Etiket arşivi: Babuk

Siber Saldırılar

2021’in öne çıkan fidye yazılım saldırıları

Yorum yapın

2021’in öne çıkan fidye yazılım saldırılarıDünyanın hemen hemen her yerinde güvenlik zafiyetlerini istismar ederek şirketlerin, hükümetlerin, sağlık kuruluşlarının ve birçok organizasyonun verilerini ele geçirip fidye yazılım saldırıları düzenleyen siber tehdit aktörleri, 2021 yılında da boş durmadı.

Colonial Pipeline, JBS Foods ve diğer büyük kuruluşların da hedef olduğu 2021’in öne çıkan fidye yazılım saldırılarını sizler için derledik.

FİDYE YAZILIMI NASIL TANIMLANIYOR?

ABD Siber Güvenlik ve Altyapı Ajansı’na (CISA) göre fidye yazılımı, “Bir cihazdaki dosyaları şifrelemek, dosyaları ve bunlara bağlı sistemleri kullanılamaz hale getirmek için tasarlanmış, sürekli gelişen bir zararlı yazılım biçimidir. Kötü niyetli aktörler şifre çözme araçları karşılığında fidye talep ederler. Fidye ödenmezse, hem elde edilen verileri hem de kimlik doğrulama bilgilerini sızdırmakla tehdit ederler.”

Son birkaç yılda, çoğu yüksek profilli saldırılar olan fidye yazılımı saldırılarında artış görülüyor. Bu saldırılar arasında Colonial Pipeline, Steamship Authority of Massachusetts, JBS, Washington DC Polis Departmanı’na karşı gerçekleştirilen saldırılar yer alıyor. ABD şirketlerine ve kuruluşlarına yönelik bu saldırılar, kritik altyapıların kapatılmasından mal/hizmet maliyetlerinin artmasına, faaliyetlerin durdurulmasından mali kayıplara kadar çeşitli zararlara yol açarken, tehdit aktörlerine ödenen fidye miktarlarında da geçmiş yıllara oranla yüzde 300’lük bir artış yaşandı.

2021’DE ÖNE ÇIKAN FİDYE YAZILIM SALDIRILARI

2021 yılında, ABD ve dünya genelinde şirketlere ve firmalara yönelik birçok yüksek profilli saldırı yaşandı. Sadece 6 fidye yazılım çetesi, 292 kuruluşun güvenliğini ihlal etmekten sorumlu olmakla birlikte söz konusu çeteler, saldırıları karşılığında da 45 milyon dolardan fazla fidye geliri elde etti.

İşte 2021’in öne çıkan en büyük 10 fidye yazılımı saldırısı.

COLONIAL PIPELINE

2021 yılında öne çıkan tüm fidye yazılım saldırılarından en fazla öne çıkanı Nisan ayı sonlarında ABD’nin en büyük boru hattı olan Colonial Pipeline saldırısı oldu. Touro College Illinois Siber Güvenlik Programı Direktörü Joe Giordano, “Colonial Pipeline saldırısı, büyük bir etki yarattı çünkü boru hattı ulusal kritik altyapı sisteminin önemli bir parçası. Sistemi kesintiye uğratmak, Amerika Birleşik Devletleri’nin Doğu Kıyısı boyunca gaz arzını kesintiye uğratarak kaosa ve paniğe neden oldu.” dedi.

Colonial Pipeline’a yönelik gerçekleştirilen saldırı sonrası bir hafta boyunca benzin tedariğinde sıkıntılar yaşandı. Benzin almak isteyen vatandaşlar uzun kuyruklarda bekledi. Paniği önlemek için Colonial Pipeline, fidye talebine boyun eğerek saldırının arkasında bulunan DarkSide siber suç örgütüne yaklaşık 4,4 milyon dolar değerinde bitcoin ödemesi yaptı.

Saldırı sürecinde tehlikeli olaylar da yaşandı. Doğu Sahili sakinleri, aldıkları benzini plastik torbalarda saklamaya çalışırken bazı arabalar alev aldı. Saldırı sonrasıda ABD kolluk kuvvetleri 4,4 milyon dolarlık fidye ödemesinin çoğunu kripto para hareketleri ve dijital cüzdanları izleyerek geri alsa da DarkSide siber suç örgütü varlığını ve etkinliğini sürdürüyor.

Colonial Pipeline saldırısı hakkında bilmeniz gereken 5 şey

BRENNTAG

Mayıs 2021’in başlarında Colonial Pipeline’ı hedef alan DarkSide aynı zamanda bir kimyasal dağıtım şirketi olan Brenntag’ı da hedef aldı. 150 GB değerinde veri çaldıktan sonra DarkSide, 7,5 milyon dolarlık bitcoin talep etti.

Brenntag uzun sürmeden 4,4 milyon dolar fidye ödedi. Ödenen bu fidye miktarı da Colonial Pipeline’la birlikte tarihin en yüksek fidye yazılımı ödemelerinden biri olarak kayıtlara geçti.

ACER

Tarihte istenen en yüksek fidye miktarlarından birinin kurbanı olan bilgisayar üreticisi ACER, REvil siber suç örgütü tarafından saldırıya uğradı. 

REvil, ACER’in finansal tablolarını, banka bakiyelerini ve banka iletişimlerini ortaya koyarak ACER’den 50 milyon dolar fidye talep etti. REvil, ACER’in verilerini ele geçirmek için Microsoft Exchange sunucusundaki bir güvenlik zafiyetinden yararlandı.

JBS FOODS

Dünyanın en büyük et tedarikçilerinden biri olan JBS Foods’a yönelik de yüksek profilli bir fidye yazılım saldırısı gerçekleşti. Saldırının arkasında ACER’e de saldıran REvil olduğu düşünülüyor. 

Söz konusu saldırıdan sonra tedarikte aşırı derecede sıkıntı yaşanmasa da JBS, 11 milyon dolarlık fidye ödemesi gerçekleştirdi. Bitcoin’deki bu büyük ödeme, tüm zamanların en büyük fidye yazılımı ödemelerinden biri oldu. Bu saldırının ardından da REvil, gizemli bir şekilde ortadan kaybolmuştu.

QUANTA

Apple’ın ve diğer teknoloji devlerinin bir numaralı bilgisayar tedarikçilerinden olan Quanta Computer, REvil’in saldırısına uğradı. 

Tayvan merkezli bilgisayar şirketi Apple gibi dev firmalara ürünler üretiyordu. REvil, Quanta’dan ACER’de olduğu gibi fidye olarak 50 milyon dolar talep etti. Ancak Quanta fidyeyi ödemeyi reddetti. Daha sonrasında Apple’ı tehdit eden REvil’in tehditleri yanıtsız kaldı ve saldırı geçiştirildi.

AMERİKAN BASKETBOL LİGİ (NBA)

Hemen hemen her farklı sektörlerden işletmeler ve kuruluşlar, fidye yazılımı saldırılarının hedefi konumundadır. 2021’deki öne çıkan fidye yazılım saldırıları listesindeyse en şaşırtıcı olanlardan biri NBA oldu. 

2021’in Nisan ayının ortalarında, siber suç örgütlerinden Babuk, Houston Rockets’la ilgili 500 GB gizli veri çaldığını iddia etti. Babuk, mali bilgiler ve sözleşmeler de dahil olmak üzere bu gizli belgelerin, talepleri karşılanmadığı takdirde kamuoyuna açıklanacağı konusunda uyardı. Ancak Houston Rockets herhangi bir fidye ödemesi yapmadı.

AXA

2021’in Mayıs ayında Avrupalı sigorta şirketi AXA, Avaddon çetesi tarafından saldırıya uğradı. Saldırı, şirketin sigorta poliçelerinde önemli değişiklikleri duyurmasından kısa bir süre sonra gerçekleşti. 

AXA, müşterilerinin çoğuna fidye yazılımı ödemeleri için geri ödeme yapmayı bırakacaklarını belirtti. Bir siber sigorta şirketine yapılan bu benzersiz saldırıyla Avaddon çetesi 3 TB’lık devasa bir veriye erişim kazandı.

CNA

2021’in Mart ayının başlarında, başka bir büyük sigorta şirketi bir fidye yazılımı saldırısının daha kurbanı oldu. CNA’nın ağı 21 Mart’ta saldırıya uğradı ve siber tehdit aktörleri, uzaktan çalışan birçok çalışan bilgisayarı da dahil olmak üzere 15.000 cihazı şifreledi. 

Saldırının sözde hacker grubu Evil Corp ile bağlantılı olduğu ve Phoenix CryptoLocker adlı yeni bir zararlı yazılım türü kullandığı tahmin ediliyor.

CD PROJEKT RED

CDProjekt Red, Polonya merkezli popüler bir video oyunu geliştirme firması olarak biliniyor. 2021 yılının Şubat ayında firma, HelloKitty çetesi tarafından saldırıya uğradı.

Siber tehdit grubu, firmanın oyun projelerinin kaynak kodlarına erişti. Ancak, CDProjekt fidye parasını ödemeyi reddetti ve kayıp verileri geri yüklemek için yedekleri olduğunu belirtti.

KASEYA

Acer, Quanta ve JBS Foods’u hedef alan aynı tehdit aktörü REvil, 2021’in Temmuz ayında Kaseya’ya yönelik bir saldırıyla yine manşetlere çıktı. Tüketiciler tarafından yaygın olarak bilinen bir isim olmasa da Kaseya, dünya çapındaki büyük şirketler için BT altyapısını yönetiyor. Colonial Pipeline ve JBS Foods’a yapılan saldırılara benzer şekilde bu saldırı, ekonomik olarak belirli sıkıntılara yol açtı.

Rusya destekli REvil fidye yazılım çetesi, Kaseya’nın VSA yazılımındaki bir zafiyetten faydalanarak birden fazla yönetilen hizmet sağlayıcısına (MSP) ve onların müşterilerine yönelik bir tedarik zinciri fidye yazılımı saldırısı gerçekleştirdi. REvil’e göre, bir milyon sistem şifrelendi ve fidye için tutuldu. Kaseya’ya göre, müşterilerinin yaklaşık 50’si ve toplamda yaklaşık 1000 işletme etkilendi. REvil’se fidye olarak 70 milyon dolarlık bitcoin talep etti. İsveç’te bir market zinciri, Yeni Zelanda’daki okullar ve ABD’de KOBİ’ler saldırının kurbanları arasında yer alırken İsveçli market zinciri Coop, bir hafta boyunca 800 mağazasını kapatmak zorunda kalmıştı.

Saldırıdan kısa bir süre sonra FBI, REvil’in sunucularına erişim sağlayarak şifreleme anahtarlarını aldı. Neyse ki fidye ödenmedi ve Kaseya müşterilerinin BT altyapısını geri yükleyebildi. Yılın en büyük fidye yazılımı saldırılarından biri olarak başlasa da sonunda durum kurtarıldı. 

Tarihin en büyük fidye yazılım saldırısı Kaseya hakkında bilmeniz gereken 5 şey

FİDYE YAZILIM SALDIRILARINA KARŞI ÖNLEM ALMA YOLLARI

Söz konusu sorunu çözmek için gerekli iki temel bileşene ihtiyaç duyuluyor. Birincisi, şirketlerin siber güvenliği ciddiye alması ve siber güvenliğe yatırım yapması gerektiği. İkinci olaraksa, şu anda karşı karşıya olduğumuz fidye yazılımı saldırıları belasını ele almaya hazır daha yüksek eğitimli siber güvenlik uzmanlarına ihtiyaç olduğu. 

Giordano’nun belirttiği gibi, “Pek çok şirket ve kurum hala zayıf bir güvenliğe sahip ve güçlü güvenlik, bir kerelik bir yükseltme değil, sürekli uyanıklık hâli ve güncellemeler gerektiriyor. Daha fazla kuruluş siber güvenliği ciddiye almaya ve tehditlerle mücadele etmek için zaman ve kaynaklara yatırım yapmaya başladığında, bu tehditlerin azaldığını görmeye başlayacağız.”

Küresel

Fidye yazılımı kurbanlarına sevindirici haber: Kanser hastası hacker kaynak kodu sızdırdı, Avast şifre çözücü yayınladı 

2 Yorum

Çek Cumhuriyeti merkezli siber güvenlik yazılım firması Avast, üç ayrı fidye yazılım grubunun kullandığı yazılımlar için ücretsiz şifre çözme aracı yayınladı. Siber güvenlik firması ilk olarak Babuk fidye yazılımına hedef olan dosyaların ücretsiz olarak kurtarılmasına yardımcı olacak bir şifre çözme aracı oluşturdu ve piyasaya sürdü.

Avast Threat Labs’a göre “Babuk şifre çözücü” sızdırılan kaynak kodu ve şifre çözme anahtarları kullanılarak oluşturuldu. Ücretsiz şifre çözücü. babuk, .babyk, .doydo uzantıları kullanılarak dosyaları şifrelenen Babuk kurbanları tarafından kullanılabilecek 

VirusTotal’in ilk fidye yazılım raporu: Zafiyetlerden çok sosyal mühendislik kullanılıyor

Saldırıya hedef olanların şifre çözme aracını Avast’ın sunucularından indirebileceği ve şifre çözücünün kullanıcı ara yüzünde görüntülenen talimatları kullanarak tüm bölümlerin şifresini tek bir defada kaldırabileceği belirtildi.

Bleepingcomputer tarafından gerçekleştirilen testlerden çıkan sonuca göre söz konusu şifre çözücünün yalnızca anahtarları Babuk kaynak kodu dökümünün bir parçası olarak sızan kurbanlar için çalışacağı düşünülüyor.

KANSER HASTASI HACKER PİŞMAN OLUP KAYNAK KODU YAYINLADI

Babuk adlı grubun fidye yazılımına ait tam kaynak kodu, geçen ay Rusça dilinde yayın yapan  bir hacker forumunda, fidye yazılımı grubunun bir üyesi olduğunu iddia eden bir tehdit aktörü tarafından sızdırıldı. Kodu sızdırma kararının, Babuk üyesi olduğu iddia edilen kişinin son evre kanser hastası olması nedeniyle verildiği iddia ediliyor.  Söz konusu grup üyesi sızıntıyı yayınlarken düştüğü notta “insan gibi yaşamak” zorunda olduğu düşüncesiyle kaynak kodunu yayınlamaya karar verdiğini söyledi.

Türk hacker, Trump’ın web sitesini ele geçirdi

Paylaşılan arşivde VMware ESXi, NAS ve Windows şifreleyicileri için farklı Visual Studio Babuk fidye yazılımı projelerinin yanı sıra Windows şifreleyici ve şifre çözücü için gereken ve özel ve genel anahtar üreticilerine benzeyen tam kaynak kodunu içeren Windows dosyası bulunmaktaydı.

GEÇMİŞTEKİ KURBANLAR DA FAYDALANABİLİR

Sızıntıda ayrıca fidye yazılımı çetesinin belirli kurbanları için bir araya getirilen şifreleyiciler ve şifre çözücüler de yer aldı. Sızıntının ardından Emsisoft CTO’su ve fidye yazılımı uzmanı Fabian Wosar, Bleepingcomputer’a kaynak kodun meşru olduğunu ve arşivin geçmiş kurbanlar için şifre çözme anahtarları da içerebileceğini söyledi.

Babyk ve Babuk olarak da bilinen Babuk Locker, çift şantajlı saldırıların bir parçası olarak verileri ele geçirip ve şifrelemek üzere işletmeleri hedef almaya başladığı 2021’in başında gerçekleşen bir fidye yazılımı operasyonu. 

AVAST ATOMSILO VE LOCKFILE KURBANLARINI DA SEVİNDİRDİ 

Öte yandan Avast Atom Silo ve LockFile fidye yazılımları için de şifre çözücü yayınladı. Avast, AtomSilo ve LockFile fidye yazılımı kurbanlarının fidye ödemek zorunda kalmadan bazı dosyalarını ücretsiz olarak kurtarmalarına yardımcı olacak bir şifre çözme aracı yayınladı.

Şirketin yaptığı açıklamada söz konusu şifre çözücünün bilinmeyen, kişisel veya hiç formatı olmayan dosyaların şifresini çözemeyebileceği belirtildi.

Amerikalı 3 antivirüs firmasının kaynak kodları hackerların eline geçti

Avast’ın Tehdit İstihbarat Takımı, “Şifre çözücü dosyanın başarıyla çözüldüğünü doğrulama noktasında “bilinen” bir dosya biçimine dayanmakta. Bu yüzden bazı dosyalar kurtarılamayabilir” dedi. Şifre çözücü, her iki fidye yazılımı türü için de çalışmakta zira yazılımları kurbanların ağlarına dağıtan gruplar farklı saldırı taktikleri kullansalar da çok benzerler.

Avast Threat Labs, sözkonusu fidye yazılımı şifre çözücüsünün, bu ayın başlarında AtomSilo fidye yazılımında bir açık bulan RE – CERT kötü amaçlı yazılım analisti Jiří Vinopal ile işbirliği içinde geliştirildiğini söyledi.

AtomSilo ve LockFile kurbanlarının şifre çözme aracını Avast’ın sunucularından indirebileceği ve şifre çözücünün kullanıcı ara yüzünde görüntülenen talimatları kullanarak tüm disk bölümlerinin şifresini çözebileceği açıklandı. Şifre çözücüyü test eden BleepingComputer Avast’ın ücretsiz şifre çözücüsünü kullanarak bir Atom Silo örneğiyle şifrelenmiş dosyaları kurtardı.

Teknik

VirusTotal’in ilk fidye yazılım raporu: Zafiyetlerden çok sosyal mühendislik kullanılıyor

Yorum yapın

Dünya çapında fidye yazılım dalgası artarken fidye yazılım saldırılarında sosyal mühendislik ön plana çıkmaya başladı.

Söz konusu fikirle hareket eden VirusTotal, son 16 yılda 232 farklı ülkede günde 2 milyondan fazla dosya işleyerek güvenlik araştırmacılarına ve konunun meraklılarına saldırıların doğasına dair bütünlüklü bir bakış açısı sunmayı planladığı ilk Fidye Yazılım Faaliyet Raporu’nu yayımladı. 

ZAFİYETLERDEN ÇOK SOSYAL MÜHENDİSLİK KULLANILIYOR

VirusTotal’in analizlerine göre fidye yazılım grupları, güvenlik zafiyetlerini istismar etmekten ziyade fidye yazılım örneklerini genellikle sosyal mühendislik ve zararlı yazılım yüklemek için tasarlanmış çeşitli programlarla hareket ediyor.

VirusTotal’in analiz ettiği örnekler arasında yalnızca yüzde 5’lik örnek, en yaygın olarak Windows ayrıcalık yükseltmeleri, SMB bilgileri ve uzaktan yürütme olmak üzere çeşitli istismarlarla ilişkilendirildi. 

Söz konusu raporun süreklilik sağlayacağını belirten VirusTotal, raporun sonuç kısmında fidye yazılım etkinliğinin sabit bir temeli olduğunu ve durmayacağını, saldırganların çeşitli botnet ve RAT’ler dahil olmak üzere bir dizi farklı yaklaşımının olduğunu, güvenlik zafiyetlerine pek fazla ihtiyaç duymadıklarını belirtiyor.

2020-2021 YILLARI ARASINDA SALDIRI HACİMLERİ

GandCrab fidye yazılım grubunun saldırı hacmi 2020 yılı başlarında her ne kadar fazla olsa da yılın ikinci yarısında önemli ölçüde azaldığı görülüyor. Temmuz 2021’de ise Babuk fidye yazılımının yeni varyantıyla birlikte saldırı hacmi konusunda öne çıkan fidye yazılım grubu olarak öne çıkıyor.

 FİDYE YAZILIM SALDIRILARI İSRAİL’DE ARTIŞTA

Hangi ülkelerin fidye yazılım saldırılarından etkilendiğini araştıran VirusTotal, gelen raporlar doğrusunda en çok aktivitenin İsrail’de olduğunu gösterirken onu sırasıyla onu Güney Kore, Vietnam, Çin, Singapur, Hindistan, Kazakistan, Filipinler, İran ve İngiltere izliyor.

YENİ FİDYE YAZILIM ÖRNEKLERİ HAZIRLANIYOR

Aşağıdaki tabloda fidye yazılım gruplarının yürüttüğü saldırıların çoğu için yeni örnekler hazırladığı görülmekle birlikte, söz konusu aktivitenin yeni oluşturulan bir zararlı yazılım dalgasıyla değil, önceki bir türün yeniden kullanımıyla ilgili olduğu görülüyor.

EN AKTİF FİDYE YAZILIM GRUPLARI

2020 yılı özelinde en aktif fidye yazılım grubu olarak Gandcrab göze çarparken kendisini 2021 yılında tespit edilen yeni fidye yazılım varyantıyla Babuk takip ediyor.