blackcat etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
blackcat etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

06 Temmuz 2022

Siber Güvenlik Bülteni - Haziran 2022

 

Bültenimizin Haziran ayına ait başlıkları; 
    • Fidye Yazılım Grupları Taktik Değiştiriyor
    • VPN Servisleri Dert Açmaya Devam Ediyor
    • 900.000 Kubernetes Kümesi Açığa Çıktı
    • QNAP NAS Cihazları Tekrar Hedef Oldu
    • Tedarikçi Saldırıları Artıyor

    Fidye Yazılım Grupları Taktik Değiştiriyor

    Saldırgan çeteler, gelirleri birçok kurumsal şirketi geçmesine rağmen, her geçen gün saldırı ölçeklerini artırmaya ve daha da acımasız olmaya devam ediyorlar.


    Fidye yazılımı çeteleri bilindiği üzere kurum ağına sızarak, bilgileri şifreler ve çalar. Sızma metotları ise değişiklik göstermektedir. Kimi zaman çalışanlar hedeflenerek e-posta aracılığı ile, kimi zaman kurum dışarısına açık olan zayıf parolalı veya parolasız sistemler üzerinden gerçekleşir. Fakat özellikle son zamanlarda dışarıya açık olan VPN servislerinde çıkan zafiyetleri kullanarak sisteme sızmaktadırlar.

    ALPHV fidye yazılımı çetesi diğer adıyla BlackCat yeni bir metoda imza attı ve bir veritabanı web sayfası oluşturdu. Bu şekilde herhangi bir kurum veya bir personel kendi ile alakalı çalınmış bir veri var mı diye aratabiliyor, buradaki amaç ise KVKK/GDPR gibi otoriterelere olan yükümlülüğü kullanarak fidye saldırısına uğramış kurumların hızlıca ödeme yapıp bu veritabanından kendisini kaldırılmasını sağlamak.

    Bu yeni metot ilk kez bir otel saldırısı sonrasında gerçekleşti. Otele sızan grup çaldıkları otelde kalanlar listesi, çalışanların sosyal güvenlik numaraları ve Spa kullanan müşteri listelerini arama yaparak kontrol etme imkanı sağladı. Bu web sayfasının İnternet'e açık olması dolayısıyla, yakın zamanda ifşa olmuş birçok kurumun verilerinin arama motorlarında da listeleneceğini söylemek zor değil.

    VPN Servisleri Dert Açmaya Devam Ediyor

    Kurumlar pandemi öncesinde aktif olarak kullandıkları VPN servislerini, pandemi ile beraber vazgeçilmez bir noktaya taşıdılar. Bu durumdan ise en çok faydalanan kurumlar veya çalışanların aksine siber saldırganlar oldu.

    Son zafiyet ise Cisco'da tespit edildi. CVE-2022-20825 kodunu alan zafiyet, CVSS 10.0 üzerinden 9.8 önem derecesine sahip. HTTP paketlerinin yetersiz kullanıcı doğrulaması sebebiyle, dışarıya açık olan web yönetim arabirimine özel hazırlanmış bir istek gönderilerek, kök düzeyinde komut çalıştırmaya imkan sağlamaktadır. Buna rağmen Cisco, etkilenen sistemlerinden Small Business RV ürünlerinin desteği biten sürümleri için herhangi bir yama yayınlamayacağını açıkladı.

    Yapılan araştırmalara göre;
    • Kurumların yaklaşık %93'ü aktif olarak VPN servislerini kullanıyor.
    • Kurumların %72'si VPN servislerinin açık olmasından ve çıkan zafiyetlerden dolayı siber vakalardan endişe duyuyor.
    • Kurumların %67'sinin geleneksel VPN kullanmanın ötesinde bir alternatif arayışı sürüyor.
    • Kurumların %59'u VPN servislerinde çıkan zafiyetlerden dolayı Zero Trust (Sıfır Güven) gibi ek güvenlik yaklaşımlarına geçiş çalışmaları yapıyor.
    • Gartner raporuna göre ise 2023 yılında kurumların %60'ının VPN'leri aşamalı olarak kaldırıp, Zero Trust Network Access (Sıfır Güven Ağ Erişimi) teknolojilerine geçiş yapacağını öngörüyor.

    900.000 Kubernetes Kümesi Açığa Çıktı

    Bulut teknolojilerin kullanımının artması hayatımızda birçok teknolojik çözümünde evrilmesine sebep oldu, bunlardan öne çıkan başlıca teknolojilerden birisi de şüphesiz ki Kubernetes'dir.

    Bu tür teknolojilere geçişlerin plansız ve uzman olmayan ekipler tarafından yönetiliyor olması ise yeni siber dünyadaki en son büyük risk olarak ortaya çıkıyor. Son bulguya göre yanlış yapılandırılmış 900.000 Kubernetes Kümesi dışarıya açık hale geldi, bu servislerin dışarı açılması şirketleri siber saldırıya maruz bırakıyor.

    Arama motorları üzerinden ve tarama araçlarıyla internete açık hale gelen %65'i (585.000) ABD, %14'ü Çin, %9'u Almanya, %6'sı Hollanda ve İrlanda'dan olmak üzere 900.000 Kubernetes Kümesi siber saldırıya açık halde bulunmaktadır. Bunların içerisinde veri ifşasına sebep olan birçok kümede de yer almaktadır.

    Açıkta bulunan sunucular arasında  en fazla kullanılan TCP portları 443, 10250 ve 6443 olarak yer almaktadır. Bu sunucular üzerinde direkt ele geçirilmesini engelleyen korumalar mevcuttur, fakat uzaktan sömürülebilir bir zafiyetin çıkmasıyla büyük veri hırsızlığına uğrayacaktır.

    QNAP NAS Cihazları Tekrar Hedef Oldu

    Geçtiğimiz dönemlerde yedekleme sistemi QNAP NAS cihazlarının çokça hedeflendiğini biliyoruz. Fidye yazılımı grubu ech0raix diğer adıyla QNAPCrypt, tekrar QNAP NAS sistemlerini hedeflemeye başladı. İnternete açık olan NAS cihazlarını hedefleyen grup bruteforce (kaba kuvvet) yöntemiyle 2019 yılından itibaren QNAP müşterilerine büyük ölçekli saldırılar gerçekleştirdi.

    QNAP'ı periyodik olarak hedefleyen grup Şubat 2022'den bu yana herhangi bir kayıtlı saldırı gerçekleştirmemiş fakat Haziran 2022 ile birlikte tekrar QNAP sistemlerini hedeflemiştir. Saldırı detayları ile alakalı QNAP tarafından yapılmış henüz bir açıklama bulunmamaktadır.

    NAS'ınızı saldırılara karşı koruma yöntemleri;
     

    • NAS sistemlerinizin güncellemelerini yakından takip ediniz.
    • Hesaplarınız için güçlü bir parola oluşturmalısınız.
    • Çevrimdışı olarak yedeklerinizin kopyalarını alınız.
    • Bruteforce'u engellemek için IP erişim korumasını aktif hale getiriniz.
    • Zero Trust yaklaşım ile dışarı açık olan tüm servislerinizi güvenli hale getiriniz.

    Tedarikçi Saldırıları Artıyor

    Fidye yazılımı grupları her geçen gün saldırı yüzeylerini genişletmeye devam ediyor. Fidye ödemeyi kabul eden kurumlar ile beraber gittikçe zenginleşen gruplar, hem hedef sektörlerini hem de taktiklerini genişletiyor.

    Son kurban ise Toyota Grubu'na ait parça üreticisi Toyota Boshoku'nun bir parçası olan TB Kawashima'nın yan kuruluşlarından biri oldu.

    TB Kawashima, ABD, Çin, Tayland, Endonezya ve Hindistan'da ofisleri ve fabrikaları bulunan otomobiller, uçaklar, trenler ve tiyatrolar için iç mekan kumaşı üretmektedir. Saldırı meşhur Lockbit fidye yazılımı grubu tarafından gerçekleştirildi. TB Kawashima tarafından henüz bir doğrulama gelmese bile Lockbit web sayfasında veritabanını satışa çıkardı. Kurumun web sitesi kapatılırken, hem siber güvenlik ekibi hem de kolluk kuvvetler konuyla alakalı araştırmalara başladı.

    Siber güvenlik üzerine Nisan 2020 ve Şubat 2022 arasında yapılan araştırmalara göre otomotiv ve ulaşım sektöründeki şirketler fidye yazılımı grupları için ilk 3'te yer almaya başladı.

    Daha önce fidye saldırısına uğrayan Tesla, Honda, Nissan, Toyota gibi dünya operasyonları olan şirketleri gördük, fakat tedarikçilerinde hedeflenmesi bu tür dünyaya yaygın operasyonu olan ve buradaki üretime bağlı olarak hareket eden tüm şirketleri ciddi zarara sürüklemekte ve itibar kayıplarına sebebiyet vermektedir.

    Lockbit fidye yazılım grubu ise her geçen gün fidyelerini daha hızlı alabilmek ve daha fazla kuruma erişmek için taktik değiştirmeye devam ediyor, son güncellemede kurumlara sızmak için yeni taktik ve bilgi verenler için "Kötücül - Bug Bounty ödül" programı açtığını duyurmuştu.

    Siber Saldırılara Karşı
    TINA Çözümlerimiz

    Siber Güç etkinliğinde ziyaretçilerimize bahsettiğimiz en son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

    Popüler Yayınlar