|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Almanya’da Düsseldorf Üniversite Hastanesi’nde yaşanan fidye yazılımı saldırısı 1 kişinin ölümüne sebep olmuş olabilir.
Birçok fidye yazılımı çetesi, salgının başlarında hastaneleri ve sağlık tesislerini hedeflemeyeceklerini söylese de son zamanlardaki sağlık sektöründe yaşanan olaylar gerçekleri göz önüne seriyor.
Eylül ayında yaşanan olayda siber saldırganlar, Citrix VPN sistemindeki bir zafiyeti kullanarak hastanenin otuzdan fazla sunucusunu şifreledi ve sistemlere zarar vererek çalışılamaz hale getirdi. Sistemleri çalışmayan hastane ise acil olarak gelen talepleri geri döndürmek zorunda kaldı.
Saldırının yaşandığı gün raniden ahatsızlanan bir kadın ambulans ile bu hastaneye taşınmak istendi ancak sistemleri çalışmayan hastane ambulansı 30 km uzaklıktaki başka bir hastaneye yönlendirdi. Durumu ağırlaşan hasta diğer hastaneye ulaşamadan yolda hayatını kaybetti.
Yetkililer ve uzmanlar, hastanın fidye yazılımından dolayı hastanede tedavi olamadığı ve bu yüzden öldüğü tespit edilirse fidye yazılımı soruşturmasına ek olarak cinayet soruşturulması da açılabileceğini ve siber saldırıdan dolayı yaşanan ilk ölüm olabileceğini belirtti.
Zararlı yazılımlar ve hedef arayan saldırganlar, internet üzerinde servis veren sunucuları otomatikleştirilmiş şekilde tarayarak, hedef seçerken zafiyet odaklı da otomatik seçim yapabiliyor. Bu durum, hiç kimse istemese dahi bu tip sonuçları da beraberinde getiriyor.
Geçtiğimiz ay blog yazımızda paylaştığımız, kritik seviyesi 10 üzerinden 10 olarak belirtilen ve CVE-2020-1472) olarak numaralandırılan Zerologon zafiyeti ile ilgili saldırı haberleri gelmeye başladı.
Microsoft Security Intelligence (Microsoft Güvenlik İstihbaratı) twitter üzerinden açıklama yaparak hackerların Zerologon zafiyetini sömürdüğünü ve bazı saldırıları tespit ettiklerini belirtti.
Saldırganlar, Netlogon kimlik doğrulama sürecindeki güvenlik özelliklerini devre dışı bırakma ve Active Directory üzerindeki bir bilgisayarın parolasını değiştirebilme kusurundan yararlanabiliyor.
Covid 19 salgını ile birlikte gelen uzaktan eğitim zorunluluğu, siber saldırganların da ivmelerinin bu sektöre kaymasına sebep oldu.
Hindistan merkezli çevrimiçi öğrenme platformu Edureka, siber saldırganların kurbanları arasında yer aldı. 2 milyona yakın kullanıcının kişisel verilerinin parola koruması bulunmayan bir veritabanından çekildiği belirtildi. 27 Gb boyutunda ve 45 milyon kaydın bulunduğu ve 2 milyon Edureka kullanıcısının isim, e-posta adresi, telefon numarası ve yaşadığı ülke bilgisi yer alıyor.
Amerika’da yaşanan bir olayda ise merkezi Las Vegas’ta bulunan bir okula siber saldırı düzenleyen saldırganlar sistemleri şifreleyerek fidye talep etti. Fidye talebine olumlu dönüş yapmayan okul yönetimine karşı siber saldırganlar bazı öğrencilere ait kişisel bilgileri internette yayınlamaya başladı. Uzmanlar, bu yıl Amerika’da 50’den fazla eğitim kurumunun fidye yazılımı saldırısına uğradığını belirtti.
Avustralya’da ise, eğitim bakanlığının veritabanına sızan saldırganlar 1 milyona yakın öğrenci, öğretmen ve personelin kişisel verileri ile şifrelerini çaldı. Saldırının nasıl gerçekleştiği henüz kesinleşmiş olmasa da üçüncü parti bir yazılım olan ve ülke genelinde yüz binden fazla öğretmenin kullandığı K7Math isimli uygulamadan kaynaklandığı düşünülüyor.
Şili’nin tek kamu bankası ve ülkenin en büyük 3 bankasından birisi olan BancoEstado yaşanılan siber saldırının ardından ülkedeki tüm şubelerini geçici olarak kapatmak zorunda kaldı.
Yapılan ilk açıklamaya göre bir çalışanın REvil fidye zararlısı içeren bir dosyayı açtığını ve hackerların bu dosya ile kendilerine arka kapı oluşturarak içeri sızdığı yönünde.
Cuma’yı Cumartesine bağlayan gece, saldırganlar oluşturdukları arka kapıdan sisteme girerek tüm bilgisayarları şifrelemeye başladı. Cumartesi günü nöbetçi çalışanlar, şirket dosyalarına erişemediklerini bildirdiler ve yapılan incelemede tüm sistemlerin REvil fidye zararlısı ile şifrelendiği tespit edildi.
Banka tarafından yapılan açıklamada internet sitesi, bankacılık platformu, mobil uygulamalar ve ATM ağı saldırıdan etkilenmedi.
REvil fidye grubunun kurbanları arasında büyük isimler yer alıyor. Aynı grup 2019 yılında Şili’de ATM altyapılarını birleştiren bir şirkete de saldırı düzenlemişti.
Tayvan’lı donanım üreticisi QNAP, NAS cihazlarını kullanan firmaları yeni bir fidye yazılım türünün kurbanı olmamaları için yazılım ve uygulamalarını güncellemeye çağırıyor.
3 yıl önce keşfedilen ve bugün tekrar gündeme gelen açık, saldırganların uzaktan erişim açığını yoğun şekilde istismar etmesine ve veri sızdırmalarına sebep oldu.
Yapılan yeni bir açıklamada ise AgeLocker isimli fidye yazılımı ilk olarak bu yılın Haziran ayında NAS cihazlarına bulaşmaya başladı ve etkilenen sistemlerin güncel yaması yapılmamış sistemler olduğu belirtildi.
Uzmanlar QNAP’ın cihazlarına erişim izni veren iki saldırı durumunu ele aldı. Birincisi cihazın yazılımı, ikincisi ise önceden yüklenmiş olarak gelen ve eski sürüm barındıran PhotoStation uygulaması. Uzmanlar ayrıca AgeLocker’dan etkilenen sistemlerin çoğunlukla macOS ve Linux cihazları olduğunu belirtti.
Şirket son versiyon güncellemesinin mutlaka yapılmasını belirtti.
ABD’de yaklaşan seçimler öncesi Microsoft tarafından yapılan açıklama uluslararası gerginliğe sebep oldu.
Microsoft yayınladığı bir yazıda Çin, Rusya ve İran’a bağlı APT gruplarının ABD seçimlerini hedef alan siber saldırılar gerçekleştirdiklerinin tespit edildiğini açıkladı.
Çin’e bağlı APT grubu olan Zirconium’un Mart ayından Eylül ayına kadar Trump ve Biden için çalışan yakın kişileri, İran’a bağlı APT grubu Phosphorus’un Mayıs ve Haziran aylarında Trump’ın kampanyalarında yer alan idari yetkililerin kişisel ve iş hesaplarına, Rus APT grubu APT28’in, ABD ve Avrupa’daki siyasi ve politik düşünce grupları, ulusal ve devlet kuruluşları, siyasi partiler gibi 200’den fazla örgütü etkileyen saldırı kampanyası düzenledi.
Rusya, Microsoft tarafından yapılan açıklamanın paranoyakça ve gerçekleri yansıtmadığını belirtti. Uzmanlar ise ABD karşısında bu yılki seçimlerde en büyük tehditin Çin olduğunu belirtiyor.
Singapur merkezli kripto para borsası KuCoin 26 Eylül’de yaptığı açıklamada KuCoin’in sıcak cüzdanlarından 281 milyon Dolar değerinde kripto para ve ERC 20 token çalındığını açıkladı.
Şirlet CEO’su Johnny Lyu, saldırıdan etkilenen kullanıcıların zararlarının sigorta fonundan karşılanacağını belirtti.
KuCoin yetkilileri, saldırı ile ilgili geriye dönük araştırma yapıp saldırganların izini sürerek buldukları ip uçlarını kolluk kuvvetleri ile paylaştı.
Yapılan incelemelerin ardından 5 farklı borsada satış yapan saldırganlar 17.1 milyon dolarlık token satarak ETH elde ettiği de tespit edildi.
KuCoin’e yapılan bu saldırı, Coincheck ve Mt. Gox’tan sonra en büyük kripto hack vakası olarak kayıtlara geçti.
Kısa bir süredir aktif olmayan son zamanların popüler zararlısı Emotet tekrar görüldü. Fransa, Japonya ve Yeni Zelanda’nın ardından İtalya ve Hollanda’dan da Emotet ile ilgili uyarılar yükseldi. Mail yolu ile yayılan zararlıya karşı Microsoft açıklama yaparak, zararlı yazılımla ilgili bilgilendirmelerde bulundu.
22 Ağustos’ta FBI tarafından fidye yazılımı çetesi üyesi olmaktan dolayı tutuklanan Egor Igorevich Kriuchkov isimli Rus vatandaşın hedefinde Tesla olduğu ve içeriye zararlı yazılım yerleştirmek için bir çalışana teklifte bulunduğu tespit edildi.
2020'nin ilk yarısında petrol gaz ve bina otomasyonu sistemlerine yapılan saldırılar geçen senenin aynı dönemine göre artış gösterdi. Siber saldırganlar bu sektörlere hedefli saldırı düzenliyor.
Dünya Ekonomik Forumu (WEF)’nun her sene yayınladığı “Global Risks Report 2020” raporunda "siber saldır" riski üst sıralarda yer aldı. Rapora göre dünyada her 39 saniyede bir hack olayı yaşanıyor.
Android telefonları hedef alan bankacılık zararlılarından birisi Türkiye'de görüldü. SMS ile yayılan zararlı 1000 TL Pandemi Desteği Kampanyası başlığı ile geliyor. Yönlendirilen internet sayfasından içinde bankacılık zararlısı bulunduran uygulamanın telefona indirilmesi zararlı yazılım telefona bulaşıyor.
Microsoft tarafından Ağustos ayında yaması yayınlanan ve CVE-2020-1472 olarak numaralandırılan, Domain Controller üzerinde yetkisiz kod çalıştırılmasına izin vererek kurumsal ağların kolay bir şekilde ele geçirilmesine olanak sağlayan kritik zafiyet ile ilgili ayrıntılar ortaya çıktı.
Kritik seviyesi 10 üzerinden 10 olarak belirtilen ve Zerologon ismi verilen zafiyet, Netlogon kimlik doğrulama sürecinde kullanılan zayıf bir kriptografik algoritmadan faydalanıyor.
Zafiyet, saldırganın ağdaki herhangi bir bilgisayarın kimliğine bürünerek sunucuyu manipüle etmesine ve çok kısa bir süre içinde ağda yer alan tüm bilgisayarların ele geçirilmesine olanak sağlıyor.
Zerologon’un bu yapısı şirket ağındaki bir bilgisayara bulaşıp daha sonra birden fazla bilgisayara yayılmasına dayanan kötü amaçlı yazılım ve fidye yazılım çeteleri için de büyük bir nimet. Zerologon ile bu görev önemli ölçüde basit bir hale geliyor.
Bu zafiyete yama uygulamak Microsoft için kolay bir iş değil, çünkü milyarlarca cihazın kurumsal ağlara bağlanma şeklini değiştirmek ve operasyonlarını kesintisiz bir şekilde devam ettirmek çok zordu.
Bu yüzden Microsoft bu işlemi iki aşamada gerçekleştirecek şekilde planladı. Birincisi, Ağustos ayında yayınlanan geçici yama ile gerçekleşti. Bu yamada Netlogon güvenlik özelliklerini tüm Netlogon kimlik doğrulamaları için zorunlu hale getirerek Zerologon saldırılarını etkili bir şekilde kırdı.
Bununla birlikte, saldırganların Ağustos yamalarına karşı farklı bir yol bulması ihtimaline karşı, Şubat 2021 için daha eksiksiz bir yama planlıyor.
Zafiyet ile ilgili açıklamalarda bulunan Secura ekibi ayrıca, zafiyeti kanıtlamak için python scripti yayınlayarak bu güvenlik açığından yararlanabildiğini kanıtladı.
Aşağıdaki linke tıklayarak güncellemeye ulaşabilirsiniz.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
KVKK’nın veri ihlali bildirimlerindeki son aylardaki artış ve etkilenen kişilerin sayısının fazla olması siber saldırıların kapımızda olduğunu bizlere bir kez daha hatırlattı.
Geçtiğimiz aylarda anne ve bebek ürünleri satışı yapan bir şirketin siber saldırıya uğraması henüz hafızamızda tazeyken Ağustos ayında sadece iki büyük şirkette yaşanan veri ihlalinden toplamda 85 bin kişiye ait kişisel veri sızdırıldı. Kimlik ve iletişim bilgileri, hesap giriş mail ve parola bilgileri, profil fotoğrafı, yaşadığı il ilçe bilgileri gibi çeşitli veriler siber korsanların eline geçti.
Bu ve benzeri olaylardan etkilendiğinizi düşünüyorsanız öncelikli olarak dolaylı ve bağlantılı hesaplarınızın parola ve iletişim bilgilerini mutlaka güncellemelisiniz. Ayrıca yaşanabilecek bir oltamala saldırısına karşı da bundan sonra dikkatli olmalısınız.
Şirketlerin ise satın aldıkları ek güvenlik çözümlerinin dışında periyodik olarak farklı firmalara sızma testi yaptırmalarını ve çalışanlarına farkındalık eğitimi vermelerini öneriyoruz.
Dünyanın en büyük teknoloji şirketlerinden olan Intel, siber saldırganların hedefi oldu ve şirket içinde gizli kalması gereken 20 GB boyutundaki dosya internete sızdırıldı.
Till Kottmann isimli bir yazılım mühendisinin ismiyle internette paylaşılan dosyaların bir çoğunun üzerinde gizli ve sır ibareleri yer alıyor. Yayınlanan dosyaları Mayıs ayında isimsiz bir siber korsandan aldığını itiraf eden Till Kottmann’ın açıklamalarına göre Intel’in aylardır saldırganların hedefinde olduğu anlaşılıyor.
Çalınan dosyaların içinde çeşitli platformlar için kaynak kod paketleri, yol haritaları, eğitim videoları, hata ayıklama araçları, referans kodları, SpaceX için üretilen kamera sürücüleri için ikililer gibi çok fazla değerli ve gizli bilgi yer alıyor.
Intel tarafından yapılan açıklamada ise dosyalara erişim izni olan birisinin bu verileri indirip paylaşmış olabileceği belirtildi.
Son dönemlerde fidye saldırılarında özellikle büyük şirketler ve kurumların isimleri geçmeye başladı. Hedefli saldırılar gerçekleştiren siber saldırganlar kurumun ölçeğine göre çok büyük fidyeler talep ediyor.
Giyilebilir teknoloji devi ve ünlü GPS firması Garmin ile Utah Üniversitesi Temmuz ayında gerçekleşen fidye saldırısından sonra hackerlara fidye talebi ödediklerini açıkladı.
Utah Üniversitesi dosyaların yedekleri olmasına rağmen öğretim üyeleri ve öğrencilerin çalınan bilgilerinin güvenliği için 457 bin Dolar fidye ödemeyi kabul etti.
Garmin’de yaşanan saldırı sonrası ne kadar fidye ödendiği tam olarak açıklanmasa da siber korsanların 10 milyon Dolar talep ettikleri belirtildi. Garmin’de yaşanan saldırı sonrası yaşanan kesintilerde, Garmin sistemini kullanan pilotların uçuş planlarını indiremediği belirtildi.
Güvenceye alınmamış veri tabanları oldukça ciddi güvenlik sorunları haline gelmeye başladı ve son zamanlarda büyük boyutlarda veri sızıntıları yaşanıyor.
Bunlardan sonuncusu ise Comparitech isimli bir güvenlik araştırma şirketi tarafından tespit edilen, Hong Kong merkezli bir şirkete ait olan ve içinde Instagram, TikTok ve YouTube hesabı olan 235 milyon kullanıcı profilinin açığa çıktığı olay oldu
Çalınan verilerin yaklaşık 190 milyonu Instagram hesabı olurken 40 milyon veri ile TikTok uygulamasına ait veriler takip ediyor. Çalınan verilerin arasında profil ismi, gerçek ismi, profil fotoğrafı, cinsiteyi, takipçi satısı, takipçi, büyüme ve izlenme istatistikleri gibi veriler yer alıyor. Çalınan profillerin beşte birinde cep telefonu numarası veya e-posta adresi bilgisinin bulunduğu belirtildi.
Koronavirüs salgınından dolayı birçok şirketin evden çalışmaya geçmesi VPN'e olan ilgiyi arttırdı. Bu da siber saldırganların kurumsal sunuculara olan odaklarının daha da genişlemesine sebep oldu.
Bu ay gerçekleşen bir olayda ise 900’den fazla Pulse Secure VPN sunucusu kullanıcısının isim ve parolaları düz metin halinde bir hack formunda yayınlandı yayınlandı.
Yapılan açıklamada siber saldırganların CVE-2019-11510 zafiyetinden faydalanarak IP adresleri, Firmware sürümleri, VPN oturum çerezleri, son giriş bilgileri, lokal kullanıcıların listesi, SSH keyleri gibi bilgileri ele geçirdiği belirtildi.
Pulse Secure VPN kullananların CVE-2019-11510 zafiyetine karşı update yapmalarını, kullanıcı ismi ve parolalarını değiştirmelerini öneriyoruz.
Son zamanlarda koronavirüs sebebi ile uzaktan erişim uygulamalarına olan ilgi fazlasıyla arttı. Zoom’da tespit edilen güvenlik açıklarının ardından TeamViewer uygulamasında da çıkan açık tehdit yaymaya ve korku yaymaya başladı.
Zafiyetteki asıl endişelendiren olay ise, kurbanın çok fazla etkileşimini gerektirmeden, sadece zararlı yazılım yerleştirilmiş bir internet sayfasını ziyaret etmesi ve internet sayfasındaki bir URL’ye tıklaması oluyor. Saldırganlar SMB kimlik doğrulama saldırısı tetikleyerek kurbanın Ip ve giriş bilgilerini ele geçirerek sistemdeki kullanıcı adı ve NTLM hashlerini saldırgana iletiyor.
TeamView 8 ile 15 sürümü arasındaki her versiyon için zafiyet ile ilgili güncelleme yayınladı.
Türkiye'de de çok fazla kullanıcısı olan ücretsiz görsel indirme platformu Freepik siber saldırıya uğradı. 8 milyon kullanıcının bilgileri çalındı.
Siber saldırganların en çok saldırdığı sektörler arasında sağlık, üretim, inşaat, finans ve perakende sektörü bulunuyor.
FBI yaptığı açıklamada İran'lı siber saldırganların F5'ın BIG IP açığını kullanarak şirketlere saldırdığını belirtti.
2010 yılından bugüne kadar İngiltere'deki üniversitelerin üçte biri ransomware saldırısına uğradı.
Microsoft bu ay 13 farklı ürününde 120 güvenlik açığı için güncelleme yayınladı. 17'si kritik düzeyde olan saldırıların 2 tanesi sıfırıncı gün zafiyeti için.