Siber Güvenlik Bülteni - Mayıs 2022

 

Bültenimizin Mayıs ayına ait başlıkları;  Hatırlatma! Siber Güç Türkiye'de Buluşalım Follina, Microsoft Zeroday Zafiyeti Türkiye Havayolu Şirketi Verileri Açığa Çıktı Mobil Uygulamalarla Savaş Devam Ediyor Öğrenci Verileri İfşa Oldu Sosyal Mühendislik Saldırıları Hız Artırıyor

Siber Güç Türkiye'de Buluşalım

“Siber Güç Türkiye” Yatırımcı / Girişimci Buluşmaları ve İş Geliştirme Etkinliği TÜBİTAK Marmara Teknokent'te 8 Haziran 2022 Çarşamba günü saat 08:00 – 16:00 saatleri aralığında bizlerin de katılımıyla “Siber Güç Türkiye” Yatırımcı / Girişimci Buluşmaları ve İş Geliştirme etkinliği gerçekleştirilecektir.   Etkinlikte bizler de ISR Bilgi Güvenliği olarak ev sahipliğinde bulunacağız.   Uzun bir aradan sonra tekrar yüz yüze gelecek olmak ise ayrıca heyecan verici! Çay, kahve ve siber güvenlik üzerine sohbet etmek isteyen herkesi bekleriz.   HABERLERİ BİR DE BİZDEN DUYUN! Etkinlikte sizlere sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan en son TINA çözümümüz hakkındaki çalışmalarımızı ve mevcut Anti-Threat serisi ürünlerimizdeki gelişmeleri de anlatacağız. Yürüttüğümüz bu çalışmalarımıza yönelik fikirleriniz bizler için çok değerli; hem sizleri dinlemek hem de bizden haberleri paylaşmak üzere standımıza da bekleriz. Katılım tüm kurum / kişilere açık ve ücretsizdir. SİBER GÜÇ TÜRKİYE NEDİR? “Siber Güç Türkiye” Yatırımcı / Girişimci Buluşmaları ve İş Geliştirme etkinliğinde, şirketlerin iş birliğini arttırma ve iş geliştirme süreçlerinin yönetilebilmeleri için özel etkileşim alanları oluşturulacak, siber güvenlik firmalarının projelerini sunabileceği özel buluşma alanları sağlanacaktır. Katılım tüm kurum / kişilere açık ve ücretsizdir. Etkinliğe girişimci, firma veya yatırımcı olarak katılım sağlamak isteyenler www.sibergucturkiye.org adresinden başvuru yapabileceklerdir.

Follina, Microsoft Zeroday Zafiyeti

Microsoft Office belgeleri ile tetiklenebilen, MSDT (Microsoft Support Diagnostic Tool) kullanarak powershell üzerinde uzaktan komut çalıştırmaya olanak sağlayan, topluluk tarafından "Follina" olarak adlandırılan kritik bir zafiyet tespit edildi. Follina güvenlik açığı CVE-2022-30190 olarak tanımlandı. Araştırmacılar analiz yapılan örneklerle Follina'nın daha önce Rusya, Hindistan, Filipinler, Nepal gibi noktaları hedeflediğini gördüler. Microsoft tarafından zafiyetin çok ciddiye alınmaması ve yeterli açıklama yapılmaması ise kullanıcılarda bir çok soru işareti bıraktı. Şu an protokolün yer aldığı aktif tüm sistemler etkilenmektedir. Follina zafiyetini önemli kılan diğer bir husus ise, Microsoft Office macroları devre dışı olsa bile çalışabilir olmasıdır. Henüz yayınlanmış resmi bir güncelleme mevcut değildir. Bunun için MSDT URL protokolünün devre dışı bırakılması önerilmektedir (Bu protokolü devre dışı bırakana kadar, gelen e-postalardaki office dosya eklerine karşı çalışanlarınızı lütfen uyarınız); MSDT URL protokolünü devre dışı bırakma; 1. Cmd'yi yönetici olarak çalıştırın, eğer sisteminizde Cmd mevcut değilse Powershell'i yönetici olarak çalıştırın. 2. MSDT protokol anahtarını yedeklemek için; reg export HKCR\ms-msdt D:\Backup\msdt. reg komutunu çalıştırın. 3. MSDT protokolünü devre dışı bırakmak / silmek için; reg delete HKCR\ms-msdt 4. MSDT protokolünü tekrar devreye almak için 2. adımda oluşturduğunuz yedek dosyası üzerinden çift tıklayarak veya komut satırından reg import D:\backup\msdt. reg ile tekrar kayıt defterine ekleyebilirsiniz.

Türkiye Havayolu Şirketi Verileri Açığa Çıktı

Küçük bir Türk Havayolu şirketi, AWS (Amazon Web Services) üzerindeki yanlış yapılandırmalar sonucunda uçuş verileri ve kişisel bilgilerin de içerisinde olduğu 6.5 TB veri sızdırdı. Açığa çıkan dosyalar 23 milyon adedi bulmuş durumda, içerisinde hassas uçuş verileri, uçuş çizelgeleri, revizyonlar, sigorta belgeleri, uçuş öncesi kontrollerde tespit edilen sorunların ayrıntıları ve mürettebat hakkında kişisel veriler bulunmaktadır. Yanlış yapılandırılan sunucu üzerinde Pegasus Havayolları tarafından geliştirilen EFB yazılımının da kaynak kodlarının açığa çıktığı, düz metin halde parolalar ve gizli anahtarlar da tespit edildi. Bu anahtarlar ve parolalar kullanılarak yazılımda manipülasyon yapılabilir hale gelmiş oldu. Durum ile alakalı yetkilileri bilgilendiren uzmanlar yaklaşık 3 haftada gerekli iyileştirmelerin yapıldığını açıkladı. Henüz kayıtlara girmiş bir istismar girişimi bulunmamaktadır.

Mobil Uygulamalarla Savaş Devam Ediyor

Bilgisayarlar üzerinde bir uygulama kurmak eskiden çoğu kişi için çok zordu ve çevresinden destek almak zorundaydı. Mobil cihazlar ile uygulamalar da artık hayatımızın vazgeçilmezi haline geldi ve artık uygulamalara ulaşmak ve indirip kurmak akıllı telefon kullanan herkesin destek ihtiyacı olmadan ve hızlıca halledebildiği bir çözüm halinde sunuluyor. Durum böyle olunca kullanıcıların büyük çoğunluğu uygulamaları sorgulamadan yükleyebiliyor, en önemli sebebi de uygulama marketlerinin arkasında Apple, Google gibi büyük firmaların bulunmasında yatıyor. Bu konuda otorite olarak sayılabilecek Apple ve Google'da güvenli uygulamaları sunmaya yönelik birçok yatırım ve iyileştirmeler yaparak dolandırıcılığa açık uygulamaların önünü kesmeye devam ediyor. Fakat bu yatırımlar şu an yetersiz kalıyor ve kullanıcılar bu tür uygulamalar ile tamamen baş başa kalıyor. Siber Farkındalık ise burada kullanıcıyı bu tür dolandırıcılıklara karşı savunma adımında öne geçiriyor. 2021 yılı içerisinde dolandırıcılığa teşvik ettiği düşünülen pek çok uygulama yayından kaldırıldı. Apple bu konuda 1.6 milyon uygulamayı marketlerinden kaldırırken, Google 1.2 milyon uygulamayı marketlerinden kaldırdı. Banka bilgileri, sağlık bilgileri, özel ve hassas bilgileri gibi değerli verilerin barındırıldığı telefonlara herhangi bir uygulama indirirken erişim talepleri dikkat ile incelenmeli ve mümkün olduğu kadar ihtiyaç duyulan uygulamaların yüklenilmesine dikkat edilmelidir.

Öğrenci Verileri İfşa Oldu

Şikago'da yapılan fidye yazılımı saldırısı sonrasında devlet okullarında 500.000 öğrenci ve 60.000 çalışanın verileri ifşa oldu. Öğrenci ve öğretmen performans analiz sistemi Battelle for Kids uğradığı saldırı sonucunda öğrenci verileri ifşa oldu, sistemde kayıtlı yaklaşık 267 okul ve 2.8 milyon öğrenci bulunmakta. Yasalara göre veri ihlalinin hemen bildirilmesi gerekmesine rağmen, ihlalin anlaşılması ve bildirilmesi 4 ayı buldu. Bu saldırıdan bağımsız olarak Mart ayında ise 870.000 öğrenci verileri ifşa edildi. Bu veri ihlalleri sonrasında birçok öğrencinin sistemlere erişim bilgileri satılmaya başlandı. Bu tür saldırılar ülkemizde de gerçekleşiyor fakat tespit edilmesi çok uzun sürmekle beraber, tespit edilemeyen de çok fazla ihlal mevcuttur. Veri çalmaya odaklı ve ileri seviye saldırıları engellemek için TINA Security ürünlerini inceleyebilirsiniz.

Sosyal Mühendislik Saldırıları Hız Artırıyor

Sosyal mühendislik türü saldırılar ve bunlara dair örnekler artık birçok kullanıcı tarafından bilinmekte, fakat yine de bir firma için en ağır sonuçlara sebep olmaya devam ediyor. Covid-19 ve uzaktan çalışmayla beraber sosyal mühendislik saldırıları da %65 artmış durumda. Bu tür saldırılar kurumları da ciddi anlamda zora sokmaktadır. Kurumsal e-postaların ele geçirilmesi (BEC) ile kurumlara verilen maddi zararın boyutu ciddi anlamda artmaktadır. 2016-2021 tarihleri arasında küresel finans kurumları tarafından bildirilen kayıp 43 milyar doları aştı. BEC saldırıları ile gerçekleştirilen saldırı senaryoları da daha etkili ve gerçekçi olmaktadır. Bu yüzden kurum çalışanların farkındalığı halen savunmada ön plana çıkmaktadır. Kullanıcılarınız farkındalığını test etmek ve farkındalığını artırmak için ISR Bilgi Güvenliği hizmetlerini inceleyebilirsiniz.

Siber Güvenlik Bülteni - Şubat 2022

Bültenimizin Şubat ayına ait başlıkları;  MuddyWater Türkiye'yi Hedef Aldı. İş İlanlarına Dikkat Fidye Yazılımı Saldırıları Artmaya Devam Ediyor. İrlanda Sağlık Sistemi Zor Durumda Kaldı NFT yatırımcılarına Oltalama Saldırısı

MuddyWater Türkiye'yi Hedef Aldı.

İran destekli APT grubu MuddyWater bu kez Türkiye'yi daha yaygın şekilde hedefleyen saldırılar ile karşımıza tekrar çıktı. Geçtiğimiz yıllarda TINA ile tespit ettiğimiz ve engellediğimiz saldırılardan birisi olan MuddyWater daha önceleri ABD, Avrupa, Orta Doğu ve Asya'da büyük ölçekli saldırılarda çok kez görüldü ve 2017 yılından beri aktif olarak saldırılarına devam etmektedir. MuddyWater'ın saldırılarının dayandığı 3 ana motivasyon bulunmaktadır. Devlet çıkarları amaçlı motive edilen grup casusluk yapmakta ve devletinin siyasi egemenliğini sürdürmeyi planlamaktadır. Saldırıda bulunduğu ülkelerde özel kurum ve kuruluşlar, kamu kurumları ve üniversiteler gibi geliştirme yapılan noktalarda fikri mülkiyet hırsızlığı gerçekleştirerek, ekonomik çıkar sağlamaktadır. APT gruplarının en çok tercih ettiği yöntemlerden biri olan fidye yazılımı (ransomware) saldırıları da, bu grubun ana odaklarındandır. Grup saldırılarında ilk iletişim HTTP ile gerçekleşirken, sızma sonrası komuta ve kontrol sunucuları ile olan bağlantı DNS üzerinden gerçekleşmektedir. MuddyWater grubunun Türkiye'de büyük kurumlar ve kritik kurumları da Kasım 2021'den beri taklit ettiği ortaya çıktı. Saldırılarını gömülü bağlantı içeren PDF ve XLS gibi dosyalar üzerinden gerçekleştirmekte, gönderilen dosyalar Sağlık Bakanlığı, İçişleri Bakanlığı gibi adreslerden geliyormuş gibi görünmektedir. Oltalama saldırılarının gerçekleştirildiği bazı mail adresleri; kardesdoreencontreve@ gmail[.]com lillianwnwindrope@ gmail[.]com doktor.x.2020@ gmail[.]com ubuntoubunto1398@ gmail[.]com a.sara.1995a@g mail[.]com Bazı Komuta ve Kontrol Sunucu IPleri; 185[.]118[.]167[.]120 185[.]118[.]164[.]165 185[.]118[.]164[.]195 185[.]118[.]164[.]213

İş İlanlarına Dikkat

Saldırganlar bu sefer iş arayanları da hedeflemeye başladı! Bu saldırıların amaçları iş arayanları sahte reklamlar üzerinden oltalama metodu ile kandırmak, para ve bilgilerini çalmaktır. Saldırganlar, iş ilanı platformlarını taklit ederek veya platformlardaki zafiyetlerden faydalanarak kullanıcıları hedeflemektedir. Bu tür saldırıların 2019 başından bu yana yoğun olarak gerçekleştirdiği ve arttığı, kişi başı ortalama 3,000 €'ya mal olduğu tespit edilmiştir. Pandemiyle birlikte birçok alışkanlığımız değişti, bunların başında işe alım süreçleri de geliyor, özellikle uzaktan etkileşimlerde iş ilanlarının kurumsal kaynaklarından (kurum telefonu, e-postaları, web sitesi)  doğrulanması gerekmektedir. Sahte iş ilanlarını fark etmek için unutmamamız gerekenler; İş görüşmeleri yüz yüze veya güvenli görüntülü konuşmalar ile gerçekleştirilir. Önemli geri dönüşlerin telefon ile gerçekleştirilmesi gerekmektedir. Herhangi bir iletişim için kurum adresi dışındaki e-postalar dikkate alınmamalıdır. Kurumlar, çalışanlarından ekipmanları yönlendirdiği sitelerden satın almasını talep etmezler. Kurumlar, iş başvurunuzla ilgili sizlerden kredi kartı bilgisi talep etmezler. İş ilanlarının bazıları kurum sayfalarında da yayınlanır, kurumdaki ilan bu şekilde teyit edilebilir.

Fidye Yazılımı Saldırıları Artmaya Devam Ediyor.

Geçtiğimiz yıl fidye yazılımı saldırıları %105 artarak, 623 milyonu aştı. 2021 yılında IoT zararlı yazılımları, kripto hırsızlığı da büyük artış gösterirken zirveyi fidye zararlı yazılımları aldı, 2019'a kıyasla %235 artış gösterirken, 2020'ye kıyasla 319 milyondan fazla artış gösterdi. Fidye yazılımları sektörlere göre;  - devlet kurumlarında %1885 - sağlık sektöründe %755 - eğitim alanında %152 - perakende sektöründe %21 artış gösterdi. 2021'de daha önce görülmemiş fidye zararlı yazılımı oranı %65 artış göstermiş durumda. Kripto hırsızlığı ise %19 artış 97.1 milyon ile yeni zirvesini görmüş iken, IoT zararlı yazılımları ise %6 artış göstererek 60,1 milyona ulaşmıştır. Log4Shell zafiyetiyle birlikte saldırıların boyutu da değişmiş ve zafiyet kullanılarak günlük 2,7 milyondan fazla istismar girişimi kaydedilmiştir. Bu istatistiklere göre kurumların siber güvenlik yatırımları hızı 2020'ye oranla 2021'de iki katına çıkmış ve %12,4 olarak gerçekleşmiştir. Siber saldırılarda yoğun olarak karşımıza çıkan zararlı yazılımlara karşı geleneksel çözümler (Firewall, Antivirüs vb.) etkinliğini kaybetmekte ve son aşamada çözümler yerini tamamen siber güvenliğe ve saldırı engellemeye odaklanan, statik imza tabanın dışında dinamik olarak da çalışan anlık analiz gerçekleştiren ve davranış analizi yapabilen daha modern çözümlere bıraktı. Bu konuda geliştirmiş olduğumuz çözümlere ilişkin bilgi almak isterseniz, TINA'ya ulaşabilirsiniz.

İrlanda Sağlık Sistemi Zor Durumda Kaldı

İrlanda Sağlık Sistemi HSE (Health Service Executive) fidye saldırısına maruz kaldı. HSE, tüm ülke genelinde 4,000 lokasyon, 54 Akut hastanesi ve 70.000 cihaz ile hizmet vermekte. Mayıs 2021'de gerçekleşen saldırıyla da Conti fidye zararlı yazılımına maruz kalmış ve tüm BT sistemlerini kapatmak zorunda kalmıştı. Araştırmalar, saldırının maliyetini henüz ortaya çıkarmış durumda, dosya kurtarma için talep edilen fidye, altyapı iyileştirmeleri, dış kaynak siber güvenlik danışmanlığı gibi giderlerle beraber 100 milyon dolara mal olmuştur. Saldırı sonucunda birçok tedavi iptal edilmiş, Covid 19 aşıları durdurulmuş, ölüm ve doğum belgelerinde gecikme yaşanmış ve bundan kaynaklı sistemin tekrar çalışması haftalar almıştı. Devlet Bakanı ise şimdiye kadar gerçekleşmiş en büyük siber saldırı olabileceğini açıklamıştı.

NFT yatırımcılarına Oltalama Saldırısı

Saldırgan grup bu sefer son zamanların en çok konuşulan yatırım alanlarından NFT yatırımcılarını hedefledi. OpenSea NFT pazarından 17 yatırımcıdan oltalama saldırıları ile yaklaşık 1.7 milyon dolar değerinde NFT çaldı. Geçtiğimiz hafta hesaplarına giriş yapan yatırımcılar, sahip oldukları NFTlerin hesaplarında olmadığını farkettiler. NFT; takas edilemez jeton, ya da İngilizce'deki popüler ismiyle non-fungible token, dijital bir varlığın benzersiz olduğunu ve bu nedenle birbirinin yerine geçemeyeceğini onaylayan, blok zinciri adı verilen bir dijital defterde depolanan veri birimidir. Orjinal OpenSea marketi kullanıcıları için yeni bir sözleşme hazırladı ve tüm kullanıcılarıyla paylaştı. Bu durumdan yararlanarak bu sözleşmeyi taklit ederek, hızlıca oltalama saldırısı hazırlayan ekip kısa sürede 17 kullanıcıdan 250 NFT (1.7 milyon dolar) çalmış oldu. OpenSea aylık NFT işlemleri ortalama 3,68 milyar dolarlık bir işlem hacmi olduğunu düşününce, saldırganların dikkatini çekmeye devam edecek gibi görünüyor...

Siber Güvenlik Bülteni - Ocak 2022

 

Bültenimizin Ocak ayına ait başlıkları;  2021'de Finansal Siber Saldırılar Fidye Yazılımı Hapishaneye Denk Geldi ! Sağlık Verileri İhlal Edildi Linux Zararlı Yazılımları Artmaya Devam Ediyor QR Kodlara Dikkat

2021'de Finansal Siber Saldırılar

Bankacılık, Finans, Sigorta ve Menkul Kıymetler gibi kritik sektörler yoğun olarak BT sistemlerine bağlı şekilde gelişmekte. Hal böyle olunca siber saldırganlar tarafından en büyük hedef haline gelmesi kaçınılmaz oluyor. Fortune 500'ün 20 şirketinden sızdırılan 3,3 milyondan fazla kayıtla 6.472 ihlal ve veri sızıntısı tespit edildi. Sızan veri miktarı son iki yılda 6 kat oranında artmış durumda. Finans sektörünün diğer tüm sektörlere göre yaptığı yatırımlar ise %40 daha fazla. 2021 yılındaki siber saldırıların ve özelliklerinin listesi aşağıdaki şekilde belirmiş durumda; Zararlı Yazılımlar; Yapılan araştırmalar gösteriyor ki zararlı yazılımların küresel çapta birden fazla sektörde mali kayıplar haftada yaklaşık 115,4 milyar dolara yükseldi. Tedarik zinciri saldırıları artmaya devam ediyor, zararlı yazılımlar ile ağa sızan saldırganlar kuruma özel gizli verileri sızdırıyor. Zararlı yazılımları yaymak için kullanılan en etkili yöntemlerden biri "Google Adsense"; kötü niyetli kampanyalar kullanılıyor. Kötü amaçlı yazılımlar, sosyal mühendislik yöntemleriyle iletilen sahte zararlı dosyaları hâlâ aktif olarak kullanıyor. Saldırganlar, kurumlar tarafından kontrolü zor olan mobil cihazları hedefliyor. APT Saldırıları APT; siber suçluların kurbanın ağında uzun süreli ve kalıcılığı artırmaya yönelik saldırıları ile gerçekleştirmektedir. Saldırı planı, hedeflenmiş kuruluşların zayıf noktalarını tespit edip, saldırılmasına yöneliktir. Saldırılar kurum ağına yerleşmek ile başlar ve yanal hareketler ile ağda yayılmaya, ilerlemeye başlar. Sonraki aşamada uzaktan erişim elde etmek ve sistemde komutları vermek için arka kapı oluşturulur. 2021 yılında en çok kullanılan yazılım "Cobalt Strike" olmuştur. Keşif aşamasında kurum ağının alışkanlıkları tespit edilir ve buna göre saldırı zamanı planlanır. Sonraki aşamalarda, kurumun içerisinde toplanan bilgiler dahilinde veri sızdırma, veri şifreleme, ATM ağlarını riske sokmak gibi tercihler de olabilmektedir. Sosyal Mühendislik Sosyal mühendislik uzun süredir hayatımızda olan ve halen en tehlikeli saldırılardan biridir. Yapılan araştırmalar çalışanların %43'ünün şirketlerini potansiyel olarak saldırıya maruz bırakmakta olduğunu göstermektedir. Epostalar yoğun olarak sosyal mühendislik saldırılarında kullanılan en etkili yöntemdir. Amaç kullanıcıyı dolandırıcılık için hazırlanan web sitesini ziyaret etmeye veya virüslü bir dosyayı indirmeye motive etmektedir. Sosyal mühendislik odaklı zararlı yazılımlar, kişileri dolandırıcılıkta kullanılan web sitesine ziyaret etmeye yönlendirmektedir. Kişilerin iyi niyetlerini suistimal ederek, yanlış yapmaya sevk etmektedir. Kimlik avı saldırıları, saldırganlar ağa girdikten sonra hızlıca giriş noktalarını aşmaya yardımcı olmaktadır. Üçüncü Parti Uygulamalar Üçüncü parti uygulamalara yapılan saldırılar büyük finans kurumlarını ciddi anlamda zora sokmaktadır. Geçtiğimiz yıllarda büyük kurumları hedefleyen saldırganlar, son dönemlerde daha kolay lokma olarak gördükleri üçüncü parti firmaları hedefleyerek başarıya ulaşmışlardır. Büyük finans kurumlarına saldırılar gerçekleşirken, çok karmaşık olmayan bir saldırı ön plana çıkıyor, bir tedarikçi gibi kurum ile iletişime geçen ve başarılı olan saldırgan grupları görülüyor. Finansal kurumların web sitelerini klonlayarak kullanıcıların ve çalışanların bilgilerini ele geçirmeye yönelik saldırılar da gerçekleşmektedir. Mobil cihazların erişilebilirlik hizmetlerinden faylanarak, uzaktan erişim imkânı sağlayan zararlı yazılımlar ile kişinin kimlik bilgileri ele geçirilerek kurumlara bir çalışan gibi sızılabilmekte. Kurumların destek ve hizmet aldığı daha ufak ölçekteki şirketlere sızılarak, büyük kurumlara olan direkt iletişim/erişim kanalları ile büyük kurumların ağlarına sızma gerçekleştirilebilmekte. Burada büyük finans kuruluşları ve birçok büyük kurum, bu tür saldırılara maruz kalmamak için, üçüncü parti firmaların kendilerini referans olarak kullanmasına izin vermemektedir. Finans sektörü için yukarıda bahsettiğimiz riskler ve saldırı metotları diğer sektörlerde de çok farklı olmamaktadır. Şirketler bu tür saldırı yüzeylerini iyi analiz etmeli ve bunlara karşı iyi bir siber güvenlik planlaması yapmalılar. Bu konuda tecrübeli, analiz yeteneği güçlü, saldırı metotlarını hem ofansif hem de defansif olarak irdeleyebilen bir destek ihtiyacınızda ISR Bilgi Güvenliği'ne danışabilirsiniz.

Fidye Yazılımı Hapishaneye Denk Geldi!

Geçtiğimiz hafta hapishane sistemlerine fidye yazılımı saldırısı gerçekleşti! Saldırı ile hapishane kameraları devre dışı bırakılarak, mahkûmlar ise hücrelerine hapsedildi. Hapishane personeli, hücrelerine hapsolan mahkûmları çıkarmak için manuel olarak müdahale etmek durumunda kaldı. Aynı saldırganlar ilçedeki nüfus işlerini; evlilik cüzdanı verilmesi, seçmen kayıtları ve emlak işlemlerini de engelleyerek bizlere fidye yazılımlarının sınırının ne kadar genişleyebildiğini hatırlatıyor. ABD'de yapılan araştırmada belirtildiği üzere, resmî makamlara ulaşan bilgilere göre 2021 yılında fidye yazılımlarına 500 milyon dolardan fazla ödeme yapıldı. Bu rakamların sadece resmî kurumlara gelen bilgiler olduğu düşünüldüğünde saldırıların geçmişe kıyasla ne kadar büyük bir pazara ulaştığını gözardı etmek mümkün değil. Bu haberden yola çıkarak 2022'deki fidye saldırılarına kısaca değinmek gerekirse; fidye yazılımları artık büyük saldırgan gruplar tarafından bayilik yoluyla birçok alt gruplara hizmet olarak verilerek, ölçeğini büyütmeye devam ediyor. Yedekleme sistemleriyle beraber şirketler fidye yazılımlarına karşı fidye ödemelerini azaltmaya başlamıştı fakat fidye yazılımları artık, verileri şifrelemeye ek olarak hassas verileri de dışarı çıkartıp şirketleri veri hırsızlığı ile vurmaktalar. 2022 yılı itibariyle ağırlıklı olarak fidye yazılımlarının veri şifrelemek yerine, sızdırma faaliyetlerine ağırlık vereceği öngörülüyor. Kripto paraların ise bu konuda saldırgan grupların işini fazlasıyla kolaylaştırdığını biliyoruz. Bu ödemeleri engellemeye yönelik çeşitli devletlerin getirdiği birçok yasak dahi mevcut, bu yasakların saldırıları azaltacağı inanılıyor fakat buna istinaden saldırgan grupların paralarını almak için gasp ettiği şirketlere NFT satışı yaparak, fidyeleri aklayacağı da öngörülmekte. Bu saldırıları azaltmanın en önemli etkenleri; dijital süreçlerin iyi planlaması ve sistemlerin saldırıya karşı korunaksız, rahat erişilebilir durumda olmaması.

Sağlık Verileri İhlal Edildi

Florida'da bulunan hastane sistemi Broward Health yaşanan bir veri ihlalinden 1,3 milyondan fazla kişi etkilendi. 30'dan fazla sağlık tesisi işleten Broward Health'in etkilenen kişileri bilgilendirmesiyle açığa çıktı. Açıklama 1 Ocak'ta gerçekleştirildi, 15 Ekim'de sisteme erişim sağlandığı ve 19 Ekim'de izinsiz girişin keşfedildiği belirtildi. İhlali gerçekleştirilen veriler içerisinde kişilere ait; ad, soyad, doğum tarihleri, iletişim bilgileri (adres ve telefon numaraları), ehliyet numaraları, sosyal güvenlik numaraları, finansal bilgileri, sigorta verileri ve tıbbı bilgiler (teşhisler, tıbbı geçmiş, tedavi vs.) yer almaktadır. Kurum, çalışanlarının şifrelerinin sıfırlandığını, tüm sistemlerde çok faktörlü kimlik doğrulama uyguladığını ve ağa erişimi olan 3. parti cihaz ve uygulamalar için minimum güvenlik gereksinimlerini uygulamaya başladığını açıklamıştır. Dijitalleşme ile beraber hastaneler kişisel ve özel bilgileri fazlasıyla dijital ortamda barındırmaktadır, bu bilgileri korumaya karşın alınan önlemler maalesef yetersiz kalmaktadır, ayrıca bu bilgilerin kritikliği hakkında da birçok kuruluş yeteri farkındalığa sahip değildir. Bu tür saldırılara karşı önceden hazırlıklı olmak üzere, bilgi güvenliği adımları atılmalı ve süreçler bu çerçevede güncellemelidir. Bu konuda yardım ihtiyacınız bulunuyorsa, ürünlerimiz ve hizmetlerimiz hakkında bilgi almak için bizlere ulaşabilirsiniz.

Linux Zararlı Yazılımları Artmaya Devam Ediyor

Linux cihazları hedefleyen zararlı yazılım bulaşmalarının sayısı 2021'de %35 arttı ve zararlı yazılımlar en yaygın olarak DDoS saldırıları için IoT cihazlarını kullandı. IoT cihazlar genellikle Linux dağıtımları kullanılan, belirli fonksiyon çerçevelerinde çalışan akıllı cihazlardır. Bu cihazlar tek başına saldırılar odağında yeterli etkiyi sağlayamasa dahi, birçok IoT cihazının birlikte saldırıya aracı (kurban olarak) kullanıldığında büyük DDoS saldırıları gerçekleştirdiğini geçtiğimiz dönemlerde dünyanın görülen en büyük saldırılarında görmüştük. 2021'de saldırı verileri incelendiğinde karşımıza çıkan bazı istatistikler; 2021'de Linux sistemlerini hedefleyen zararlı yazılımlar 2020'ye kıyasla %35 oranında arttı. XorDDoS, Mirai ve Mozi; 2021'de gözlemlenen tüm Linux hedefli zararlı yazılım saldırılarının %22'sini oluşturan en yaygın ailelerdi. Mozi ailesi, 2020'ye kıyasla yaklaşık 10 kat büyüme kaydetti. XorDDoS ise 2020'ye kıyasla %123'lük bir büyüme kaydetti.

QR Kodlara Dikkat

FBI, kimlik bilgileri ve finansal bilgileri hedefleyen kötü amaçlı QR kodlar ile yapılan saldırılar hakkında uyarıda bulundu. Bilindiği üzere QR kodlar uzun zamandır hayatımızda ve birçok kullanıcıyı kampanya odaklı sitelere veya uygulamalara yönlendirmek için fazlasıyla kullanılıyor, son yıllarda finansal teknolojilerde hızlı ödeme gibi gelişmiş alanlarda da karşımıza çıkıyor. Bu duruma göre saldırı senaryosu kuran saldırganlar potansiyel kurbanlarını kandırmak için orijinal QR kodları kendi hazırladıkları sahte sayfalara yönlendiren QR kodlar ile değiştirerek, kurbanların kişisel bilgilerini, finansal bilgilerini ele geçirmek veya cihazlarına zararlı yazılım yüklemek için kullanıyor. Bu yüzden herhangi bir QR kod okuturken yönlendirilen adresin gerçekten gitmek istediğimiz adres olduğundan emin olmalıyız, yoksa ele geçirilen bilgiler ile ciddi finansal kayıplar yaşayabiliriz. Artık birçok kurumun kampanyalarını bile QR kod üzerinden mağazalarında paylaştığına, restoranların menülerini QR kod üzerinden paylaştığına şahitlik ediyoruz. Bu yüzden mümkün olduğunca erişmek istediğimiz sayfalara klavye ile adres alanına yazarak girmemiz, daha güvenli ve kontrollü bir halde gezinmemize olanak sağlar. Bunun haricinde diğer bir risk alanı ise QR kod okuma uygulamaları, mobil uygulama marketlerinde binlerce QR kod uygulaması mevcut ve bunların da siz doğru adrese gitmek isteseniz ve doğru kodu okutsanız bile, sizleri istedikleri başka bir adrese yönlendirebileceğini unutmayın! Bu yüzden QR kod okuma uygulamaları için mümkünse telefonunuz ile birlikte sunulan varsayılan uygulamaları veya uygulama marketlerindeki güvenilir olduğundan emin olduğunuz uygulamaları tercih edin.

Siber Güvenlik Bülteni - Ekim 2021

 

Bültenimizin Ekim ayına ait başlıkları;  Dropbox Üzerinden Saldırı Hasta Verileri Yine Çalındı Accenture Fidye Yazılımı Saldırısına Uğradı Kurbanların %83'ü Fidye Ödemeyi Kabul Ediyor Üniversitede Veri İhlali

Dropbox Üzerinden Saldırı

İranlı hack gruplarının Dropbox üzerinden Ortadoğu'da havacılık ve telekomünikasyon endüstrilerine yönelik saldırı gerçekleştirildiği bildirildi. Saldırıyı gerçekleştiren grubun MalKamak isimli grup olduğu ve bu grubun İran hükümeti tarafından desteklendiği iddia ediliyor. Bu grubun 2018 yılından beri aktif olarak havacılık ve telekomünikasyon endüstrilerine karşı saldırı gerçekleştirdiği bilinmektedir; grup geçmişte Orta doğu dışında grup ABD, Avrupa ve Rusya'da da benzer saldırılar gerçekleştirdi. MalKamak grubunun saldırdığı kurumlara yerleştirdiği RAT (Remote Access Trojan) ağdan bilgi toplayıp, ağda komut çalıştırmaya olanak sağlamaktadır. MalKamak grubu  içeri yerleştirilen RAT ile olan iletişimi Dropbox API üzerinden sağlamakta, içerideki zararlı yazılımı Dropbox üzerinden güncelleyebilmekte ve bilgi toplamaktadır. Dropbox üzerinden gerçekleştirildiğinden dolayı bu iletişimin ağ izleme araçları tarafından tespiti oldukça zordur. 2018 yılından beri aktif olan zararlı ShellClient'ın günümüze kadar geldiği ve Temmuz 2021 yılında ilk olarak tespit edildiği düşünülüyor. Farklı bir açıdan bakarsak; zararlı yazılımların ne kadar güçlendiği ve hali hazırda güven kazanmış uygulamalar üzerinden de bizlere ulaşabileceği ve 3 yıl sonra ancak tespit edilebildiği de düşünüldüğünde, siber dünyada ne kadar zor bir alanda savunma mücadelesi verdiğimizi unutmamak gerekiyor.

Hasta Verileri Yine Çalındı

Pandemiyle beraber sağlık sektörüne yapılan saldırılar hız kesmeden devam ediyor. Sağlık alanında en çok saldırı hastanelere ve tabiki hasta bilgilerine yönelik olarak gerçekleşiyor. Son gerçekleşen saldırıda bir hastanenin 68,792 hastası etkilendi. KVKK ile birlikte her ne kadar kişisel veriler koruma altına alınmaya çalışılsa da henüz yeterli ölçüde temel önlemler alınmamakta; bir çok kurum veri toplamaya çok rahat bütçe ayırırken maalesef veri koruma konusunda yeteri hassasiyeti göstermemektedir. Dünyada olduğu gibi ülkemizde de hastaneler her geçen gün hedef olmaya ve ciddi anlamda bu saldırılardan etkilenmeye de devam ediyor. Sağlık sektörüne yönelik gerçekleştirilen saldırılar geçtiğimiz yıla göre %30 artmış durumda ve artmaya devam edecek gibi görünüyor. Hastaneye yapılan son saldırıda, hastaların ifşa olan verileri içerisinde ise şu bilgiler yer almaktaydı: Hasta İsimleri Doğum Tarihleri Sosyal Güvenlik Numaraları Ehliyet Numaraları Pasaport Bilgileri Banka Hesap Numaraları Tıbbi Bilgiler (Tanı, Tedavi, Tıbbı Kayıt ve Hasta Bilgileri)

Accenture Fidye Yazılımı Saldırısına Uğradı

Danışmanlık devi Accenture Ağustos 2021'de ifşa edilen bir fidye yazılımı saldırısında özel bilgilerin çalındığını doğruladı. Saldırı Lockbit fidye operatörleri tarafından gerçekleşti ve saldırgan grup 6 terabayttan fazla veri çaldığını iddia ederek, 50 milyon dolarlık fidye talep ettiler. Accenture yetkilileri bir fidye yazılımı sonrasında gerekli yedeklerden sistemin aktif hale getirildiğini belirtirken, hangi verilerin sızdırıldığı noktasında araştırmaların devam ettiğini ancak henüz net bir bilgi olmadığını belirttiler. Operasyonel olarak müşterilerin etkilenmediğini, ancak kurumun finansal olarak sorun yaşayabileceğini öngördüklerini de eklediler. Geçtiğimiz haftalarda yayınlanan FinCEN (ABD Hazine Bakanlığı Mali Suçları Engelleme Ağı) raporuna göre Bitcoin transferlerinin 5.2 milyar dolarlık bir kısmının en popüler 10 fidye yazılımı ödemelerine ait olduğu düşünülüyor. Bu kadar büyük bir ekonomik değer hesaba katıldığında, bundan sonraki dönemlerde de Accenture gibi büyük ölçekli firmalara milyon dolar seviyesinden fidye talep edilen saldırıların devam edeceği öngörülüyor ve unutmamak gerekir ki fidye saldırıları sadece büyük şirketleri değil, verisi olan her kurumu ve şahsı da tehdit eden bir saldırı türü olmaya devam ediyor.

Kurbanların %83'ü Fidye Ödemeyi Kabul Ediyor

Uluslarası bir kurumun yaptığı araştırmaya göre son 12 ayda fidye yazılımı saldırısına denk gelen kurumların %83'ü fidyeyi ödemekten başka çarelerinin olmadığını düşünüyor. 300 ABD'li BT yöneticisi ile yapılan ankette kurumların %64'ünün son 12 ayda en az bir kere fidye yazılımı saldırısına uğradığı belirtiliyor. Yine anketten ortaya çıkan diğer sonuçlar ise fidye yazılımı saldırısı sonrasında kurumların %50'sinin gelir kaybı ve itibar kaybı yaşadığını, %42'sinin ise müşteri kaybettiğini gösteriyor. Durum böyle olunca da birçok kurum fidye ödemekten başka çaresi olmadığını tekrar ediyor. Ankete katılan BT yöneticileri fidye saldırıları vektörlerini şu şekilde sıralıyor: - %53'i e-posta - %41'i uygulamalar - %38'i bulut sistemleri kaynaklı. Saldırıların pandemiyle beraber artış gösterdiği ve kurumlarında buna yönelik bütçelerini artırdığı görülüyor, saldırıya uğrayan kurumların %93'ü bütçe artırımına gidiyor. Ama unutmamak gerekir ki bu saldırılarda para kaybından daha da önemli olanı "itibar" ve "güven" gibi yıllara yaygın birikimlerin kaybını engellemektir; bundan dolayı bu tür saldırılara karşı profesyonel destek almak ve saldırılara karşı hazırlıklı olmak gerekiyor. Gerek saldırılara karşı önceden tedbir almak, gerekse saldırı anında destek almak üzere bizlere ulaşabilirsiniz. https://www.isr.com.tr/#SiberGuvenlik

Üniversitede Veri İhlali

ABD'de bir üniversitede eski ve yeni öğrencilere ait kişisel veriler sızdırıldı. Saldırıya uğrayan Colorado Üniversitesi yayınladığı güvenlik bildiriminde yaması uygulanmamış yazılımdaki güvenlik açığından kaynaklandığını belirtti. Uygulama öğrenci bilgilerini barındırıyordu ve zafiyetten kaynaklı olarak uygulamadan öğrencilere ait; adları, okul numaraları, adresleri, doğum tarihleri ve telefon numaraları gibi bilgiler sızdırıldı. Konuyla alakalı olarak öğrenciler bilgilendirildi ve gerekli yamalar yapıldı; fakat yamanın 3 ay önce yayınlandığı ve kurumdaki saldırının başarılı olmasının Bilgi İşlem ekibinin yamayı yapmakta gecikmesinden kaynaklı olduğu ortaya çıktı. Çalınan verilerin henüz nerede ne şekilde kullanıldığı konusunda ise herhangi bir bilgi bulunmamaktadır.