02 Şubat 2022

Siber Güvenlik Bülteni - Ocak 2022

 

Bültenimizin Ocak ayına ait başlıkları; 

  • 2021'de Finansal Siber Saldırılar
  • Fidye Yazılımı Hapishaneye Denk Geldi !
  • Sağlık Verileri İhlal Edildi
  • Linux Zararlı Yazılımları Artmaya Devam Ediyor
  • QR Kodlara Dikkat

 2021'de Finansal Siber Saldırılar

Bankacılık, Finans, Sigorta ve Menkul Kıymetler gibi kritik sektörler yoğun olarak BT sistemlerine bağlı şekilde gelişmekte. Hal böyle olunca siber saldırganlar tarafından en büyük hedef haline gelmesi kaçınılmaz oluyor. Fortune 500'ün 20 şirketinden sızdırılan 3,3 milyondan fazla kayıtla 6.472 ihlal ve veri sızıntısı tespit edildi. Sızan veri miktarı son iki yılda 6 kat oranında artmış durumda. Finans sektörünün diğer tüm sektörlere göre yaptığı yatırımlar ise %40 daha fazla.

2021 yılındaki siber saldırıların ve özelliklerinin listesi aşağıdaki şekilde belirmiş durumda;

Zararlı Yazılımlar;

Yapılan araştırmalar gösteriyor ki zararlı yazılımların küresel çapta birden fazla sektörde mali kayıplar haftada yaklaşık 115,4 milyar dolara yükseldi.

  • Tedarik zinciri saldırıları artmaya devam ediyor, zararlı yazılımlar ile ağa sızan saldırganlar kuruma özel gizli verileri sızdırıyor.
  • Zararlı yazılımları yaymak için kullanılan en etkili yöntemlerden biri "Google Adsense"; kötü niyetli kampanyalar kullanılıyor.
  • Kötü amaçlı yazılımlar, sosyal mühendislik yöntemleriyle iletilen sahte zararlı dosyaları hâlâ aktif olarak kullanıyor.
  • Saldırganlar, kurumlar tarafından kontrolü zor olan mobil cihazları hedefliyor.


APT Saldırıları

APT; siber suçluların kurbanın ağında uzun süreli ve kalıcılığı artırmaya yönelik saldırıları ile gerçekleştirmektedir. Saldırı planı, hedeflenmiş kuruluşların zayıf noktalarını tespit edip, saldırılmasına yöneliktir.

  • Saldırılar kurum ağına yerleşmek ile başlar ve yanal hareketler ile ağda yayılmaya, ilerlemeye başlar.
  • Sonraki aşamada uzaktan erişim elde etmek ve sistemde komutları vermek için arka kapı oluşturulur. 2021 yılında en çok kullanılan yazılım "Cobalt Strike" olmuştur.
  • Keşif aşamasında kurum ağının alışkanlıkları tespit edilir ve buna göre saldırı zamanı planlanır.
  • Sonraki aşamalarda, kurumun içerisinde toplanan bilgiler dahilinde veri sızdırma, veri şifreleme, ATM ağlarını riske sokmak gibi tercihler de olabilmektedir.


Sosyal Mühendislik

Sosyal mühendislik uzun süredir hayatımızda olan ve halen en tehlikeli saldırılardan biridir. Yapılan araştırmalar çalışanların %43'ünün şirketlerini potansiyel olarak saldırıya maruz bırakmakta olduğunu göstermektedir.

  • Epostalar yoğun olarak sosyal mühendislik saldırılarında kullanılan en etkili yöntemdir. Amaç kullanıcıyı dolandırıcılık için hazırlanan web sitesini ziyaret etmeye veya virüslü bir dosyayı indirmeye motive etmektedir.
  • Sosyal mühendislik odaklı zararlı yazılımlar, kişileri dolandırıcılıkta kullanılan web sitesine ziyaret etmeye yönlendirmektedir.
  • Kişilerin iyi niyetlerini suistimal ederek, yanlış yapmaya sevk etmektedir.
  • Kimlik avı saldırıları, saldırganlar ağa girdikten sonra hızlıca giriş noktalarını aşmaya yardımcı olmaktadır.


Üçüncü Parti Uygulamalar

Üçüncü parti uygulamalara yapılan saldırılar büyük finans kurumlarını ciddi anlamda zora sokmaktadır. Geçtiğimiz yıllarda büyük kurumları hedefleyen saldırganlar, son dönemlerde daha kolay lokma olarak gördükleri üçüncü parti firmaları hedefleyerek başarıya ulaşmışlardır.

  • Büyük finans kurumlarına saldırılar gerçekleşirken, çok karmaşık olmayan bir saldırı ön plana çıkıyor, bir tedarikçi gibi kurum ile iletişime geçen ve başarılı olan saldırgan grupları görülüyor.
  • Finansal kurumların web sitelerini klonlayarak kullanıcıların ve çalışanların bilgilerini ele geçirmeye yönelik saldırılar da gerçekleşmektedir.
  • Mobil cihazların erişilebilirlik hizmetlerinden faylanarak, uzaktan erişim imkânı sağlayan zararlı yazılımlar ile kişinin kimlik bilgileri ele geçirilerek kurumlara bir çalışan gibi sızılabilmekte.
  • Kurumların destek ve hizmet aldığı daha ufak ölçekteki şirketlere sızılarak, büyük kurumlara olan direkt iletişim/erişim kanalları ile büyük kurumların ağlarına sızma gerçekleştirilebilmekte. Burada büyük finans kuruluşları ve birçok büyük kurum, bu tür saldırılara maruz kalmamak için, üçüncü parti firmaların kendilerini referans olarak kullanmasına izin vermemektedir.


Finans sektörü için yukarıda bahsettiğimiz riskler ve saldırı metotları diğer sektörlerde de çok farklı olmamaktadır. Şirketler bu tür saldırı yüzeylerini iyi analiz etmeli ve bunlara karşı iyi bir siber güvenlik planlaması yapmalılar. Bu konuda tecrübeli, analiz yeteneği güçlü, saldırı metotlarını hem ofansif hem de defansif olarak irdeleyebilen bir destek ihtiyacınızda ISR Bilgi Güvenliği'ne danışabilirsiniz.

Fidye Yazılımı Hapishaneye Denk Geldi!

Geçtiğimiz hafta hapishane sistemlerine fidye yazılımı saldırısı gerçekleşti! Saldırı ile hapishane kameraları devre dışı bırakılarak, mahkûmlar ise hücrelerine hapsedildi. Hapishane personeli, hücrelerine hapsolan mahkûmları çıkarmak için manuel olarak müdahale etmek durumunda kaldı.

Aynı saldırganlar ilçedeki nüfus işlerini; evlilik cüzdanı verilmesi, seçmen kayıtları ve emlak işlemlerini de engelleyerek bizlere fidye yazılımlarının sınırının ne kadar genişleyebildiğini hatırlatıyor.

ABD'de yapılan araştırmada belirtildiği üzere, resmî makamlara ulaşan bilgilere göre 2021 yılında fidye yazılımlarına 500 milyon dolardan fazla ödeme yapıldı. Bu rakamların sadece resmî kurumlara gelen bilgiler olduğu düşünüldüğünde saldırıların geçmişe kıyasla ne kadar büyük bir pazara ulaştığını gözardı etmek mümkün değil.

Bu haberden yola çıkarak 2022'deki fidye saldırılarına kısaca değinmek gerekirse; fidye yazılımları artık büyük saldırgan gruplar tarafından bayilik yoluyla birçok alt gruplara hizmet olarak verilerek, ölçeğini büyütmeye devam ediyor. Yedekleme sistemleriyle beraber şirketler fidye yazılımlarına karşı fidye ödemelerini azaltmaya başlamıştı fakat fidye yazılımları artık, verileri şifrelemeye ek olarak hassas verileri de dışarı çıkartıp şirketleri veri hırsızlığı ile vurmaktalar.

2022 yılı itibariyle ağırlıklı olarak fidye yazılımlarının veri şifrelemek yerine, sızdırma faaliyetlerine ağırlık vereceği öngörülüyor.

Kripto paraların ise bu konuda saldırgan grupların işini fazlasıyla kolaylaştırdığını biliyoruz. Bu ödemeleri engellemeye yönelik çeşitli devletlerin getirdiği birçok yasak dahi mevcut, bu yasakların saldırıları azaltacağı inanılıyor fakat buna istinaden saldırgan grupların paralarını almak için gasp ettiği şirketlere NFT satışı yaparak, fidyeleri aklayacağı da öngörülmekte.

Bu saldırıları azaltmanın en önemli etkenleri; dijital süreçlerin iyi planlaması ve sistemlerin saldırıya karşı korunaksız, rahat erişilebilir durumda olmaması.

Sağlık Verileri İhlal Edildi

Florida'da bulunan hastane sistemi Broward Health yaşanan bir veri ihlalinden 1,3 milyondan fazla kişi etkilendi. 30'dan fazla sağlık tesisi işleten Broward Health'in etkilenen kişileri bilgilendirmesiyle açığa çıktı. Açıklama 1 Ocak'ta gerçekleştirildi, 15 Ekim'de sisteme erişim sağlandığı ve 19 Ekim'de izinsiz girişin keşfedildiği belirtildi.

İhlali gerçekleştirilen veriler içerisinde kişilere ait; ad, soyad, doğum tarihleri, iletişim bilgileri (adres ve telefon numaraları), ehliyet numaraları, sosyal güvenlik numaraları, finansal bilgileri, sigorta verileri ve tıbbı bilgiler (teşhisler, tıbbı geçmiş, tedavi vs.) yer almaktadır.

Kurum, çalışanlarının şifrelerinin sıfırlandığını, tüm sistemlerde çok faktörlü kimlik doğrulama uyguladığını ve ağa erişimi olan 3. parti cihaz ve uygulamalar için minimum güvenlik gereksinimlerini uygulamaya başladığını açıklamıştır.

Dijitalleşme ile beraber hastaneler kişisel ve özel bilgileri fazlasıyla dijital ortamda barındırmaktadır, bu bilgileri korumaya karşın alınan önlemler maalesef yetersiz kalmaktadır, ayrıca bu bilgilerin kritikliği hakkında da birçok kuruluş yeteri farkındalığa sahip değildir. Bu tür saldırılara karşı önceden hazırlıklı olmak üzere, bilgi güvenliği adımları atılmalı ve süreçler bu çerçevede güncellemelidir. Bu konuda yardım ihtiyacınız bulunuyorsa, ürünlerimiz ve hizmetlerimiz hakkında bilgi almak için bizlere ulaşabilirsiniz. 

Linux Zararlı Yazılımları Artmaya Devam Ediyor

Linux cihazları hedefleyen zararlı yazılım bulaşmalarının sayısı 2021'de %35 arttı ve zararlı yazılımlar en yaygın olarak DDoS saldırıları için IoT cihazlarını kullandı.

IoT cihazlar genellikle Linux dağıtımları kullanılan, belirli fonksiyon çerçevelerinde çalışan akıllı cihazlardır. Bu cihazlar tek başına saldırılar odağında yeterli etkiyi sağlayamasa dahi, birçok IoT cihazının birlikte saldırıya aracı (kurban olarak) kullanıldığında büyük DDoS saldırıları gerçekleştirdiğini geçtiğimiz dönemlerde dünyanın görülen en büyük saldırılarında görmüştük.

2021'de saldırı verileri incelendiğinde karşımıza çıkan bazı istatistikler;

  • 2021'de Linux sistemlerini hedefleyen zararlı yazılımlar 2020'ye kıyasla %35 oranında arttı.
  • XorDDoS, Mirai ve Mozi; 2021'de gözlemlenen tüm Linux hedefli zararlı yazılım saldırılarının %22'sini oluşturan en yaygın ailelerdi.
  • Mozi ailesi, 2020'ye kıyasla yaklaşık 10 kat büyüme kaydetti.
  • XorDDoS ise 2020'ye kıyasla %123'lük bir büyüme kaydetti.

QR Kodlara Dikkat

FBI, kimlik bilgileri ve finansal bilgileri hedefleyen kötü amaçlı QR kodlar ile yapılan saldırılar hakkında uyarıda bulundu. Bilindiği üzere QR kodlar uzun zamandır hayatımızda ve birçok kullanıcıyı kampanya odaklı sitelere veya uygulamalara yönlendirmek için fazlasıyla kullanılıyor, son yıllarda finansal teknolojilerde hızlı ödeme gibi gelişmiş alanlarda da karşımıza çıkıyor.

Bu duruma göre saldırı senaryosu kuran saldırganlar potansiyel kurbanlarını kandırmak için orijinal QR kodları kendi hazırladıkları sahte sayfalara yönlendiren QR kodlar ile değiştirerek, kurbanların kişisel bilgilerini, finansal bilgilerini ele geçirmek veya cihazlarına zararlı yazılım yüklemek için kullanıyor.

Bu yüzden herhangi bir QR kod okuturken yönlendirilen adresin gerçekten gitmek istediğimiz adres olduğundan emin olmalıyız, yoksa ele geçirilen bilgiler ile ciddi finansal kayıplar yaşayabiliriz.

Artık birçok kurumun kampanyalarını bile QR kod üzerinden mağazalarında paylaştığına, restoranların menülerini QR kod üzerinden paylaştığına şahitlik ediyoruz. Bu yüzden mümkün olduğunca erişmek istediğimiz sayfalara klavye ile adres alanına yazarak girmemiz, daha güvenli ve kontrollü bir halde gezinmemize olanak sağlar.

Bunun haricinde diğer bir risk alanı ise QR kod okuma uygulamaları, mobil uygulama marketlerinde binlerce QR kod uygulaması mevcut ve bunların da siz doğru adrese gitmek isteseniz ve doğru kodu okutsanız bile, sizleri istedikleri başka bir adrese yönlendirebileceğini unutmayın! Bu yüzden QR kod okuma uygulamaları için mümkünse telefonunuz ile birlikte sunulan varsayılan uygulamaları veya uygulama marketlerindeki güvenilir olduğundan emin olduğunuz uygulamaları tercih edin.

10 Ocak 2022

Siber Güvenlik Bülteni - Aralık 2021

 

Bültenimizin Aralık ayına ait başlıkları; 
  • 2021 Popüler Siber Tehditler
  • KMSPico Gözünü Kripto Cüzdanlara Dikti
  • Siber Hayatta Omicrona Dikkat
  • QNAP NAS Cihazları Kripto Madencilerinin Yine Hedefinde
  • Siber Saldırganlar Pasaportlarımızı Hedef Aldı

2021 Popüler Siber Tehditler

Gerçek dünyamızda 2021'de pandeminin etkileri devam ederken, aynı hareketlilik siber dünyada da hızını sürdürdü. 2021'de yerli ve yabancı çok büyük şirket yine siber saldırılara uğradı ve bunun sonuçları hem şirketleri hem de bizleri etkiledi.

Bu yıl süresince gerçekleşen saldırılardan gördük ki, geçtiğimiz 2020 yılında yaşanan saldırılardan ders aldıklarımızın haricinde,  halen ders alamadığımız birçok saldırıya maruz kalınmış. 2022 yılının geçmiş yıllarda yaptığımız hatalardan uzak, temel dinamiklerin dikkate alındığı, farkındalığı yüksek ve daha güvenli bir yıl olmasını dileriz.



2021'in Popüler Tehditleri

Fidye Yazılımları

Sistemlerimize bulaştıktan sonra dosyalarımızı etkileyen Fidye yazılımları 2021'de zirvedeki yerini koruyor ve öyle görünüyor ki 2022'de de zirvede kalacak. Bir önceki yıla göre %93 oranında artarak hızla büyümeye devam ediyor.

Bulut Zafiyetleri
Bulut çözümlere olan ilgimiz her geçen gün artmaya devam ediyor; fakat 2021 yılında yine yanlış yapılandırmalar sonucunda birçok kurum verisi ifşa oldu. Unutmamak lazım ki bulut sistemler genel çözümleri sunan bir teknolojidir, doğru, özgünleştirilmiş olarak konumlandırılması gerekmektedir. Doğru konumlandırılmayan hiçbir sistem sizlere güvenlik vaat edemez.

Oltalama Saldırıları
Kimlik avı saldırıları kurumları hedefleyen en büyük risklerden biri olmaya devam ediyor, uzun yıllardır hayatımızda olan oltalama saldırıları günümüzde de hâlâ en çok kullanılan saldırı yöntemlerinden birisidir. Kullanıcı odaklı olduğundan, farkındalığı düşük kullanıcılar hedeflendiğinde başarı oranı çok yüksektir. Veri ihlallerinin %36'sı oltalama saldırıları sayesinde gerçekleşmektedir ve önceki yıla göre %22 oranında bir artış gözlemlenmektedir.

Sosyal Mühendislik
Kullanıcıyı kandırmak ve manipüle etmek sistemde başarı sağlamak açısından çok değerli sonuçlar üretir. Zira güvenlik sistemlerinin ele geçirilmiş olan bir kullanıcının hareketlerini gerçek kullanıcıdan ayırt etmesi oldukça zordur.

Gecikmeli Yamalar - Yama Yönetimi
Birçok saldırı yaması yapılmamış yazılımlar üzerinden başlar. Yazılımlarda çıkan zafiyetler sonucu, direkt hedef haline gelen sistemler saldırıya maruz kalır. Bu yüzden yama yönetimi ciddi bir süreç takibi gerektirir. Yamaların hiç uygulanmaması veya gecikmeli olarak uygulanması saldırıların daha kolay başarıya ulaşmasını sağlamaktadır.

IoT Zafiyetleri
IoT hayatımızda vazgeçilmezlerden biri haline geldikçe hackerların da dikkatini çekmeye devam ediyor. Artık kullandığımız birçok cihaz internete bağlanıp, birbirleriyle iletişime geçiyor. Kullanış kolaylığından ötürü birçok kurum IoT'leri süreçlerine katmaya devam ediyor. Bu kullanım kolaylıkları ise riskleri ile birlikte geliyor. Dünyanın en büyük DDoS saldırılarının IoT'ler kullanılarak gerçekleştirilmiş olmasından görüldüğü kadarıyla bu yıl olduğu gibi yeni yılda da IoT'ler saldırı vektörleri olarak karışımıza çıkacaktır. Fortune Business raporuna göre 2026 yılında IoT pazarının 1.1 trilyon dolara ulaşması bekleniyor.

Kripto Hırsızlığı
Siber suçlular tarafından kripto para madenciliği için insanların cihazlarının (bilgisayarlar, sunucular, akıllı telefonlar ve tabletlerin) yetkisiz olarak kullanılmasıdır. Kripto para madenciliği çok yüksek işlem gücü gerektirmektedir, siber suçlular da bu güce maddi olarak ulaşamadığından hedef seçtikleri kurbanların sistemlerini bu iş için kullanmaktadır. Birçok kurum satın aldığı sistemlerde performans kaybı olduğunu gözlemlemekte ve bunun sıradışı nedenlerinden birinin de kripto para madenciliği için kullanılan zararlı yazılımlardan kaynaklı olduğu bilinmektedir. Kısa vadede tespit edilebilen performans kaybının yanı sıra enerji maliyetinin artması, cihazlarda aşınmanın hızlanarak arıza riskinin artması gibi orta vadeli zararları da büyüktür.

Form Hırsızlığı
Form hırsızlığı genellikle bir web sayfasındaki forma JavaScript kodu enjekte edilmesi ile, kullanıcının forma bilgileri girdiği esnada kötü amaçlı kodun bu bilgileri saldırganların belirlediği yere göndermesi ile gerçekleştirilmektedir. Genellikle bu tür saldırılar, e-ticaret firmalarının ödeme sayfası üzerinde gerçekleştirilir. İnternet Güvenliği Tehdit raporuna göre her ay ortalama 4.800 web sitesinde form hırsızlığı koduyla güvenlik ihlal ediliyor.

3. Parti (Taraf) Zafiyetleri
Birçok kurumda her süreç için kendi başına teknik çözüm geliştirme imkânı bulunmamaktadır ve bu ihtiyaç dolayısıyla farklı firmalardan ihtiyaçlarına özgün çözümleri bularak tedarik etmektedir. Bir başka firmadan temin edilen bu çözümlerin de zafiyetleri aynı zamanda kullanıcı kurumun da bir zafiyeti haline gelmektedir ve bu ürünler aracılığıyla sakladığınız veya işlediğiniz veriler ihlal edilebilmektedir. Her firmanın güvenlik süreçlerinin aynı olmadığı dikkate alınarak, ürün temin edilen 3ncü taraf işletmelerin de güvenlik süreçleri de gerek duyulan düzeyde irdelenmelidir.

VPN Sistemleri
Pandemiyle birlikte uzaktan çalışmaya hızlı bir geçiş yaşandı ve birçok kurum bu geçişlere hazırlıksız yakalandı. VPN kullanmaya yeni başlayan birçok kurum oldu. Bu yıl VPN servisi sunan firmalar açısından çok zorlu bir yıl oldu ve birçok VPN servis ve ürünlerinde çıkan zafiyetler sonucunda kurumsal ağlara da erişimler elde edildi.

KMSPico Gözünü Kripto Cüzdanlara Dikti

KMSPico, lisansları hileli bir şekilde etkinleştirmek için Windows Anahtar Yönetim Hizmetleri (KMS) sunucusunu taklit eden lisans hırsızlığı dünyasında popüler bir Microsoft Windows ve Office ürün etkinleştiricisidir. Saldırganlar, kripto para cüzdanlarını ele geçirmek için değiştirilmiş KMSPico'yu tekrardan piyasaya sürüyor!

KMSPico kullanan bireysel kullanıcı haricinde, kurumsal şirketler de sanıldığından çok fazladır. Maalesef Türkiye'de de birçok kurum yeterli sayıda lisansı bütçeleyemediği için KMSPico üzerinden ürünlerini etkinleştirerek kullanmaktadır. Google'da arama yaptığınızda fazlasıyla Official (Resmi) KMSPico dağıtımı yapan alanadlarıyla karşılaşabilirsiniz.

KMSPico kurarken aynı zamanda paralelinde Cryptbot adlı zararlı yazılımı da yüklenmektedir ve arka planda yüklendiğinden kullanıcı bunun farkına varamamaktadır. Aynı zamanda zararlı yazılım kendisini test etmek isteyen sandbox sistemlerine karşı da dirençlidir, çalıştırmamaktadır.

Zararlı yazılımın veri toplayabildiği bazı uygulamalar
  • Atomic cryptocurrency wallet
  • Avast Secure web browser
  • Brave browser
  • Ledger Live cryptocurrency wallet
  • Opera Web Browser
  • Waves Client and Exchange cryptocurrency applications
  • Coinomi cryptocurrency wallet
  • Google Chrome web browser
  • Jaxx Liberty cryptocurrency wallet
  • Electron Cash cryptocurrency wallet
  • Electrum cryptocurrency wallet
  • Exodus cryptocurrency wallet
  • Monero cryptocurrency wallet
  • MultiBitHD cryptocurrency wallet
  • Mozilla Firefox web browser
  • CCleaner web browser
  • Vivaldi web browser

Siber Hayatta Omicrona Dikkat

Pandemi ile beraber her geçen gün yeni varyantların adı ortaya çıkmaya devam ediyor. Bu varyantların hızlı yansımalarını siber dünyada da, saldırılarda görüyoruz. Her yeni isim, yeni bir saldırı türevi olarak karşımıza çıkıyor. Yeni saldırı Omicron üzerinden kurgulandı. Onlarca üniversite Omicron kaynaklı haberler üzerinden kullanıcı adı ve parolası hırsızlığına maruz kaldı.

Bu tür saldırılarda ağırlıklı olarak COVID-19 üzerine araştırma yapan üniversitelerin hedeflenmesi, saldırının planlı olduğunu da ortaya koyuyor. Kasım ayı sonu itibarıyla Omicron'un çok fazla konuşulması, saldırı vektörlerinde Omicron'un sıklıkla kullanılmasına sebep oldu. Bu saldırı senaryoları genellikle Office 365 portalı veya üniversiteye özel portal sayfaları üzerinden kimlik avı saldırılarını içermektedir.

Oltalama saldırıları kurumları en çok tehdit eden risklerin başında gelmektedir. Kurumların donanım ve yazılım yatırımları her geçen gün ciddi bir artış gösterirken, kurumlar çalışanların farkındalığının eksik olması veya dikkat verememesinden dolayı milyonlarca maddi zarara uğramaktadır. Bu tür riskleri ölçmek için Sosyal Mühendislik Testi hizmetleri alabilir, çalışanlarınızın farkındalık durumlarını ölçebilirsiniz, ayrıca farkındalığı artırmak için de kurumunuzda Siber Güvenlik Farkındalık Eğitimleri uygulayabilirsiniz. Kurum içerisinde herkesin farkındalığının artmış olması ile yazılım ve donanıma yapılan yatırımın sürekliliği sağlanır, sonuç olarak güvenliğin sağlanması; performansın, verimliliğin artması, maliyetlerin düşürülmesine de yardımcı olur.

QNAP NAS Cihazları Kripto Madencilerinin Yine Hedefinde

Kripto para madencileri her geçen gün farklı zararlı yazılımlar ile kripto para madenciliğini kurbanların sistemlerini izinsiz kullanarak yapmaya devam ediyor. Yeni zararlı yazılımın ismi Bitcoin Miner [oom_reaper] olarak adlandırıldı ve kurban sistemlerin performanslarını ortalama %50 etkilemektedir. Bu saldırının yeni kurbanı ise tekrar QNAP NAS oldu. QNAP dosya paylaşımı, sanallaştırma, depolama yönetimi ve gözetim uygulamaları için kullanılan Ağa bağlı depolama cihazları üreten bir şirkettir.

QNAP yaygınlığı dolayısıyla bu tür saldırılara farklı zararlı yazılımlar tarafından maruz kalmaya devam ediyor. Bundan önce de eChOraix Ransomware, Muhstik Ransomware veya QSnatch gibi zararlı yazılımlarında hedefi haline gelmişti, CVE-2020-2506 ve CVE-2020-2507 zafiyetlerinden faylanmışlardı. Yeni zararlı yazılımın henüz hangi zafiyeti kullandığı ise tespit edilemedi.

QNAP Tarafından Önerilen, Etki Azaltma Önlemleri

  • QTS ve QuTS hero en son sürüme güncellenmelidir.
  • Ağınızda zararlı yazılım analizi yapabilen sistemlerle takip etmelidir. (TINA)
  • QTS ve QuTS hero > App Center > Malware Remover son sürümünü indirebilirsiniz.
  • Yönetici ve kullanıcı parolalarını güçlendirmelidir.
  • Tüm uygulamalar en son sürüme güncellenmelidir.
  • Vlan segmentasyonu yapılmalı ve QNAP dış erişimlere kapatılmalıdır.

Siber Saldırganlar Pasaportlarımızı Hedef Aldı

Onfido'nun 2022 Identity Fraud Raporuna göre, kimlik sahtekârlığında en çok saldırıya uğrayan kimlik belgesi biçiminin Pasaportlar olduğu açıklandı. Ayrıca raporda belirtildiğine göre sahteciler gerçek bir kimliği taklit etmek yerine, sıfırdan bir belge yaratmayı daha çok tercih ediyorlar.

Bunun yanı sıra COVID-19 ile küresel anlamda başlatılan uygulamalara göre, ülkeler kendi vatandaşlarını korumak için normal fiziksel pasaportlar dışında Aşı Kartı veya Dijital Aşı Sertifikaları gibi yeni kimlik türlerini üreterek ibrazlarını da ülkeye girişlerde zorunlu tutuyor. Hatta birçok ülke seyahat, konser alanları, sinema, restoran gibi kapalı alanlarda aşı kimliği zorunluluğu getirilmiş durumda.

Şu an illegal forumlar üzerinde sahte aşı kimlikleri ortalama 34 dolara satılmaktadır ve oldukça ciddi rağbet gördüğü de söylenebilir.

07 Aralık 2021

Siber Güvenlik Bülteni - Kasım 2021

Bültenimizin Kasım ayına ait başlıkları; 

  • MediaMarkt Fidye Yazılımı Saldırısına Uğradı
  • 2.1 Milyon Kişinin DNA Verileri Çalındı. 
  • FBI, Satın Alma ve Birleşme Yapan Şirketleri Uyarıyor.
  • ABD Hükümeti Hackerlar İçin Kesenin Ağzını Açtı.
  • Pink Botnet 1.6 Milyon Cihaza Bulaştı.

 MediaMarkt Fidye Yazılımı Saldırısına Uğradı

Alman devi MediaMarkt fidye yazılımı saldırısına uğradı.

MediaMarkt 13 ülkede 1,000'den fazla mağazasıyla Avrupa'nın en büyük tüketici elektroniği mağaza zinciridir, yaklaşık 53,000 çalışanı vardır ve yıllık cirosu 20.8 milyar Euro'dur.

Saldırı, Almanya ve Hollanda'da da BT sistemlerinin kapanmasına ve depolama operasyonlarının kesintiye uğramasına sebep oldu. Hive fidye yazılımı şirket sistemlerine pazarı pazartesiye bağlayan gece vurdu ve sabah tüm sistemlerin şifrelendiği görüldü. Almanya ve Hollanda ağırlıklı olsa da Avrupa'da birçok mağaza da durumdan etkilendi. Şirket online satışlarına devam ederken, yazar kasalar üzerinden ödeme alınamadı, makbuz kesilemedi ve iade taleplerine cevap veremez duruma gelindi.

Yapılan analizlerde yaklaşık 3,100 sunucunun etkilendiği belirtiliyor.

Hive fidye yazılımı grubu, MediaMarkt'tan şifre çözmek için ütopik bir ücret talep etti; 240 milyon dolar. Şimdiye kadar talep edilen en yüksek fidyelerden biri olduğunu söyleyebiliriz fakat bu rakamların, büyük şirketlerde pazarlığa başlamak amaçlı seçildiğini de biliyoruz. Hive grubu talep edilen fidyenin verilmemesi karşılığında bazı dosyaları ifşa edeceğini de açıkladı.

Saldırgan Hive grubuna da kısaca değinmek gerekirse;

  • Genellikle oltalama saldırıları ile elde ettiği bilgileri kullanarak sisteme sızarlar.
  • Sisteme sızdıktan sonra ağda yatay (yanal) hareketler ile tüm sistemlere ulaşmaya çalışır.
  • Ulaştığı sistemleri hızlıca şifrelemeye başlar.
  • Mağdurun yedeklerden sistemi eski haline getirememesi için tüm yedekleri de silmeye odaklanır.
  • Linux ve FreeBSD sistemlerini şifrelemek içinde varyant geliştirmekte ve kullanmaktadırlar.
  • Şimdiye kadar yapılan saldırılar incelendiğinde herhangi bir hedef sektörü bulunmamaktadır.


Hive grubu Ağustos ayında da Memorial Sağlık Grubuna saldırmış ve tüm kurumda sistemleri etkisiz hale getirerek, çalışanları kağıt tablolar üzerinde çalışmaya zorlamıştı.

 2.1 Milyon Kişinin DNA Verileri Çalındı.

ABD merkezli DNA test şirketi DNA Diagnostics Center (DDC) 2,102,436 milyon kişiyi etkileyen bir veri ihlali açıkladı. Şirket, yaptığı incelemelerde, kurum ağına 6 Ağustos'ta sızıldığını fakat veri ihlalinin tespitinin geçtiğimiz haftalarda gerçekleştiğini belirtti. İhlaldeki verilerin 2004 - 2012 yılı arasındaki yedeklerden elde edildiği, hali hazırdaki sistemlerden ihlal olmadığını da eklediler.

DDC bünyesinde 1995 yılından itibaren 20 milyondan fazla DNA testi gerçekleştirmiştir. Bu testler içerisinde babalık, göçmenlik, COVID19DNA ilişkisi ve doğurganlık gibi kritik testler de yer almaktadır.

Günümüzde saldırı vektörleri her geçen gün şiddetini ve insan hayatına olan etkisini artırmaya devam ediyor. Sağlık sektörü son zamanlarda ciddi anlamda saldırıya maruz kalıyor ve her saldırı diğerinden daha güçlü ve etkili olmaya devam ediyor.

KVKK'nın da etkisiyle birçok kurum bu alanda çalışma gerçekleştiriyor fakat KVKK gibi regülasyonlar sadece standardı sağlamak içindir, kurumların kendilerine özel olarak belirlenmiş stratejik kapsamlar dahilinde detaylı tespit çalışmaları yaptırmaları bu tür saldırılara karşı önceden hazırlık olmasını sağlayacaktır.

 FBI, Satın Alma ve Birleşme Yapan Şirketleri Uyarıyor.

Fidye yazılım gruplarının saldırıları hız kesmeden devam ediyor. Fidye ödeyen kurumların çokça olmasına karşın, ödemeyen kurum sayısının da epeyce fazla olduğu biliniyor. Bu durumu bilen fidye yazılım grupları ödeme alabilmek için bazı stratejik dönemlerde saldırmayı tercih ediyor. FBI; genellikle şirketlerin büyük satın alma veya birleşme durumlarında kurumları hedeflediğini ve bu dönemlerde dikkatli olunması gerektiği konusunda uyardı.

FBI açıklamasında; saldırganların şirketleri genellikle finansal işlemlerinin yoğun olduğu dönemde hedeflediğini kurum itibarına, satın alma ve birleşmeleri engelleme korkusundan dolayı daha yüksek meblağlar alabildiğini belirtmiş. Ayrıca kurumların hisselerinin dalgalanmasını da ciddi anlamda siber saldırılarla etkileyebileceklerinin farkında olduklarından bu dönemlerde şirketleri hedefleyip, başarıya ulaşma oranlarını artırıyorlar.

Saldırıya uğrayan şirketleri ödemeye ikna etmek için, saldırıyı direkt olarak NASDAQ vb. borsalara bildirmekle tehdit ettiklerini de biliyoruz. Bunun yanı sıra 2020'de ise kurumlara sızan saldırganlar çalınan verileri inceleyip, şirkete ait bilançoları, stok durumu gibi şirketi direkt olarak etkileyecek verileri sızdırmakla da tehdit ediyorlar.

FBI ek olarak fidye ödememeleri konusunda birçok şirketi de uyarıyor, çünkü ülkemizde de gördüğümüz vakalarda ödeme sonrası ulaşılamayan birçok saldırgan gruplar mevcut. Ödemeyi yapsanız bile dosyalarınızı kurtarma ihtimaliniz çok düşük ve ödeme yapan kuruluşların ise saldırgan grupları motive ettiğini sonraki yıllarda tekrar tekrar aynı yerlere saldırı yaptıklarından da anlayabiliyoruz. Bu yüzden saldırıya maruz kalmamak adına bazı adımlar atılmalıdır. Bu adımlar hem çözüm için yatırımı hem de danışmanlık gereğini doğurur. Doğru ve bütçe dostu bir çözümü satın almak için ürünlerden bağımsız olarak bir kurumun güvenlik danışmanlığı tercih edilmelidir. Bu konuda destek gerektiren bir durumda bizlere ulaşabilirsiniz.

 ABD Hükümeti Hackerlar İçin Kesenin Ağzını Açtı.

DarkSide ilk olarak Ağustos 2020'de ortaya çıktı ve 15 ülkeden fazla fidye yazılımı dağıttılar. Bu ülkelerde finansal hizmetler, yasal hizmetler, üretim, perakende ve teknoloji başta olmak üzere birçok şirketi hedeflediler ve başarılı oldular.

Mayıs 2021'de ise ABD'nin en büyük yakıtını taşıyan Colonial Pipeline Company boru hattı firmasına saldırdılar ve bu saldırı firmanın sistemlerini kapatmalarına sebep oldu. Saldırıdan dolayı şirketin 1 hafta boyunca ABD'nin Doğu Sahiline yakıt tedariki kesintiye uğradı.

Grup kar amacı gütmeyen kurumlar yerine, finansal analizler gerçekleştirip büyük kurumları hedefliyor ve kurumlardan büyük fidye talep ediyor.

Bu saldırı sonrasında ABD yeni bir plan ortaya koydu. Bu tehlikeli gruba karşı bir ödül programı başlattı; grubun yetkililerinden herhangi birinin tespiti için kişilerin belirlenmesine veya konumlarının belirlenmesine yarayacak bilgi paylaşması sonucunda 10 Milyon Dolar ödül vereceğini açıkladı. Buna ek olarak ABD Dış İşleri Bakanlığı ise gruba destek veren veya destek vermek üzere hazırlananlar hakkında istihbarat veya ihbarda bulunanlara da 5 Milyon Dolar kadar ödül vereceğini açıkladı. Bu girişimlerin nasıl sonuçlar doğuracağını yakın zamanda birlikte takip ediyor olacağız.

 Pink Botnet 1.6 Milyon Cihaza Bulaştı.

Çoğunluğu Çin'de bulunan yaklaşık 1.6 Milyon cihaza bulaşan Pink Botnet şimdiye kadar görülen en büyük botnetlerden biridir.

Pink Botnet kullanıcıların HTTP (web) trafiğine reklam enjekte etmek için kullanılıyor. Araştırmacılar son 6 yıldaki en büyük botnet olabileceğini ve 2019'da günlük 1,962,308 tekil IP'den trafik tespit edildiğini belirtiyorlar.

2020'de ise 5 milyondan fazla IP'den trafik oluştuğunu ve bu IP'lerin arkasında daha fazla cihaz olabileceğini de ekliyorlar. Pink Botnet ağırlıklı olarak MIBs tabanlı fiber routerları hedefliyor. Botnet, siber güvenlik firmalarına yakalanmamak için 3. taraf servisler, P2P ve C&C sunuculardan faydalanıyor.

Pink Botnet, Github ve Baidu Tieba üzerinden de uzak erişimi sağlıyor ve bu erişim için DNS-over-HTTPS (DoH) kullanıyor. Aynı zamanda dosya indirme, sistemde komut yürütme, DDoS atak, cihaz bilgilerini bildirme, ağda tarama yapma, kendi kendini güncelleme, P2P düğüm listesini senkron etme vb. komutları da barındırmaktadır.

03 Kasım 2021

Siber Güvenlik Bülteni - Ekim 2021

 

Bültenimizin Ekim ayına ait başlıkları; 
  • Dropbox Üzerinden Saldırı
  • Hasta Verileri Yine Çalındı
  • Accenture Fidye Yazılımı Saldırısına Uğradı
  • Kurbanların %83'ü Fidye Ödemeyi Kabul Ediyor
  • Üniversitede Veri İhlali

Dropbox Üzerinden Saldırı

İranlı hack gruplarının Dropbox üzerinden Ortadoğu'da havacılık ve telekomünikasyon endüstrilerine yönelik saldırı gerçekleştirildiği bildirildi. Saldırıyı gerçekleştiren grubun MalKamak isimli grup olduğu ve bu grubun İran hükümeti tarafından desteklendiği iddia ediliyor. Bu grubun 2018 yılından beri aktif olarak havacılık ve telekomünikasyon endüstrilerine karşı saldırı gerçekleştirdiği bilinmektedir; grup geçmişte Orta doğu dışında grup ABD, Avrupa ve Rusya'da da benzer saldırılar gerçekleştirdi.

MalKamak grubunun saldırdığı kurumlara yerleştirdiği RAT (Remote Access Trojan) ağdan bilgi toplayıp, ağda komut çalıştırmaya olanak sağlamaktadır. MalKamak grubu  içeri yerleştirilen RAT ile olan iletişimi Dropbox API üzerinden sağlamakta, içerideki zararlı yazılımı Dropbox üzerinden güncelleyebilmekte ve bilgi toplamaktadır. Dropbox üzerinden gerçekleştirildiğinden dolayı bu iletişimin ağ izleme araçları tarafından tespiti oldukça zordur.

2018 yılından beri aktif olan zararlı ShellClient'ın günümüze kadar geldiği ve Temmuz 2021 yılında ilk olarak tespit edildiği düşünülüyor. Farklı bir açıdan bakarsak; zararlı yazılımların ne kadar güçlendiği ve hali hazırda güven kazanmış uygulamalar üzerinden de bizlere ulaşabileceği ve 3 yıl sonra ancak tespit edilebildiği de düşünüldüğünde, siber dünyada ne kadar zor bir alanda savunma mücadelesi verdiğimizi unutmamak gerekiyor.

Hasta Verileri Yine Çalındı

Pandemiyle beraber sağlık sektörüne yapılan saldırılar hız kesmeden devam ediyor. Sağlık alanında en çok saldırı hastanelere ve tabiki hasta bilgilerine yönelik olarak gerçekleşiyor. Son gerçekleşen saldırıda bir hastanenin 68,792 hastası etkilendi. KVKK ile birlikte her ne kadar kişisel veriler koruma altına alınmaya çalışılsa da henüz yeterli ölçüde temel önlemler alınmamakta; bir çok kurum veri toplamaya çok rahat bütçe ayırırken maalesef veri koruma konusunda yeteri hassasiyeti göstermemektedir.

Dünyada olduğu gibi ülkemizde de hastaneler her geçen gün hedef olmaya ve ciddi anlamda bu saldırılardan etkilenmeye de devam ediyor. Sağlık sektörüne yönelik gerçekleştirilen saldırılar geçtiğimiz yıla göre %30 artmış durumda ve artmaya devam edecek gibi görünüyor.

Hastaneye yapılan son saldırıda, hastaların ifşa olan verileri içerisinde ise şu bilgiler yer almaktaydı:
  • Hasta İsimleri
  • Doğum Tarihleri
  • Sosyal Güvenlik Numaraları
  • Ehliyet Numaraları
  • Pasaport Bilgileri
  • Banka Hesap Numaraları
  • Tıbbi Bilgiler (Tanı, Tedavi, Tıbbı Kayıt ve Hasta Bilgileri)

Accenture Fidye Yazılımı Saldırısına Uğradı

Danışmanlık devi Accenture Ağustos 2021'de ifşa edilen bir fidye yazılımı saldırısında özel bilgilerin çalındığını doğruladı. Saldırı Lockbit fidye operatörleri tarafından gerçekleşti ve saldırgan grup 6 terabayttan fazla veri çaldığını iddia ederek, 50 milyon dolarlık fidye talep ettiler.

Accenture yetkilileri bir fidye yazılımı sonrasında gerekli yedeklerden sistemin aktif hale getirildiğini belirtirken, hangi verilerin sızdırıldığı noktasında araştırmaların devam ettiğini ancak henüz net bir bilgi olmadığını belirttiler. Operasyonel olarak müşterilerin etkilenmediğini, ancak kurumun finansal olarak sorun yaşayabileceğini öngördüklerini de eklediler.

Geçtiğimiz haftalarda yayınlanan FinCEN (ABD Hazine Bakanlığı Mali Suçları Engelleme Ağı) raporuna göre Bitcoin transferlerinin 5.2 milyar dolarlık bir kısmının en popüler 10 fidye yazılımı ödemelerine ait olduğu düşünülüyor.

Bu kadar büyük bir ekonomik değer hesaba katıldığında, bundan sonraki dönemlerde de Accenture gibi büyük ölçekli firmalara milyon dolar seviyesinden fidye talep edilen saldırıların devam edeceği öngörülüyor ve unutmamak gerekir ki fidye saldırıları sadece büyük şirketleri değil, verisi olan her kurumu ve şahsı da tehdit eden bir saldırı türü olmaya devam ediyor.

Kurbanların %83'ü Fidye Ödemeyi Kabul Ediyor

Uluslarası bir kurumun yaptığı araştırmaya göre son 12 ayda fidye yazılımı saldırısına denk gelen kurumların %83'ü fidyeyi ödemekten başka çarelerinin olmadığını düşünüyor.

300 ABD'li BT yöneticisi ile yapılan ankette kurumların %64'ünün son 12 ayda en az bir kere fidye yazılımı saldırısına uğradığı belirtiliyor. Yine anketten ortaya çıkan diğer sonuçlar ise fidye yazılımı saldırısı sonrasında kurumların %50'sinin gelir kaybı ve itibar kaybı yaşadığını, %42'sinin ise müşteri kaybettiğini gösteriyor. Durum böyle olunca da birçok kurum fidye ödemekten başka çaresi olmadığını tekrar ediyor.

Ankete katılan BT yöneticileri fidye saldırıları vektörlerini şu şekilde sıralıyor:
- %53'i e-posta
- %41'i uygulamalar
- %38'i bulut sistemleri

kaynaklı.

Saldırıların pandemiyle beraber artış gösterdiği ve kurumlarında buna yönelik bütçelerini artırdığı görülüyor, saldırıya uğrayan kurumların %93'ü bütçe artırımına gidiyor. Ama unutmamak gerekir ki bu saldırılarda para kaybından daha da önemli olanı "itibar" ve "güven" gibi yıllara yaygın birikimlerin kaybını engellemektir; bundan dolayı bu tür saldırılara karşı profesyonel destek almak ve saldırılara karşı hazırlıklı olmak gerekiyor.

Gerek saldırılara karşı önceden tedbir almak, gerekse saldırı anında destek almak üzere bizlere ulaşabilirsiniz.

https://www.isr.com.tr/#SiberGuvenlik

Üniversitede Veri İhlali

ABD'de bir üniversitede eski ve yeni öğrencilere ait kişisel veriler sızdırıldı. Saldırıya uğrayan Colorado Üniversitesi yayınladığı güvenlik bildiriminde yaması uygulanmamış yazılımdaki güvenlik açığından kaynaklandığını belirtti. Uygulama öğrenci bilgilerini barındırıyordu ve zafiyetten kaynaklı olarak uygulamadan öğrencilere ait; adları, okul numaraları, adresleri, doğum tarihleri ve telefon numaraları gibi bilgiler sızdırıldı.

Konuyla alakalı olarak öğrenciler bilgilendirildi ve gerekli yamalar yapıldı; fakat yamanın 3 ay önce yayınlandığı ve kurumdaki saldırının başarılı olmasının Bilgi İşlem ekibinin yamayı yapmakta gecikmesinden kaynaklı olduğu ortaya çıktı. Çalınan verilerin henüz nerede ne şekilde kullanıldığı konusunda ise herhangi bir bilgi bulunmamaktadır.

Popüler Yayınlar