Kosta Rika’da birçok bakanlık ve devlet kurumunun verilerini ele geçiren Conti fidye yazılım grubu, halka seslenerek istedikleri ödemeyi yapmayan hükümeti devirmelerini istedi.
Orta Amerika ülkesi Kosta Rika’da siber güvenlik alanında oldukça ilginç bir gelişme yaşandı. Siber suç örgütü Conti, geçen aydan bu yana yaptığı saldırıları geri çekmek için Kosta Rika hükümetinden fidye talep etti. 8 Mayıs tarihinde başa geçen çiçeği burnunda cumhurbaşkanı Rodrigo Chaves Robles’e seslenerek daha fazla ödeme yapacak bir hükümet kurmasını isteyen çete, halka da rejim değişikliği için ayaklanma çağrısında bulundu.
Conti tarafından verilen mesajda, “Kosta Rika’nın tüm sakinlerine sesleniyorum, hükümetinize dönün ve en kısa zamanda ödeme yapmaları için mitingler düzenleyin.” denildi. İnternet üzerinden sesini duyurmaya çalışan grubun açıklamasındaki “Peki ya hükümetiniz durumu istikrara kavuşturamazsa? Belki de onu değiştirmeye değerdir?” ifadeleri dikkat çekti.
Conti, Maliye Bakanlığı, Çalışma ve Sosyal Güvenlik Bakanlığı, Sosyal Kalkınma ve Aile Ödenekleri Fonu ve Alajuela’daki bir Kosta Rika Üniversitesi sitesindeki verileri şifreledi. Çete ele geçirdiği 670 gigabayttan fazla verinin %97’sini sızdırdıklarını iddia etti.
Cumhurbaşkanı Rodrigo Chaves Robles, verilerin çalınması ve 10 milyon dolar olduğu iddia edilen fidye talebi üzerine ülke genelinde olağanüstü hal ilan etti.
Rusya yanlısı Conti fidye yazılım grubunun son kurbanı yerel elektrik yönetim sistemleri oldu.
Conti’nin Kosta Rika üzerinde başlattığı geniş kapsamlı ransomware saldırısı kapsamını genişleterek Kartaca’da elektrik idaresinin yönetim sistemlerini felç etti.
Yaklaşık 160 bin kişinin yaşadığı şehirde elektrik hizmeti sağlayıcısı Junta Administrativa del Servicio Eléctrico de Cartago (JASEC), Facebook’ta tüm idari sistemlerinin şifrelendiğini açıklayan birkaç bildirim yayınladı.
Genel Müdür Luis Solano yaptığı açıklamada, geçtiğimiz cumartesi günü başlayan saldırının kuruluşun web sitesini, e-postasını ve veri toplama sistemlerinin yönetiminde kullanılan sunucuları şifrelediğini söyledi.
JASEC, CONTI FİDYE YAZILIMININ KURBAN LİSTESİNDE
Müşteri verilerinin Conti operatörleri tarafından ayıklanıp ayıklanmadığını belirlemek için uzmanlar işe alındı. Fidye yazılımı grubu, müşterilerin elektrik ve internet faturalarını ödemeye yönelik sistemleri felç etti. JASEC, durum çözülene kadar tüm fatura ödemelerini askıya aldı. Solano, “Tüm müşterilerimize elektrik ve internet hizmetlerinin normal şekilde çalıştığını söylemek isteriz” dedi.
Görev süresi dolan Cumhurbaşkanı Carlos Alvarado Quesada ise geçen hafta yaptığı konuşmada, çeşitli devlet kurumlarına yönelik yapılan Conti fidye yazılımı saldırısını “geçiş durumundaki ülkenin istikrarını tehdit etme” girişimi olarak nitelendirdi.” Ülke, 4 Nisan’da yeni bir cumhurbaşkanını (eski Dünya Bankası yetkilisi Rodrigo Chaves) seçmişti.
FİDYEYİ ÖDEMEYECEĞİZ
Quesada, kimilerince 10 milyon dolar olduğu söylenen fidyeyi ödemeyeceklerini de sözlerine ekledi.
Başta Maliye Bakanlığı olmak üzere birçok devlet kuruluşu Conti’nin kurbanlar listesine eklenmişti. Maliye Bakanı Elian Villegas Reuters’e yaptığı açıklamada grubun “hassas” olarak kabul edilen ve vergi mükellefi bilgilerinin yer aldığı arşivin ihlal ettiğini açıklamıştı.
Bir ihracatçı birliği, dördüncü güne giren kesintilerden kaynaklanan darboğazlar nedeniyle çarşamba günü 200 milyon doların kaybedildiğini tahmin ediyor.
Maliye Bakanlığı, vatandaşları kimlik avı mesajlarına karşı dikkatli olmaları konusunda uyardı. İş dünyası liderleri Associated Press’e finansal ve kişisel bilgilerin çalınmasından, basına sızmasından veya hükümet yetkililerine gönderilmesinden endişe duyduklarını söyledi.
Ukrayna’nın işgaline tepki gösteren bir hacker grubu, Rusya yanlısı Conti grubunun sızdırılmış fidye yazılımı ile Rus şirketlerine saldırdığı ortaya çıktı.
Hackerlar, kendi fidye yazılımını oluşturmak için Conti’nin sızdırılan ransomware kaynak kodunu kullandı. Grup, kaynak kodu Rus kuruluşlara yönelik siber saldırılarda kullanmak üzere ele geçirdi.
Şirketleri hedef alan ve verileri şifreleyen fidye yazılım saldırılarını duymaya alışkın olsak da Rus kuruluşlarının benzer şekilde saldırıya uğradığını nadiren duyuyoruz. Bunun sıklıkla gerçekleşmiyor olmasının sebebi ise şu şekilde: Yetkililerin Rus hackerların Rusya’nın çıkarlarını ihlal etmedikleri sürece diğer ülkelere yönelik saldırılar gerçekleştirmesine göz yumduğu yönündeki genel inanış.
SEBEP RUSYA’NIN UKRAYNA’YI İŞGALİ
Ancak, NB65 olarak bilinen bir hacker grubunun fidye yazılım saldırılarıyla Rus kuruluşları hedef almasıyla durum değişmiş oldu. Geçtiğimiz ay boyunca, NB65 olarak bilinen bir hacker grubu, Rus şirketlerinin güvenliğini ihlal etti, verilerini çaldı ve bunları çevrimiçi sızdırdı. Grup, saldırıların sebebinin Rusya’nın Ukrayna’yı işgali olduğu konusunda uyarıyor.
Hacker grubu tarafından saldırıya uğradığı iddia edilen Rus kuruluşlar arasında belge yönetimi operatörü Tensor, Rus uzay ajansı Roscosmos ve devlete ait Rus Televizyon ve Radyo yayıncısı VGTRK yer alıyor.
NB65’TEN VGTRK SALDIRISINA İLİŞKİN TWEET
VGTRK’ya yapılan saldırı, DDoS Secrets web sitesinde yayınlanan 900 bin e-posta ve 4 bin dosya dahil olmak üzere 786.2 GB verinin çalındığı iddiasıyla özellikle önem arz ediyor. Daha yakın zamanlarda, NB65 hackerları mart ayının sonundan bu yana fidye yazılım saldırılarıyla Rus kuruluşlarını hedef alan yeni bir stratejiye yöneldiler.
Daha da ilginç olan ise hacker grubunun, üyelerinin Rusya’daki kuruluşlara saldırmasını yasaklayan Rus tehdit aktörleri Conti Fidye Yazılımı operasyonu için sızan kaynak kodunu kullanarak fidye yazılımlarını oluşturmuş olması.
CONTI RUSYA’YI DESTEKLEYİNCE KAYNAK KOD SIZDIRILDI
Kaynak kod, Conti’nin Ukrayna’ya yapılan saldırıda Rusya’nın yanında yer almasının ardından sızdırıldı ve bir güvenlik araştırmacısı, operasyonları için 170 bin sohbet mesajını ve kaynak kodunu sızdırdı.
Tehdit aktörleri ayrıca R3ADM3.txt adıyla bir fidye notu da yayınladı. Notta şu ifadeler yer aldı:
“Sizi çok yakından izliyoruz. Başkanınız savaş suçu işlememeliydi. Mevcut durum için suçlayacak birini arıyorsanız, Vladimir Putin’den başka bir yere bakmayın”
NB65 hacker grubunun bir temsilcisi BleepingComputer’a şifreleyicilerini ilk olarak Conti kaynak kodu sızıntısına dayandırdıklarını, ancak her kurban için mevcut şifre çözücülerin çalışmayacağı şekilde değiştirdiklerini söyledi.
Hacker grubu, “Bizimle temas kurmadan şifreyi çözmenin gerçekten bir yolu yok.” diyor ve ekliyor: “Bucha’dan sonra, sivillere ait olabilecek, ancak yine de Rusya’nın normal çalışma kabiliyeti üzerinde bir etkisi olacak bazı şirketleri hedef almayı seçtik. Putin’in savaş suçlarına Rus halkının verdiği destek büyük. En başından beri bunu açıkça belirttik. Bizler Ukrayna’yı destekliyoruz. Rusya, Ukrayna’daki tüm düşmanlıkları durdurduğunda ve bu saçma savaşı sona erdirdiğinde NB65, Rus internetine saldırmayı durduracak. O zamana kadar canları cehenneme.”
Rusya merkezli fidye yazılım grubu Conti, Rusya’ya karşı gerçekleştirilecek herhangi bir saldırı durumunda karşı harekete geçerek siber saldırı düzenleyeceklerini açıkladı. Ukrayna işgalinin başlaması üzerine Kiev yönetimi, ‘vatansever’ hackerlara Rus ordusuna saldırı çağrısında bulunmuştu.
ABD’li ve Avrupalı şirketlere milyonlarca dolarlık şantaj yapmak için fidye yazılımı kullandığı bilinen Rusya merkezli bir siber suç örgütü Conti, Ukrayna’ya dört bir koldan saldıran Rusya’ya işgaline karşı herhangi bir saldırıda bulunacaklara karşı siber saldırı düzenleme tehdidinde bulundu.
Conti, İkinci Dünya Savaşı’ndan bu yana bir Avrupa devletine yönelik en büyük saldırıyı gerçekleştirerekRusya komşusu Ukrayna’ya kuzeyden, doğudan ve güneyden saldıran Rus ordusuna ve Putin yönetimine “tam destek” verdiğini açıkladı.
Conti, yayınladığı blog yazısında, “Rusya’ya karşı siber saldırı veya herhangi bir savaş faaliyeti düzenlemeye karar veren olursa, eldeki tüm kaynaklarımızı düşmanın kritik altyapılarına karşılık vermek için kullanacağız.” tehdidinde bulundu.
Ukrayna, askeri işgalin yanı sıra siber saldırılara da maruz kalıyor. Ukrayna hükümeti, işgalin başladığı 24 Şubat’ta, ülkenin yer altı bilgisayar korsanlarını kritik altyapıyı korumak ve Rus birliklerine karşı siber casusluk yapmak için gönüllü olmaya çağırmıştı.
Reuters’a konuşan ABD’li siber güvenlik şirketi Mandiant’ın direktörü Kimberly Goody, “Conti fidye yazılımı grubundaki üyelerin bir kısmı Rusya’da bulunuyor ve bir kısmının Rus istihbaratıyla bağları olduğu belgelenmiş durumda.” dedi. Kremlin’in geçmişte de siber suçlularla dirsek teması hâlinde olduğunu ifade eden Goody, bu aktörlerin doğrudan yönlendirilmeseler dahi bağımsız operasyonlar yürütebileceklerini ifade etti.
İlk kez 2019’da eyleme geçtiği tespit edilen Conti, çok sayıda Batılı şirketine yönelik fidye yazılımı saldırısı gerçekleştirdi. Bu saldırılarda, operasyonları kesintiye uğratan hackerlar erişimin yeniden sağlanması için ödeme talep etti. FBI, geçtiğimiz yılında Mayıs ayında Conti’nin ABD’li 16 sağlık kuruluşuna düzenlenen saldırılardan sorumlu olduğunu açıklamıştı.
Dünya üzerinde ve Türkiye’de giderek artan sofistike siber tehdit aktörlerinin varlığı, bu aktörlerin gelişmiş saldırıları ve kurbanlarının sayısının giderek artışı, siber güvenlik uzmanlarının da söz konusu tehdit ortamını daha iyi incelemelerine ve karar yürütme süreçlerine doğrudan etki ediyor.
Geçtiğimiz günlerde siber güvenlik şirketi SOCRadar’ın yayımladığı rapor tam da bu noktanın altını çiziyor. Söz konusu rapordaki bilgiler, kurumsal çapta güvenlik programlarının planlanmasına, yatırım kararları alınmasına ve siber güvenlik gereksinimlerinin tanımlanmasına yardımcı oluyor.
Açık tehdit paylaşım platformlarından topladığı kapsamlı verileri derinlemesine analiz ederek ortaya koyan SOCRadar, söz konusu tehdit ortamını, “yakın zamanda gözlemlenen tehdit aktörü faaliyetleri, kötü amaçlı yazılım kampanyaları, yeni kritik güvenlik açıkları, açıklardan yararlanma” temelinde inceliyor.
DARK WEB TEHDİTLERİ YÜKSELİŞTE
Çeşitli bilgisayar korsanlığı araçları, dolandırıcılık yöntemleri ve satın alınabilecek çalıntı veri tabanları ile dark web, siber saldırıları başlatmak için bir sıçrama tahtası gibi işlev görüyor. Dark webde doğan siber tehditler, Türkiye’deki kuruluşları giderek daha fazla etkiliyor.
SOCRadar’ın DarkMirror Intelligence hizmetinden toplanan verilere göre, Türk varlıklarını hedef alan 150’den fazla 30 tehdit aktörü listesi mevcut. Gönderilerin yüzde 22’si müşteri veritabanı satışları ve yüzde 9’u yetkisiz ağ erişimi satışlarından oluşuyor. Tehdit aktörleri tarafından listelenen bu gönderiler, finans, telekomünikasyon ve eğitim dâhil olmak üzere çeşitli sektörlerden farklı kuruluşları etkiliyor.
2021’DE FİDYE YAZILIM TEHDİTLERİ ARTTI
2021 yılında manşetlerde kendisine sık sık yer bulan fidye yazılımı saldırıları, Türkiye’de hizmet gösteren birçok küresel firmaya saldırarak bu işletmelerin sekteye uğramasına neden oldu. Türkiye’deki fidye yazılımı saldırılarının arkasındaki ilk 10 fidye yazılımı grubunun son üç yıldaki hasılatıysa yaklaşık 5,2 milyar dolar oldu.
Geçen yılın son üç ayında fidye yazılımı saldırılarındaki artış hızlandı. Endişe verici bir şekilde, Türkiye’yi hedefleyen fidye yazılımı gruplarının faaliyetleri Haziran’dan Aralık 2021’e üç kattan fazla arttı. SOCRadar DarkMirror’da yer alan verilere göre “İmalat ve Finans” en çok hedeflenen sektörler arasında yer aldı.
Türkiye’yi hedef alan en büyük fidye yazılım grupları arasında LockBit, Conti ve Xing bulunuyor.
APT GRUPLARI TÜRKİYE’Yİ HEDEF ALIYOR
Türkiye’den firmalar, çeşitli amaçlarla hareket eden yetenekli APT gruplarının hedefi olmaya devam ediyor. APT grupları, finansal avantaj elde edebilecek, stratejik süreçlere erişebilecek veya stratejik istihbarat toplayabilecek çok miktarda değerli bilgi ve varlığı ele geçirebileceği kuruluşları sıklıkla hedef alıyor.
Coğrafi konumu nedeniyle Türkiye, Rusya-Ukrayna gerilimi gibi jeopolitik etki kazanmak isteyen bazı ulus-devlet aktörlerinin hedefine girebiliyor. Örneğin 2021 boyunca, ChamelGang gibi yeni APT gruplarının da Türkiye ve komşu ülkelerde güçlerini artırdığı gözlemlenirken, “enerji, kritik kamu altyapıları ve finans” çekici görülen ilk üç sektör arasına giriyor.
Türkçe deep web forumlarında faaliyet gösteren önemli APT grupları arasında APT28, APT29, APT39, APT41 bulunuyor.
TÜRKİYE’DEKİ OLTALAMA TEHDİTLERİ
Tehdit aktörleri, Türkiye’de yeni doğan ve hızla büyüyen çevrimiçi yemek siparişi, e-ticaret ve yeni nesil bankacılık uygulamalarının sağladığı yüksek mobil erişime çabuk adapte olmuş görünüyorlar. Söz konusu şirketlere kayıtlı kullanıcıların hassas bilgilerini çalmak ve dâhili sistemlere ilk erişim sağlamak için bu şirketleri taklit eden yüzlerce oltalama domaini günlük olarak kaydedildi.
SOCRadar, son 12 ayda milyonlarca tüketiciyi hedefleyen toplam 42 bin 136 kimlik avı saldırısı tespit etti. Oltalama saldırılarının en çok hedef aldığı sektörse “Fintech” oldu.
SOCRadar’IN ELDE ETTİĞİ ÖNEMLİ BULGULAR
Türk varlıklarını hedef alan 30 tehdit aktörünün 150’den fazla listesi var. Gönderilerin yüzde 22’si müşteri veritabanı satışları ve yüzde 9’u yetkisiz ağ erişimi satışlarından oluşuyor.
E-ticaret, bankacılık ve sigortacılık en çok etkilenen sektörler arasında.
Suç faaliyetlerinin arkasında olduğuna inanılan ilk 10 fidye yazılımı grubu, son üç yılda yaklaşık 5,2 milyar dolar değerinde Bitcoin elde etti. Türkiye’yi hedefleyen en büyük fidye yazılımı grupları LockBit, Conti ve Xing.
Coğrafi konumu nedeniyle Türkiye, Rusya-Ukrayna gerilimi gibi jeopolitik konularda etki kazanmak isteyen APT aktörlerinin hedefinde. Türkiye’de faaliyet gösteren önemli APT grupları arasında APT28, APT29, APT39 ve APT41 sayılabilir.
SOCRadar, son 12 ayda milyonlarca tüketiciyi hedef alan toplam 42 bin 136 oltalama (phishing) saldırısı tespit etti.
En yaygın olarak yararlanılan güvenlik açıkları CVE-2021-31206, CVE-2021- 21985, CVE-2020-5902 ve CVE-2021-3064 oldu.
Türkiye ~31Tbit/sn DDoS trafiği üretebiliyor ve bu oranla dünya genelinde 27. sırada yer alıyor.
