Kategori arşivi: Zararlı Yazılım

Zararlı Yazılım

Hackerlardan ‘Trump’lı sahte video tuzağı

Yorum yapın

Siber güvenlik araştırmacıları, ABD Başkanı Donald Trump’a ait sahte bir videoyu içerdiği iddia edilen ve Uzaktan Erişim Truva Atı (RAT) yerleştirerek gerçekleştirilen yeni bir malspam (zararlı spam) saldırısı ortaya çıkardı.

Siber saldırı,“GOOD Loan Offer!!” (Kredide İyi fırsat) başlığı ve “TRUMP_SEX_SCANDAL_VIDEO.jar” adlı bir Java arşiv (JAR) dosyasıyla birlikte gelen e-postaların indirilmesi sonucunda sisteme Qua veya Quaverse RAT (QRAT) yüklenmesi ile gerçekleşiyor. Bir başka deyişle, gelen dosyaya tıklamak, Qnode Uzaktan Erişim Truva Atı’nın (RAT) Windows işletim sistemli bilgisayarınıza indirilmesine ve bir hackerın bilgisayarınıza ve tüm dosyalarınıza uzaktan erişim sağlamasına yol açabiliyor.

HER ŞEY SPAM MAIL’ E TIKLAMAKLA BAŞLIYOR 

Söz konusu saldırı, Trustwave araştırmacılarının Ağustos ayında keşfettiği Windows tabanlı QRAT indiricisinin bir çeşidi. Bulaşma zinciri, her ikisi de Allatori Java engelleyici kullanılarak şifrelenen bir JAR dosyası (“Spec # 0034.jar”) alan, kötü amaçlı bir zip dosyasına yönlendiren gömülü bir ek ya da link içeren bir spam mesajıyla başlamakta.

Bu birinci kademe indirici, Node.Js platformunu sisteme kuruyor ve ardından kalıcılığı sağlamaktan ve Qnode RAT dosyasını (“qnode-win32-ia32.”) saldırgan tarafından kontrol edilen bir sunucudan çekmekten ve çalıştırmaktan sorumlu “wizard.js” adlı ikinci kademe indiriciyi kuruyor ve çalıştırıyor.  

https://siberbulten.com/dijitalguvenlik/sahte-chrome-guncellemesiyle-binlerce-kisiye-saldirdilar/

 

VAROLAN TRUVA ATINA POP-UP EKLENDİ 

QRAT, sistem bilgilerini alma, dosya işlemlerini gerçekleştirme ve Google Chrome, Firefox, Thunderbird ve Microsoft Outlook gibi uygulamalardan kimlik bilgileri alma gibi çeşitli özelliklere sahip tipik bir uzaktan erişim Truva atı. Bu son saldırıda değişen şey ise kurbana çalıştırılan JAR dosyasının sızma testi için kullanılan bir uzaktan erişim yazılımı olduğunu bildiren yeni bir pop-up (açılır pencere) eklenmesi. Trustwave’in güvenlik araştırmacısı Diana Lopera’ya göre bu açılır pencere uygulamayı meşru gösterme veya sorumluluğu orijinal yazılımı geliştirenlerden alma girişimi olabilir. 

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Zararlı Yazılım

İran’la İsrail arasındaki siber gerilim hız kesmiyor: İran’lı siber korsanlardan İsrailli firmaya fidye yazılım saldırısı

Yorum yapın

İran destekli olduğu öne sürülen fidye yazılımcıları bu kez ABD’li teknoloji devi Intel’i hedef aldı. Yapay zeka uygulamaları için çip geliştiren Intel’e ait İsrailli Habana Labs şirketi bir siber saldırıya uğradı.

Veri merkezindeki yapay zeka iş yüklerini hızlandıran İsrailli bir yapay zeka işlemci geliştiricisi olan Habana Labs’ı, Intel Aralık 2019’da yaklaşık 2 milyar dolara satın almıştı.

Pay2Key adlı fidye yazılımcı grubu, siber saldırı sonucu Habana Laboratuvarlarından çalındığı iddia edilen verileri sızdırdı. Bu veriler arasında Windows domain hesabı bilgileri, domain DNS bölgesi bilgileri ve Gerrit geliştirme kodu inceleme sisteminden bir dosya listesi bulunmakta. Grubun veri sızıntısı sitesinde yayınlanan içeriğe ek olarak, Pay2Key operatörlerinin çeşitli iş dökümanlarını ve kaynak kodu görüntülerini sızdırdığı biliniyor.

SALDIRININ MOTİVASYONU MADDİ DEĞİL SİYASİ

Pay2Key’in veri sızıntısı sitesinde yayınlanan bir mesajda ise Habana Labs’ın “sızıntı sürecini durdurmak için 72 saati olduğunu …” belirtildi.  Verilerin sızdırılmasını durdurmak için ne kadar fidye istendiği bilinmiyor. Siber saldırının, hackerlar için gelir sağlama amacı taşımadığına, daha ziyade İsrail’in çıkarlarını tahrip etmeye yönelik olduğu düşünülüyor. Saldırı ile ilgili açıklama talep eden BleepingComputer’ın Habana Labs’a yaptığı başvuru sonuçsuz kaldı. 

İsrailli şirket yarışma açtı, 16 ülkeden 3500 hacker saldırdı

 

SALDIRININ ARKASINDA İRAN OLDUĞU DÜŞÜNÜLÜYOR

İsrailli siber güvenlik firmaları Check Point ve Profero’nun verdiği bilgiye göre Pay2Key operasyonu, Kasım 2020’de İsrailli işletmelere yönelik gerçekleşen bir dizi saldırı ile kıyaslandığında nispeten yeni bir fidye yazılımı operasyonu. Profero, grubun İranlı Bitcoin borsalarına yaptığı ödemeleri incelemesine binaen söz konusu fidye yazılımı operasyonunun arkasında İranlı aktörler olduğuna inanıyor.

İsrail medyası, tehdit aktörlerinin bu hafta İsrailli nakliye ve kargo yazılımı şirketi Amital’in güvenliğini ihlal ettiğini ve sisteme erişim yoluyla yazılım şirketinin kırk müşterisinin bilgilerine sızma girişiminde bulunduğunu bildirdi. Profero CEO’su Omri Moyal, İran’dan gelecek saldırıların artacağı öngörüsüyle İsrail şirketlerini ağlarını saldırılara karşı güçlendirmeleri konusunda uyardı. 

Verileri çalınan ve ardından sızdırılan İsrail sigorta şirketi Shirbit’e yapılan siber saldırının arkasından da BlackShadow adıyla bilinen diğer bir tehdit aktörü çıkmıştı. Shirbit saldırısı Pay2Key’in saldırılarına benzer olsa da, iki saldırının bağlantılı olup olmadıklarına dair bir bilgi bulunmamakta. 

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Zararlı Yazılım

İsrail Siber Güvenlik Şirketi NSO Group, 25 ülkeye casus yazılım mı satıyor?

Yorum yapın

WhatsApp server’larına geçtiğimiz yıl zararlı yazılım yerleştirdiği iddiasıyla hakkında dava açılan İsrailli gözetleme ve takip şirketi NSO Group bir başka siber güvenlik ihlali iddiaları ile gündemde.

Geçen hafta salı günü yayınlanan bir rapor, telefon görüşmeleri, metinler ve konum verilerini takip etmek için mobil ağ güvenlik açıklarını kullanan özel bir takip-gözetleme şirketinin dünya genelinde aralarında insan hakları ihlallerinin yaşandığı ülkelerin de olduğu en az 25 hükümetle iş birliği yaptığını ortaya koydu.

Toronto Üniversitesine bağlı Citizen Lab’dan elde edilen bulgular, NSO Group’un kardeş firması Circles şirketine işaret ediyor. İnsan hakları grupları, NSO Group’u baskıcı rejimlere ekipman tedarik ettiği gerekçesiyle eleştiriyor. Şirkete geçen yıl Facebook tarafından, teknolojilerinin binlerce WhatsApp kullanıcısını gözetlemek için kullanıldığı gerekçesiyle dava açılmıştı. NSO Group ise iddiaları reddediyor.

LİSTEDE AVUSTURALYA DA VAR ZİMBABVE DE

Citizen Lab’in Circles’ın “muhtemel” müşterileri olarak tanımladığı ülkeler şunlar: Avustralya, Belçika, Botsvana, Şili, Danimarka, Ekvador, El Salvador, Estonya, Ekvator Ginesi, Guatemala, Honduras, Endonezya, İsrail, Kenya, Malezya, Meksika, Fas, Nijerya , Peru, Sırbistan, Tayland, Birleşik Arap Emirlikleri, Vietnam, Zambiya ve Zimbabve.

Citizen Lab ekibi, “Adı geçen ülkelerin bazılarının otoriter yapısı rahatsız edici, ancak şaşırtıcı değil. Geçtiğimiz on yılda, küresel gözetim endüstrisindeki patlama, casus teknolojisinin problemli rejimlere ve güvenlik hizmetlerine devasa bir şekilde transferini tetikledi.” diye yazdı.

40 dakikada Rusya’nın yapay zeka stratejisi: Putin 2030’da ne istiyor?

SS7 AÇIKLARINDAN FAYDALANIYOR

Citizen Lab’a göre, yalnızca ulus devletlere satış yaptığını söyleyen Circles, telekomünikasyon altyapısı olan ve telekominikasyon taşıyıcıları tarafından çağrıları yönlendirmek için kullanılan protokol dizisi Signaling System No. 7’deki açıklardan faydalanıyor. Citizen Lab, SS7’nin bugün sadece 2G ve 3G’de kullanılmasına rağmen bir SS7 networküne bağlı hackerların bir telefona, konum takip etmelerine, telefon çağrılarına ve iki faktörlü kimlik doğrulama metinlerine müdahale etmelerine olanak tanıyan komutlar gönderebildiğini duyurdu.

Öte yandan Circles’in herhangi bir ekipmanının bir kurbanın telefonunda olduğuna dair henüz net bir bilgi bulunmuyor. Ancak Citizen Lab, internet taraması yaparak Circles dağıtımlarında kullanılan Check Point güvenlik duvarlarının sunucu adlarıyla ilişkili benzersiz bir imza bulduklarını açıkladı. Bu tarama da Citizen Lab’i Circles’ın dağıtım yaptığı 25 ülke adına ulaştırdı.

NSO GROUP İDDİALARI REDDEDİYOR

NSO Group, Citizen Lab raporuna ilişkin yorum yapmayı reddediyor. Grup adına konuşan bir sözcü Forbes’a, raporu henüz görmediğini belirtirken her iki şirketin de yüksek etik standartlara sahip olduğunu , Circles’ın arama kurtarma ve “taktiksel jeolojik teknoloji”lere odaklı bir şirket olduğunu ifade ediyor. NSO Group, Citizen Lab raporlarında sıklıkla adı geçen bir topluluk.

Sözcü, “Citizen Lab’ın geçmiş performansı göz önüne alındığında, bunun bir kez daha yanlış varsayımlara dayandığını ve gerçeklerle ilgisi olmadığını düşünüyoruz” şeklinde bir açıklama yaptı.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Zararlı Yazılım

Fidye yazılımcıların hedefinde bu kez Masterchef var

Yorum yapın

Big Brother, The Voice ve Master Chef gibi fenomen TV programlarının yapımcıları fidye yazılımı saldırısıyla karşı karşıya kaldı.

The Voice, Big Brother ve Master Chef gibi ‘reality show’ların yapımcısı olan Amsterdam merkezli prodüksiyon ve dağıtım şirketi Endemol Shine Group, bir fidye yazılımı saldırısına uğradı. Saldırının arkasındaki grubun Microsoft’un Kasım ayında hakkında kamuoyunu uyardığı DopplePaymer olduğu ortaya çıktı.

DopplePaymer, saldırının sorumluluğunu üstlendi. Saldırıda ne kadar veya hangi verilerin çalındığı hala net değil. Verilen bilgiye göre, siber saldırı Endemol Shine Group ve Endemol Shine International ağlarını etkiledi. Firmaya göre olay, hackerların da veri kaybetmesine sebep oldu.

ÇALIŞANLARIN BİLGİLERİNİN YANISIRA TİCARİ BİLGİLER DE AÇIĞA ÇIKTI

Endemol Shine Group’un ana şirketi Banijay, yaptığı açıklamada mevcut ve eski çalışanların bir takım kişisel verilerinin yanı sıra ticari olarak hassas bilgilerin ele geçirilmiş olabileceğini ifade etti. Siber saldırıya uğrayan firma, Big Brother, Masterchef, Fear Factor, Survivor ve benzeri bir çok popüler programın yapımcısı.

Bleeping Computer’a göre DoppelPaymer adlı grup, saldırıyı gerçekleştirdiğine kanıt olarak Endemol Shine’ın veri tabanlarından çalınan çok sayıda dosyayı paylaştı. Bunlar arasında şirketin Genel Veri Koruma Yönetmeliği (GDPR) stadartlarına uygunluk belgesi bile yer alıyor.

Interpol uyardı: Hastaneleri hedef alan fidye yazılımlar artıyor

FİDYE MİKTARI YÜKSEK OLACAK

Bilgisayar korsanlarının firmanın ağına nasıl sızmayı başardıkları, ne kadar fidye talep ettikleri ve Banijay’in fidyeyi ödeyip ödeyemeyeceği konusu henüz net değil. Firmanın devasa büyüklüğü ve DoppelPaymer’in geçmişi göz önüne alındığında, talep edilecek miktarın oldukça büyük olacağı tahmin ediliyor.

Bu yılın başlarında DoppelPaymer, Mitsubishi’yi hedef almıştı. Ayrıca Hall County Georgia sistemlerini de siber saldırı düzenleyen grup, saldırı ile sadece firmanın hizmetlerini aksatmakla kalmadı, aynı zamanda seçmenlerin verilerini de çalmayı başardı. Fidye yazılımı çetesi, ayrıca 1 GB’lık seçmen verilerini şifrelenmemiş biçimde sızdırarak veri kaybı olmadığı iddialarını reddetmişti.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Dijital Güvenlik, Siber Güvenlik, Zararlı Yazılım

2020 yılının kötücül fidye yazılımı trendi: “DarkSide” nedir?

Yorum yapın

DarkSide, Malware Hunter Team tarafından yakın zamanda keşfedildi. DarkSide, dosyaları şifreleyerek, dosya adlarını değiştirerek ve bazı fidye notları oluşturarak mağdurlardan para almak için dosyaları erişilemez hale getirmek üzere bir fidye yazılımı olarak 2020 yılının ortalarından beri gündemde.

DarkSide FİDYE YAZILIMI NE YAPIYOR?

DarkSide, kurbanın kimliğini bir uzantı olarak ekleyerek, şifrelenmiş dosyaları yeniden adlandırıyor. Örneğin, “1.jpg”yi, “1.jpg.d0ac7d95” olarak, “2.jpg”yi, “2.jpg.d0ac7d95” olarak yeniden adlandırır ve bu böyle devam eder. Şifrelenmiş veri içeren her klasöre ise “README.[Victim’s_ID].TXT” fidye notunu bırakıyor.

Aşağıdaki görselde şifrelenmiş dosyaları görebilirsiniz:

Fidye notunda belirtildiği gibi DarkSide fidye yazılımı, verileri güçlü şifreleme algoritmalarıyla şifreliyor. Böylece mağdurlar, kötü amaçlı yazılımın arkasındaki siber suçlulardan satın alınabilecek bir yazılım olmadan dosyaların şifresini çözemiyor. Mağdurlar, fidye ödemeyi reddederlerse (şifre çözme yazılımı satın almazlarsa) tüm verilerinin belirli bir web sitesinde yayınlanacağı ve en az 6 ay boyunca saklanacağı konusunda uyarılıyor.

Kullanıcıları, güvenliği ihlal edilmiş verilerinin şifresini çözmek için fidye ödemeye teşvik eden bir mesajın ekran görüntüsünü aşağıda görebilirsiniz:

FİDYE MİKTARI 200 BİN DOLAR İLE 2 MİLYON DOLAR ARASINDA 

Fidyenin nasıl ödeneceğine ilişkin talimatlar ve şifre çözme yazılımının fiyatı gibi diğer ayrıntılar, fidye notundaki bir bağlantı (“README. [Kurbanın_Kimliği] .TXT” metin dosyası) aracılığıyla erişilebilen ‘Tor’ web sitesinde yayımlanıyor.

Interpol uyardı: Hastaneleri hedef alan fidye yazılımlar artıyor

DarkSide’ın arkasındaki siber suçluların büyük şirketleri hedef alıyor olması kimseyi şaşırtmayacak. Çünkü DarkSide operatörlerinin fidye talepleri 200.000 ila 2.000.000 dolar arasında değişiyor. Siber suçlular şifre çözme yazılımlarının ise 3 gün içinde alınmasını istiyor. Aksi takdirde fiyat iki katına çıkıyor.

Aşağıda istenilen fidye miktarını ve fidye belirlenen sürede ödenmediğinde iki katına çıkacağına dair uyarıları görebilirsiniz:

 

DOSYALARINIZIN ŞİFRELERİNİ YALNIZCA DOSYALARINIZI ŞİFRELEYENLER ÇÖZEBİLİYOR

Fidye yazılımı saldırısının kurbanı olmanın en büyük sorunu ise belirli bir fidye yazılımının arkasındaki siber suçluların, kurbanın dosyalarının şifresini çözebilecek araçlara sahip olan tek kişiler olmasıdır.

Ne yazık ki, DarkSide tarafından şifrelenen dosyaların şifresini çözebilecek başka hiçbir araç yok, tabii siber suçlular dışında. Bununla birlikte şifreleri sadece hackerların çözebilecek olması, siber suçlulara fidye ödemenin sizin için tek seçenek olacağı anlamına gelmiyor. Çünkü siz fidyeyi ödeseniz bile çoğu zaman size şifre çözme aracı veya anahtar göndermiyorlar. Basitçe söylemek gerekirse, fidye ödeyen kurbanlar genellikle dolandırılıyor.

Kendi başınıza dosyalarınızın şifresini çözmenizin iki yolu var. Birincisi eğer fidye yazılımında bazı hatalar, kusurlar veya açıklar varsa bu yollardan hareket ederek dosyalarınızın şifresini çözebilirsiniz. Siber suçlulardan herhangi bir şey satın almak zorunda kalmadan veri kaybını önlemenin diğer yolu ise dosyalarınızı yedekten geri yüklemektir. Tabii yedeklediyseniz.

Aşağıdaki görselde Darkside’ın veri sızdırdığı internet sitesini görebilirsiniz:

 

KENDİNİZİ FİDYE YAZILIMI SALDIRILARINDAN NASIL KORUYABİLİRSİNİZ?

Çeşitli tehditlerin üstesinden gelmek için, kuruluşlara ve kullanıcılara aşağıdakileri ufak ama önemli önerileri söyleyebiliriz:

  • Uygulamaları yalnızca resmi uygulama mağazalarından indirin.
  • Güvenilmez kaynaklardan gelen e-postalardan veya diğer mesajlardan bağlantıları tıklamayın ve ekleri asla indirmeyin.
  • En son güvenlik açıklarının yamalandığından emin olmak için yazılım ve uygulamaları düzenli olarak güncelleyin.
  • Sistemlerinize, tehditleri engelleyebilen ve bunlara karşı sizi savunabilen güvenlik sistemleri kurun. 

     

     

    Siber Bülten abone listesine kaydolmak için formu doldurunuz