştırıldığında bu yük; Windows Defender istisnaları ekler, yönetici yetkisi almak için UAC istemlerini tetikler, ardından Background Intelligent Transfer Service (BITS) üzerinden ana yükleyiciyi indirir ve Başlangıç klasörüne bir .url dosyası bırakarak kalıcılık sağlar. Ortaya çıkan zararlı yazılım (staxs.exe), tehdit aktörleri tarafından enfekte sistemlere uzaktan erişim sağlamak için yaygın olarak kullanılan bir DCRAT uzaktan erişim Truva atıdır (RAT). Komuta-kontrol (C2) sunucusuyla ilk bağlantı kurulduğunda, zararlı yazılım tam sistem parmak izini gönderir ve ardından gelecek komutları bekler. Bu zararlı yazılım; uzaktan masaüstü erişimi, tuş kaydı (keylogging), ters kabuk (reverse shell) ve bellek içinden ek yüklerin çalıştırılması gibi yeteneklere sahiptir. Uzmanların gözlemlediği vakada saldırganlar ayrıca bir kripto para madencisi de yüklemiştir. Uzaktan erişim sağlandıktan sonra, tehdit aktörleri artık hedef ağda kalıcı bir dayanak elde eder. Bu durum, diğer cihazlara yayılmalarına, veri çalmalarına ve ek sistemleri ele geçirmelerine olanak tanır.

Veeam Backup & Replication’da Kritik RCE Açığı

Veeam, Backup & Replication yazılımındaki birden fazla güvenlik açığını gidermek için güvenlik güncellemeleri yayımladı. Bu açıklar arasında, uzaktan kod çalıştırmaya (RCE) yol açabilecek “kritik” bir zafiyet de bulunuyor. CVE-2025-59470 olarak takip edilen bu güvenlik açığı, 9.0 CVSS puanına sahip. Salı günü yayımlanan bültende şu ifadeye yer verildi: “Bu güvenlik açığı, bir Backup veya Tape Operator kullanıcısının, kötü amaçlı bir interval veya order parametresi göndererek postgres kullanıcısı yetkileriyle uzaktan kod çalıştırmasına (RCE) olanak tanır.” Veeam dokümantasyonuna göre Backup Operator rolüne sahip bir kullanıcı; mevcut işleri başlatıp durdurabilir, yedekleri dışa aktarabilir, yedek kopyalayabilir ve VeeamZip yedekleri oluşturabilir. Tape Operator rolündeki bir kullanıcı ise bant yedekleme veya bant kataloglama işlerini çalıştırabilir; bantları çıkarabilir; bantları içe ve dışa aktarabilir; bantları bir medya havuzuna taşıyabilir; bantları kopyalayabilir veya silebilir ve bant parolası belirleyebilir. Başka bir deyişle, bu roller yüksek ayrıcalıklı roller olarak kabul edilir ve kurumların, bu rollerin kötüye kullanılmasını önlemek için zaten yeterli güvenlik önlemlerini alıyor olması gerekir. Veeam, CVSS puanına rağmen bu zafiyeti “yüksek önemde” olarak ele aldığını belirtti. Şirket, müşterilerin Veeam’in önerdiği Güvenlik Rehberlerini takip etmesi halinde istismar olasılığının azaldığını ifade etti. Şirket ayrıca aynı üründe yer alan üç ek güvenlik açığını daha giderdi: CVE-2025-55125 (CVSS: 7.2) – Bir Backup veya Tape Operator kullanıcısının, kötü amaçlı bir yedek yapılandırma dosyası oluşturarak root yetkileriyle RCE gerçekleştirmesine olanak tanıyan bir zafiyet CVE-2025-59468 (CVSS: 6.7) – Bir Backup Administrator kullanıcısının, kötü amaçlı bir parola parametresi göndererek postgres kullanıcısı yetkileriyle RCE gerçekleştirmesine imkan veren bir zafiyet CVE-2025-59469 (CVSS: 7.2) – Bir Backup veya Tape Operator kullanıcısının root yetkileriyle dosya yazabilmesine olanak tanıyan bir zafiyet Tespit edilen dört güvenlik açığının tamamı, Veeam Backup & Replication 13.0.1.180 ve önceki tüm 13.x sürümlerini etkiliyor. Bu açıklar, Backup & Replication 13.0.1.1071 sürümünde giderildi. Veeam, bu zafiyetlerin halihazırda aktif olarak istismar edildiğine dair bir bilgi paylaşmasa da, yazılımın geçmişte tehdit aktörleri tarafından istismar edilmiş olması nedeniyle kullanıcıların yamaları gecikmeden uygulaması kritik önem taşıyor.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Aralık 2025

 

Bültenimizin Aralık Ayı konu başlıkları;  5 Yıllık FortiOS SSL VPN Açığı: VPN Hesaplarında 2FA Atlama  GlobalProtect ve SonicWall Hedefte: 7.000+ IP ile Kimlik Bilgisi Odaklı Saldırı Dalgası Ivanti EPM Alarmı: Kritik XSS Açığı Uzaktan Kod Çalıştırmaya Gidiyor 16 TB’lık Açık Veritabanı Felaketi: 4,3 Milyar Profesyonel Kayıt İfşa Oldu 2025 Ransomware Saldırıları Özeti

5 Yıllık FortiOS SSL VPN Açığı: VPN Hesaplarında 2FA Atlama

Fortinet, FortiOS SSL VPN’de beş yıllık bir güvenlik zafiyetinin belirli yapılandırmalar altında sahada  aktif olarak kötüye kullanıldığını gözlemlediğini açıkladı. Söz konusu zafiyet CVE-2020-12812, FortiOS SSL VPN’de yer alan hatalı kimlik doğrulama zafiyetidir. Bu zafiyet, kullanıcı adının büyük/küçük harf yapısı değiştirilerek, kullanıcının ikinci faktörlü kimlik doğrulama (2FA) istenmeden başarılı şekilde giriş yapmasına olanak tanıyabilir. Fortinet, Temmuz 2020’de yaptığı açıklamada durumu şöyle özetlemişti: “Bu durum, iki faktörlü kimlik doğrulama ‘user local’ ayarında etkinleştirildiğinde ve kullanıcı kimlik doğrulama türü uzak bir kimlik doğrulama yöntemi (örneğin LDAP) olarak ayarlandığında ortaya çıkar. Sorun, yerel ve uzak kimlik doğrulama mekanizmaları arasındaki tutarsız büyük/küçük harf duyarlılığından kaynaklanmaktadır.” Bu zafiyet, o tarihten bu yana birden fazla tehdit aktörü tarafından aktif olarak istismar edilmektedir. Ayrıca ABD hükümeti, 2021 yılında çevre cihazlarını hedef alan saldırılarda silah haline getirilen zafiyetler arasında bunu da listelemiştir. Fortinet, 24 Aralık 2025 tarihinde yayımladığı yeni bir güvenlik duyurusunda, CVE-2020-12812’nin başarıyla tetiklenebilmesi için aşağıdaki yapılandırmaların mevcut olması gerektiğini belirtti: FortiGate üzerinde, LDAP’e referans veren ve 2FA etkin olan yerel kullanıcı kayıtları Bu kullanıcıların LDAP sunucusunda bir grubun üyesi olması Kullanıcının üyesi olduğu en az bir LDAP grubunun FortiGate üzerinde tanımlı olması ve bu grubun bir kimlik doğrulama politikasında kullanılması (örneğin yönetici erişimi, SSL VPN veya IPSEC VPN) Bu ön koşullar sağlandığında, zafiyet şu sonuca yol açar: 2FA yapılandırılmış LDAP kullanıcıları güvenlik katmanını atlayarak doğrudan LDAP üzerinden doğrulanır. Bunun temel nedeni, FortiGate’in kullanıcı adlarını büyük/küçük harfe duyarlı olarak ele alması, LDAP dizininin ise duyarlı olmamasıdır. Fortinet durumu şöyle açıklıyor: “Kullanıcı ‘jsmith’ yerine ‘Jsmith’, ‘jSmith’, ‘JSmith’, ‘jsmiTh’ gibi birebir aynı olmayan bir büyük/küçük harf kombinasyonu ile giriş yaparsa, FortiGate bu girişi yerel kullanıcı ile eşleştiremez.” Bu durumda FortiGate, alternatif kimlik doğrulama seçeneklerini değerlendirmeye başlar: Yerel kullanıcıyla eşleşme başarısız olduktan sonra, ikincil yapılandırılmış ‘Auth-Group’ grubunu ve buradaki LDAP sunucusunu bulur. Kimlik bilgileri doğruysa, yerel kullanıcı politikalarındaki ayarlardan (2FA veya hesap devre dışı olsa bile) bağımsız olarak kimlik doğrulama başarılı olur. Bu zafiyet, yönetici veya VPN kullanıcılarının 2FA olmadan doğrulanabilmesine neden olabilir. Fortinet, bu davranışı düzeltmek için Temmuz 2020’de şu sürümleri yayımlamıştır: FortiOS 6.0.10 FortiOS 6.2.4 FortiOS 6.4.1 Bu sürümleri henüz kullanmayan kurumlar, tüm yerel hesaplar için aşağıdaki komutu çalıştırarak kimlik doğrulama atlatma riskini azaltabilir: set username-case-sensitivity disable FortiOS 6.0.13, 6.2.10, 6.4.7, 7.0.1 veya daha yeni sürümleri kullanan müşterilere ise şu komut önerilmektedir: set username-sensitivity disable Fortinet’e göre: “username-sensitivity devre dışı bırakıldığında, FortiGate ‘jsmith’, ‘JSmith’, ‘JSMITH’ gibi tüm kombinasyonları aynı kabul eder ve hatalı yapılandırılmış LDAP grup ayarlarına failover yapılmasını engeller.” Ek bir önlem olarak, gerekli değilse ikincil LDAP grubunun kaldırılması önerilmektedir. Bu, LDAP üzerinden kimlik doğrulamayı tamamen ortadan kaldıracağı için saldırı vektörünü baştan kapatır; kullanıcı adı yerel kayıtla birebir eşleşmezse kimlik doğrulama başarısız olur. Ancak, yeni yayımlanan rehber, saldırıların doğası, kapsamı veya başarılı olup olmadığı konusunda herhangi bir detay içermemektedir. Fortinet ayrıca, 2FA olmadan yönetici veya VPN kullanıcılarının doğrulandığına dair bir bulgu tespit edilmesi halinde, etkilenen müşterilere destek ekibiyle iletişime geçmelerini ve tüm kimlik bilgilerini sıfırlamalarını tavsiye etmektedir.

GlobalProtect ve SonicWall Hedefte: 7.000+ IP ile Kimlik Bilgisi Odaklı Saldırı Dalgası

Palo Alto GlobalProtect portallarını hedef alan oturum açma girişimleri ve SonicWall SonicOS API uç noktalarına yönelik tarama faaliyetleri başlatan yeni bir kampanya gözlemlendi. 2 Aralık'ta başlayan bu faaliyet, kendi BGP ağını işleten ve bir barındırma sağlayıcısı olarak faaliyet gösteren Alman BT şirketi 3xK GmbH tarafından işletilen altyapıdaki 7.000'den fazla IP adresinden kaynaklandı. Saldırganlar başlangıçta GlobalProtect portallarını kaba kuvvet (bruteforce) ve oturum açma girişimleriyle hedef aldı, ardından SonicWall API uç noktalarını taramaya yöneldi. Araştırmacılar, bu ani artışın daha önce Eylül sonu ile Ekim ortası arasında kaydedilen tarama girişimlerinde gözlemlenen üç istemci parmak izini (client fingerprints) kullandığını belirtiyor. Analiz edilen göstergelere göre, her iki faaliyetin de aynı aktöre ait olduğu belirtilmektedir. Bu uç noktaları hedef alan kötü niyetli taramalar, genellikle güvenlik zafiyetlerini ve hatalı yapılandırmaları tespit etmek için yapılır. Bu nedenle, savunmacıların bu tür faaliyetlerle ilişkili IP'leri izlemeleri ve engellemeleri tavsiye edilmektedir. Ayrıca, kimlik doğrulama yüzeylerinin anormal hız/tekrarlanan başarısızlıklar açısından izlenmesi, yinelenen istemci parmak izlerinin takip edilmesi ve statik itibar listeleri yerine dinamik, bağlam duyarlı engelleme kullanılması önerilmektedir. Palo Alto Networks, GlobalProtect arayüzlerine yönelik artan taramalar tespit ettiğini söyledi ve bunun "bir yazılım zafiyetinin istismarı değil, kimlik bilgisi tabanlı saldırıları (credential-based attacks) temsil ettiğini" doğruladı. Palo Alto Networks, müşterilerine kimlik bilgilerinin kötüye kullanımına karşı korunmak için Çok Faktörlü Kimlik Doğrulamayı (MFA) zorunlu kılmalarını önermektedir.

Ivanti EPM Alarmı: Kritik XSS Açığı Uzaktan Kod Çalıştırmaya Gidiyor

Ivanti, Endpoint Manager (EPM) için dördü de güvenlik açığı olmak üzere yamalar yayımladığını duyurdu. Bu zafiyetler arasında, uzaktan kod çalıştırmaya (RCE) yol açabilen kritik seviyede bir zafiyet de bulunuyor. Söz konusu güvenlik açığı CVE-2025-10573 olarak takip ediliyor ve kimlik doğrulama gerektirmeden istismar edilebilen kalıcı (stored) bir XSS açığı olarak tanımlanıyor. Rapid7’nin Ağustos ayında keşfedip raporladığı bu kritik EPM açığı, saldırganların kötü amaçlı payload içeren cihaz tarama verileri göndermesine olanak tanıyor. Bu veriler işlendiğinde, web yönetim paneline gömülüyor. Şirketin açıklamasına göre, bir yönetici panel arayüzüne erişip cihaz bilgilerini görüntülediğinde, payload tetikleniyor ve istemci tarafında JavaScript çalıştırılıyor. Bu da saldırganın yöneticinin oturumunun kontrolünü ele geçirmesine imkan tanıyor. Bu açık, Ivanti EPM 2024 SU4 SR1 sürümü ile giderildi. Aynı sürüm, üç adet yüksek önem dereceli güvenlik zafiyetini de kapatıyor. İlk yüksek seviye zafiyet olan CVE-2025-13659, dinamik olarak yönetilen kod kaynaklarının hatalı kontrolü olarak tanımlanıyor. Bu zafiyet, uzaktan ve kimlik doğrulama gerektirmeden saldırganların sunucuya rastgele dosya yazmasına olanak tanıyabilir. Ivanti’ye göre, bu zafiyetin başarılı şekilde istismar edilmesi RCE’ye yol açabilir, ancak kullanıcı etkileşimi gereklidir. İkinci yüksek seviye zafiyet CVE-2025-13661, path traversal (dizin geçişi) zafiyetidir. Uzaktan istismar edilebilir ve hedeflenen dizin dışına rastgele dosya yazılmasına imkan tanır. Bu zafiyetin istismarı kimlik doğrulama gerektirir. Üçüncü yüksek seviye zafiyet ise, EPM’in yama yönetimi bileşeninde kriptografik imzaların hatalı doğrulanması olarak tanımlanıyor. CVE-2025-13662 olarak izlenen bu zafiyet, uzaktan ve kimlik doğrulama olmadan RCE elde edilmesine imkan tanıyabilir, ancak kullanıcı etkileşimi gerektirir. Ivanti, bu zafiyetlerden herhangi birinin şu ana kadar sahada aktif olarak istismar edildiğine dair bilgileri olmadığını belirtiyor. Kullanıcılara, Ivanti EPM’in en güncel sürümüne mümkün olan en kısa sürede yükseltme yapmaları tavsiye ediliyor.

16 TB’lık Açık Veritabanı Felaketi: 4,3 Milyar Profesyonel Kayıt İfşa Oldu

Güvenliği olmayan 16 TB’lık bir MongoDB veritabanı, ağırlıklı olarak LinkedIn benzeri verilerden oluşan yaklaşık 4,3 milyar profesyonel kaydı açığa çıkardı. Bu durum, büyük ölçekli ve yapay zeka destekli sosyal mühendislik saldırılarına imkan tanıyor. Veritabanı keşfedildikten 2 gün sonra güvenli hale getirildi. Bu süre zarfında veritabanına kimlerin eriştiğini bilmek mümkün değil. Veri setinde yer alan koleksiyonlar şunlar: intent – 2.054.410.607 kayıt (604,76 GB) profiles – 1.135.462.992 kayıt (5,85 TB) unique_profiles – 732.412.172 kayıt (5,63 TB) people – 169.061.357 kayıt (3,95 TB) sitemap – 163.765.524 kayıt (20,22 GB) companies – 17.302.088 kayıt (72,9 GB) company_sitemap – 17.301.617 kayıt (3,76 GB) address_cache – 8.126.667 kayıt (26,78 GB) intent_archive – 2.073.723 kayıt (620 MB) En az üç koleksiyon, yaklaşık iki milyara yakın kişisel kaydı açığa çıkardı. Bu veriler arasında isimler, e-posta adresleri, telefon numaraları, LinkedIn bağlantıları, iş unvanları, işverenler, iş geçmişi, eğitim bilgileri, konumlar, yetkinlikler, diller ve sosyal medya hesapları bulunuyor. “unique_profiles” veri seti tek başına görsel URL’leri de içeren 732 milyondan fazla kayıt barındırıyor. “people” koleksiyonu ise zenginleştirme metrikleri ve Apollo.io ekosistemiyle bağlantılı Apollo ID’lerini içeriyordu; Apollo’ya ait bir ihlale dair herhangi bir bulguya rastlanmadı. Sızdırılan veri setinin kime ait olduğu doğrulanamadı. Araştırmacılar, lead-generation (potansiyel müşteri üretimi) yapan bir şirkete işaret eden bazı ipuçları buldu. Sitemap kayıtlarında “/people” ve “/company” yollarının şirketin web sitesine bağlandığı görüldü. Şirket, 700 milyondan fazla profesyonele erişimi olduğunu iddia ediyor; bu rakam, ifşa edilen “unique_profiles” sayısıyla birebir örtüşüyor. Veritabanı, bildirimden birkaç gün sonra çevrimdışı oldu. Buna rağmen araştırmacılar kesin bir atıfta bulunmaktan kaçındı, zira şirketin kendisi de başka kaynaklardan kazınmış (scraped) olabilir. Bu sızıntı son derece tehlikeli, çünkü bu kadar büyük ve yapılandırılmış veri setleri, oltalama (phishing), CEO dolandırıcılığı, kurumsal keşif (reconnaissance) ve büyük ölçekli yapay zeka destekli saldırılar için ideal bir zemin oluşturuyor. Milyarlarca kayıt, suçluların kişiselleştirilmiş dolandırıcılıkları otomatikleştirmesine, hazırlık süresini kısaltmasına ve Fortune 500 çalışanları dahil yüksek değerli hedeflere odaklanmasına imkan tanıyor.

2025 Ransomware Saldırıları Özeti

2025 yılı, fidye yazılımı manzarasının sıradan bir siber suçtan, ulusal güvenlik ve küresel ekonomik istikrarı tehdit eden stratejik bir tehdide evrildiğini gösterdi. 2024’e göre saldırı sayıları %34 ila %50 arttı, Ocak–Eylül döneminde dünya genelinde 4.701 onaylanmış fidye yazılımı olayı kaydedildi, bu da bu tehdit türünün modern tarihinin en sürekli ve yıkıcı siber risklerinden biri olduğunu ortaya koyuyor. 2025’te sıradışı bir trend ortaya çıktı: saldırı hacimleri rekor düzeylere ulaşırken, fidye ödeme oranları tarihsel olarak düşük seviyelere geriledi. Bu durum saldırı modeli üzerinde derin bir yapısal değişime yol açtı; fidye yazılımı suç ekonomisinin temel işleyişi, ödeme yapmayan kurum sayısının artmasıyla ciddi şekilde sarsıldı. Fidye Yazılımı Ekosisteminde Parçalanma ve Gelişen Taktikler 2025’te büyük fidye yazılımı organizasyonları üzerindeki kolluk kuvveti baskıları, ekosistemde dramatik bir parçalanma ve merkeziyetsizlik yarattı. Büyük operasyonların faaliyetlerinin durmasıyla birlikte 45 yeni tehdit grubu gözlemlendi ve toplamda en az 85 aktif fidye yazılımı grubu tespit edildi. Bu beş yılın en yüksek seviyesi olarak dikkat çekiyor. Bu yayılma, saldırı taktiklerinde sofistike evrimler ile aynı zamana denk geldi: çift ve üçlü şantaj (double & triple extortion), yapay zeka destekli oltalama kampanyaları, bulut altyapısı ve operasyon teknolojisi sistemlerine yönelik hedefli istismarlar gibi karmaşık yöntemler yaygınlaştı. Kritik Sektörler Hedefte 2025’te fidye yazılımı saldırılarının %50’si kritik altyapı sektörlerini hedef aldı: imalat, sağlık, enerji, ulaşım ve finans gibi hizmetler bu saldırıların yarısını oluşturdu. Bu da fidye yazılımını sadece finansal bir suç olmaktan çıkarıp endüstriyel operasyonları kesintiye uğratabilen, kamu güvenliğini tehdit eden bir araca dönüştürdü. Ransomware saldırı hacimleri hızla artarken, fidye ödeme oranları dramatik şekilde düşmeye devam etti. Artan yedekleme ve kurtarma yetenekleri, fidye ödemelerinin dosya kurtarmada garanti sağlamadığı farkındalığı ve daha güçlü siber güvenlik duruşları, birçok organizasyonun ödeme yerine kendi kurtarma süreçlerini tercih etmesine yol açtı. Bu eğilim, fidye yazılımı suç ekonomisinin varoluşsal bir krizle karşı karşıya olduğunu gösteriyor. Saldırganlar, her dolar için çok daha fazla çaba harcamak zorunda kalıyor; çünkü ödeme yapan kurban oranı dramatik şekilde azalmış durumda. Fidye Yazılımı Ekosistemindeki Öne Çıkan Gruplar 2025’te fidye yazılımı sahnesi yeniden şekillendi: Qilin, 701’den fazla kurbanla en aktif gruplardan biri olarak öne çıktı. Bu grup, çifte şantaj kullanarak şifreleme ve veri sızdırma tehditlerini birleştirdi. Cl0p, sıfır-gün (zero-day) zafiyetleri yoğun şekilde kullanarak tedarik zinciri saldırılarında büyük etki yarattı ve yalnızca veri çalma üzerinden fidye stratejisi benimsedi. LockBit, 5.0 sürümüyle yeniden dirildi ve birçok bölgede yeniden yaygın hale geldi. Bu aktörler, uzaktan erişim araçlarının kötüye kullanımı, eski yazılım zafiyetlerinin etkili istismarı ve yapay zeka destekli oltalama gibi çeşitli yöntemler kullanarak operasyonlarını sürdürdüler. Veri Sızdırma Siteleri: Psikolojik Baskı Aracı 2025 boyunca aktif veri sızdırma sitelerinin sayısı rekor kırdı. Bu siteler, fidye taleplerine uymayan kurbanları çevrimiçi veri sızıntılarıyla yüzleştirerek baskı yaratmak için psikolojik savaş aracı haline geldi. 2025 yılı, fidye yazılımının artık sadece dosya şifreleme ve ödeme talebi olmadığı; ulusal düzeyde operasyonel, ekonomik ve toplumsal güvenliği tehdit eden stratejik bir araç haline geldiğini gösterdi. Kritik sektörlerdeki artan saldırı hacimleri ve daha karmaşık taktikler, kurumların sadece teknik savunmalara değil, aynı zamanda stratejik direnç ve kapsamlı siber risk yönetimine odaklanması gerektiğini ortaya koydu.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.