Etiket arşivi: DarkSide

Siber Saldırılar

2021’in öne çıkan fidye yazılım saldırıları

Yorum yapın

2021’in öne çıkan fidye yazılım saldırılarıDünyanın hemen hemen her yerinde güvenlik zafiyetlerini istismar ederek şirketlerin, hükümetlerin, sağlık kuruluşlarının ve birçok organizasyonun verilerini ele geçirip fidye yazılım saldırıları düzenleyen siber tehdit aktörleri, 2021 yılında da boş durmadı.

Colonial Pipeline, JBS Foods ve diğer büyük kuruluşların da hedef olduğu 2021’in öne çıkan fidye yazılım saldırılarını sizler için derledik.

FİDYE YAZILIMI NASIL TANIMLANIYOR?

ABD Siber Güvenlik ve Altyapı Ajansı’na (CISA) göre fidye yazılımı, “Bir cihazdaki dosyaları şifrelemek, dosyaları ve bunlara bağlı sistemleri kullanılamaz hale getirmek için tasarlanmış, sürekli gelişen bir zararlı yazılım biçimidir. Kötü niyetli aktörler şifre çözme araçları karşılığında fidye talep ederler. Fidye ödenmezse, hem elde edilen verileri hem de kimlik doğrulama bilgilerini sızdırmakla tehdit ederler.”

Son birkaç yılda, çoğu yüksek profilli saldırılar olan fidye yazılımı saldırılarında artış görülüyor. Bu saldırılar arasında Colonial Pipeline, Steamship Authority of Massachusetts, JBS, Washington DC Polis Departmanı’na karşı gerçekleştirilen saldırılar yer alıyor. ABD şirketlerine ve kuruluşlarına yönelik bu saldırılar, kritik altyapıların kapatılmasından mal/hizmet maliyetlerinin artmasına, faaliyetlerin durdurulmasından mali kayıplara kadar çeşitli zararlara yol açarken, tehdit aktörlerine ödenen fidye miktarlarında da geçmiş yıllara oranla yüzde 300’lük bir artış yaşandı.

2021’DE ÖNE ÇIKAN FİDYE YAZILIM SALDIRILARI

2021 yılında, ABD ve dünya genelinde şirketlere ve firmalara yönelik birçok yüksek profilli saldırı yaşandı. Sadece 6 fidye yazılım çetesi, 292 kuruluşun güvenliğini ihlal etmekten sorumlu olmakla birlikte söz konusu çeteler, saldırıları karşılığında da 45 milyon dolardan fazla fidye geliri elde etti.

İşte 2021’in öne çıkan en büyük 10 fidye yazılımı saldırısı.

COLONIAL PIPELINE

2021 yılında öne çıkan tüm fidye yazılım saldırılarından en fazla öne çıkanı Nisan ayı sonlarında ABD’nin en büyük boru hattı olan Colonial Pipeline saldırısı oldu. Touro College Illinois Siber Güvenlik Programı Direktörü Joe Giordano, “Colonial Pipeline saldırısı, büyük bir etki yarattı çünkü boru hattı ulusal kritik altyapı sisteminin önemli bir parçası. Sistemi kesintiye uğratmak, Amerika Birleşik Devletleri’nin Doğu Kıyısı boyunca gaz arzını kesintiye uğratarak kaosa ve paniğe neden oldu.” dedi.

Colonial Pipeline’a yönelik gerçekleştirilen saldırı sonrası bir hafta boyunca benzin tedariğinde sıkıntılar yaşandı. Benzin almak isteyen vatandaşlar uzun kuyruklarda bekledi. Paniği önlemek için Colonial Pipeline, fidye talebine boyun eğerek saldırının arkasında bulunan DarkSide siber suç örgütüne yaklaşık 4,4 milyon dolar değerinde bitcoin ödemesi yaptı.

Saldırı sürecinde tehlikeli olaylar da yaşandı. Doğu Sahili sakinleri, aldıkları benzini plastik torbalarda saklamaya çalışırken bazı arabalar alev aldı. Saldırı sonrasıda ABD kolluk kuvvetleri 4,4 milyon dolarlık fidye ödemesinin çoğunu kripto para hareketleri ve dijital cüzdanları izleyerek geri alsa da DarkSide siber suç örgütü varlığını ve etkinliğini sürdürüyor.

Colonial Pipeline saldırısı hakkında bilmeniz gereken 5 şey

BRENNTAG

Mayıs 2021’in başlarında Colonial Pipeline’ı hedef alan DarkSide aynı zamanda bir kimyasal dağıtım şirketi olan Brenntag’ı da hedef aldı. 150 GB değerinde veri çaldıktan sonra DarkSide, 7,5 milyon dolarlık bitcoin talep etti.

Brenntag uzun sürmeden 4,4 milyon dolar fidye ödedi. Ödenen bu fidye miktarı da Colonial Pipeline’la birlikte tarihin en yüksek fidye yazılımı ödemelerinden biri olarak kayıtlara geçti.

ACER

Tarihte istenen en yüksek fidye miktarlarından birinin kurbanı olan bilgisayar üreticisi ACER, REvil siber suç örgütü tarafından saldırıya uğradı. 

REvil, ACER’in finansal tablolarını, banka bakiyelerini ve banka iletişimlerini ortaya koyarak ACER’den 50 milyon dolar fidye talep etti. REvil, ACER’in verilerini ele geçirmek için Microsoft Exchange sunucusundaki bir güvenlik zafiyetinden yararlandı.

JBS FOODS

Dünyanın en büyük et tedarikçilerinden biri olan JBS Foods’a yönelik de yüksek profilli bir fidye yazılım saldırısı gerçekleşti. Saldırının arkasında ACER’e de saldıran REvil olduğu düşünülüyor. 

Söz konusu saldırıdan sonra tedarikte aşırı derecede sıkıntı yaşanmasa da JBS, 11 milyon dolarlık fidye ödemesi gerçekleştirdi. Bitcoin’deki bu büyük ödeme, tüm zamanların en büyük fidye yazılımı ödemelerinden biri oldu. Bu saldırının ardından da REvil, gizemli bir şekilde ortadan kaybolmuştu.

QUANTA

Apple’ın ve diğer teknoloji devlerinin bir numaralı bilgisayar tedarikçilerinden olan Quanta Computer, REvil’in saldırısına uğradı. 

Tayvan merkezli bilgisayar şirketi Apple gibi dev firmalara ürünler üretiyordu. REvil, Quanta’dan ACER’de olduğu gibi fidye olarak 50 milyon dolar talep etti. Ancak Quanta fidyeyi ödemeyi reddetti. Daha sonrasında Apple’ı tehdit eden REvil’in tehditleri yanıtsız kaldı ve saldırı geçiştirildi.

AMERİKAN BASKETBOL LİGİ (NBA)

Hemen hemen her farklı sektörlerden işletmeler ve kuruluşlar, fidye yazılımı saldırılarının hedefi konumundadır. 2021’deki öne çıkan fidye yazılım saldırıları listesindeyse en şaşırtıcı olanlardan biri NBA oldu. 

2021’in Nisan ayının ortalarında, siber suç örgütlerinden Babuk, Houston Rockets’la ilgili 500 GB gizli veri çaldığını iddia etti. Babuk, mali bilgiler ve sözleşmeler de dahil olmak üzere bu gizli belgelerin, talepleri karşılanmadığı takdirde kamuoyuna açıklanacağı konusunda uyardı. Ancak Houston Rockets herhangi bir fidye ödemesi yapmadı.

AXA

2021’in Mayıs ayında Avrupalı sigorta şirketi AXA, Avaddon çetesi tarafından saldırıya uğradı. Saldırı, şirketin sigorta poliçelerinde önemli değişiklikleri duyurmasından kısa bir süre sonra gerçekleşti. 

AXA, müşterilerinin çoğuna fidye yazılımı ödemeleri için geri ödeme yapmayı bırakacaklarını belirtti. Bir siber sigorta şirketine yapılan bu benzersiz saldırıyla Avaddon çetesi 3 TB’lık devasa bir veriye erişim kazandı.

CNA

2021’in Mart ayının başlarında, başka bir büyük sigorta şirketi bir fidye yazılımı saldırısının daha kurbanı oldu. CNA’nın ağı 21 Mart’ta saldırıya uğradı ve siber tehdit aktörleri, uzaktan çalışan birçok çalışan bilgisayarı da dahil olmak üzere 15.000 cihazı şifreledi. 

Saldırının sözde hacker grubu Evil Corp ile bağlantılı olduğu ve Phoenix CryptoLocker adlı yeni bir zararlı yazılım türü kullandığı tahmin ediliyor.

CD PROJEKT RED

CDProjekt Red, Polonya merkezli popüler bir video oyunu geliştirme firması olarak biliniyor. 2021 yılının Şubat ayında firma, HelloKitty çetesi tarafından saldırıya uğradı.

Siber tehdit grubu, firmanın oyun projelerinin kaynak kodlarına erişti. Ancak, CDProjekt fidye parasını ödemeyi reddetti ve kayıp verileri geri yüklemek için yedekleri olduğunu belirtti.

KASEYA

Acer, Quanta ve JBS Foods’u hedef alan aynı tehdit aktörü REvil, 2021’in Temmuz ayında Kaseya’ya yönelik bir saldırıyla yine manşetlere çıktı. Tüketiciler tarafından yaygın olarak bilinen bir isim olmasa da Kaseya, dünya çapındaki büyük şirketler için BT altyapısını yönetiyor. Colonial Pipeline ve JBS Foods’a yapılan saldırılara benzer şekilde bu saldırı, ekonomik olarak belirli sıkıntılara yol açtı.

Rusya destekli REvil fidye yazılım çetesi, Kaseya’nın VSA yazılımındaki bir zafiyetten faydalanarak birden fazla yönetilen hizmet sağlayıcısına (MSP) ve onların müşterilerine yönelik bir tedarik zinciri fidye yazılımı saldırısı gerçekleştirdi. REvil’e göre, bir milyon sistem şifrelendi ve fidye için tutuldu. Kaseya’ya göre, müşterilerinin yaklaşık 50’si ve toplamda yaklaşık 1000 işletme etkilendi. REvil’se fidye olarak 70 milyon dolarlık bitcoin talep etti. İsveç’te bir market zinciri, Yeni Zelanda’daki okullar ve ABD’de KOBİ’ler saldırının kurbanları arasında yer alırken İsveçli market zinciri Coop, bir hafta boyunca 800 mağazasını kapatmak zorunda kalmıştı.

Saldırıdan kısa bir süre sonra FBI, REvil’in sunucularına erişim sağlayarak şifreleme anahtarlarını aldı. Neyse ki fidye ödenmedi ve Kaseya müşterilerinin BT altyapısını geri yükleyebildi. Yılın en büyük fidye yazılımı saldırılarından biri olarak başlasa da sonunda durum kurtarıldı. 

Tarihin en büyük fidye yazılım saldırısı Kaseya hakkında bilmeniz gereken 5 şey

FİDYE YAZILIM SALDIRILARINA KARŞI ÖNLEM ALMA YOLLARI

Söz konusu sorunu çözmek için gerekli iki temel bileşene ihtiyaç duyuluyor. Birincisi, şirketlerin siber güvenliği ciddiye alması ve siber güvenliğe yatırım yapması gerektiği. İkinci olaraksa, şu anda karşı karşıya olduğumuz fidye yazılımı saldırıları belasını ele almaya hazır daha yüksek eğitimli siber güvenlik uzmanlarına ihtiyaç olduğu. 

Giordano’nun belirttiği gibi, “Pek çok şirket ve kurum hala zayıf bir güvenliğe sahip ve güçlü güvenlik, bir kerelik bir yükseltme değil, sürekli uyanıklık hâli ve güncellemeler gerektiriyor. Daha fazla kuruluş siber güvenliği ciddiye almaya ve tehditlerle mücadele etmek için zaman ve kaynaklara yatırım yapmaya başladığında, bu tehditlerin azaldığını görmeye başlayacağız.”

Dijital Güvenlik

BlackMatter fidye yazılım çetesinin ilk hedefi ortaya çıktı

Yorum yapın

Geçtiğimiz günlerde fidye yazılım dünyasına giren BlackMatter çetesinin ilk hedefi ortaya çıktı.

DarkSide ve REvil gibi büyük operasyonlar düzenleyen fidye yazılım çetelerinin bir süredir sessiz kalmasının ardından yakın zamanda ortaya çıkan ve “DarkSide ile REvil’in en iyi özelliklerini taşıdığını” iddia eden BlackMatter çetesinin, özel olarak VMware’in ESXi sunucularını hedefleyen Linux tabanlı şifreleyicisi keşfedildi.

YALNIZCA VMware ESXI SUNUCULARINA ÖZEL TASARLANMIŞ 

BlackMatter çetesinin ELF64 biçiminde bulunan şifreleyicisi, özel olarak VMware ESXi sunucularını hedeflemek için tasarlandığı belirtiliyor. Bunun sebebiyse Linux tabanlı şifreleyicinin içerisinde ESXi sunucuları için düzenlenmiş birçok komut barındırması.

Bazı komutlar güvenlik duvarıyla ilgiliyken bazı komutlar sunucuları durdurmak ve kapatmakla ilgili olduğu belirtiliyor.

ESXi sunucularını hedefleyen hemen hemen tüm fidye yazılımları, sürücüleri şifrelemeden önce sanal makineleri kapatmayı hedefliyor. Bunun nedeniyse veriler şifrelenirken herhangi bir bozulma olmasına engel olmak.

NEDEN SANAL MAKİNELER?

Sanal makinelerin giderek popülerleşmesi, kurumsal hedefleri olan siber tehdit aktörlerinin bu alanı kendilerine öncelikli hedef olarak seçmesine neden oluyor.

Bunun yanı sıra birçok sunucunun tek bir komutla şifrelenmeye müsait olması da fidye yazılım çetelerinin iştahını kabartıyor.

REvil, HelloKitty, Babuk, RansomExx/Defray, Mespinoza, GoGoogle gibi diğer fidye yazılım çetelerinin de bu amaç doğrultusunda Linux şifreleyicilerinin olduğu biliniyor.

Dijital Güvenlik

BlackMatter: DarkSide ve REvil’in hatalarından ders çıkardık 

Yorum yapın

Geçtiğimiz temmuz ayında, yeni fidye yazılım çetesi Blackmatter, çeşitli siber suç forumlarında reklamlara başlayarak, eleman alımı yaptıklarını ve REvil , DarkSide gibi ünlü grupların belli başlı özelliklerini bünyelerinde birleştirdiğini iddia etti.

 adlı çete, hedeflerinde özellikle yıllık geliri 100 milyon dolardan fazla olan büyük şirketler olduğunu söylüyor. Grup sağlık, kritik altyapı, petrol ve gaz, savunma, kar amacı gütmeyen kuruluşlar ve devlet kuruluşları gibi bazı sektörlerin yasak bölge olduğunu ve buralara saldırı düzenlemeyeceklerini ifade ediyor. 

Gruptan bir temsilci, Recorded Future adlı şirketin tehdit istihbarat analisti Dmitry Smilyanets’e Blackmatter’ın diğer fidye yazılım gruplarının hatalarından nasıl ders çıkardığını, işe aldıkları kişilerde ne aradıklarını ve neden belli sektörlerden uzak durduklarını anlattı. 

Dmitry Smilyanets: Yazılımınız henüz çok yeni. Yazılımınızı kullanmak suretiyle gerçekleştirilmiş bir saldırı henüz olmadı. Yazılımı ne zaman geliştirmeye başladınız?

BlackMatter: Henüz herhangi bir saldırı olmadı. Doğrusu, saldırdığımız şirketler halihazırda bizimle iletişim halinde. Müzakereler başarılı olduğu sürece, blogun ana sayfasında bir yazı yayımlamıyoruz.

Ürün son altı aydır geliştirilme aşamasındaydı. Kulağa basit geliyor olabilir ama öyle değil. Kullanıcıların gördüğü şey buzdağının görünen kısmı. Projeye başlamadan önce, şunları ayrıntılı olarak inceledik:

LockBit iyi bir kod tabanına sahip, ancak yetersiz ve işlevsel olmayan bir paneli var. Bir arabayla kıyaslayacak olursak, LockBit’in iyi motorları olan, ancak boş ve işlevsel olmayan bir iç mekana sahip bir Japon otomobil üretim hattı olduğunu söyleyebiliriz. Arabayı kullanırsın ama pek keyif almazsın.

REvil, zamana göre test edilmiş bir yazılım ve oldukça işlevsel bir paneli var ancak belirli hedefli şifrelemenin aksine, genel olarak başarılı “yüklerin” sayısına daha fazla odaklanıyor. 

DarkSide, iyi bir kod tabanına ve diğer RAA’lara (Kayıt Akreditasyon Anlaşması) kıyasla ilginç bir web bölümüne sahip nispeten yeni bir yazılım.

REvil ve DarkSide geri mi döndü?: Yeni fidye yazılım çetesi BlackMatter

Yürütülebilir dosya, LockBit, REvil ve kısmen DarkSide fikirlerini içeriyordu. Web Bölümü, yapısal olarak doğru olduğunu en çok düşündüğümüz Darkside’ın teknik yaklaşımını benimsedi.

DS: DarkSide, REvil, Avaddon, BABUK gibi piyasanın en büyükleri ortadan kayboldu. Birçok araştırmacı, bunun ABD ve Rusya gibi ülkelerin fidye yazılımı saldırılarıyla özel olarak ilgilenmeye başlamasından kaynaklandığına inanıyor. Doğru mu bu? Sizin ürününüzü de aynı kaderin beklediğini düşünüyor musunuz?

BM: Evet, bu grupların piyasadan çekilmesinin büyük ölçüde dünya sahnesindeki jeopolitik durumla ilişkili olduğuna inanıyoruz. Her şeyden önce, bu ABD’den ve ABD’nin planladığı ofansif siber operasyonlardan korktuklarının göstergesi. İki ülkenin siber gasp konusunda ortak çalışma yürüteceği düşüncesi de etkili. Siyasi durumu takip ediyor ve diğer kaynaklardan bilgi alıyoruz. Altyapımızı tasarlarken, tüm bu faktörleri göz önünde bulundurduk ve ABD’nin saldırgan siber yeteneklerine karşı durabileceğimizi söyleyebiliriz. Ne kadar süre için? Zaman gösterecek. Şimdilik, uzun vadeli çalışmalara odaklanıyoruz. Ayrıca hedefleri ılımlı hale getiriyoruz ve yazılımımızın istemediğimiz bir şekilde dikkatleri üzerimize çekecek olan “kritik altyapıyı kitlemek” gibi eylemlerde kullanılmasına izin vermeyeceğiz.

DİĞER YAZILIMLARIN EN GÜÇLÜ YÖNLERİNİ BÜNYEMİZDE TOPLADIK

DS: Yazılımınızın DarkSide, REvil ve Lockbit’in en iyi yönlerini bir araya getirdiğinden bahsettiniz. Nedir bu güçlü yönler?

BM: Projemiz, bu programların her birinin güçlü yönlerini birleştirdi:

REvil’in uygulamaları zayıftı ve üzerinde iyi düşünülmemişti, biz bu fikri geliştirdik ve uyguladık. Lockbit’in-kod tabanının uygulanmasına yönelik bazı yaklaşımlarını benimsedik. 

Darkside’a gelince, her şeyden önce şifreleyicinin paylaşılan sürücüleri şifrelemek için domain yönetici hesabını kullanma yeteneğini benimsedik. Buradan ayrıca yönetici panelinin yapısını da ödünç aldık.

DS: En son raporlara dayanarak, BlackMatter görsel olarak DarkSide’a çok benziyor. Altyapınızın DarkSide’a dayandığını doğrulayabilir misiniz?

BM: Tasarımda karanlık modun hayranı olduğumuzu net bir şekilde söyleyebiliriz. Geçmişte birlikte çalıştığımızdan dolayı DarkSide ekibine aşinayız, ancak fikirlerine kendimizi yakın hissetsek da biz onlar değiliz.

DS: LockBit 2.0 şu anda en hızlı şifreleyici olarak kabul ediliyor. Sizin ürününüzün şifreleme / şifre çözme hızı nedir?

BM: Bu doğru değil. LockBit’in en son sürümünü (06.21 sonu) indirerek ve testler yaparak kendimizi hazırlamaya karar verdik, bunun sonucunda şunu tespit ettik: 

BlackMatter: 2.22

LockBit: 02.59

Tarihin en büyük fidye yazılım saldırısı Kaseya hakkında bilmeniz gereken 5 şey

Testler aynı koşullar altında gerçekleştirildi. Dahası, LockBit dosyanın ilk 256 KB’sini şifreler (kriptografik güç açısından oldukça kötü). Öte yandan, biz 1 MB’yi şifreliyoruz. 

DENEYİMLİ VE BU İŞTEN GERÇEKTEN PARA KAZANMAK İSTEYEN KİŞİLERLE ÇALIŞMAK İSTERİZ

DS: StealBit örneğini takip ederek ürüne yeni özellikler eklemeyi planlıyor musunuz?

BM: Evet, yazılım yakın gelecekte ortaya çıkacak yeni işlevler açısından sürekli olarak geliştiriliyor. Ayrıca rakiplerimizi izliyoruz ve müşterilerimizin taleplerini her zaman dikkate alıyoruz.

DS: Ekibinize yeni kişiler dahil etmek için ilan verdiğinizi gördüm. Kaç tane penetration tester (sızma testi uzmanı) almak istiyorsunuz? Küçük ama güçlü bir ekiple mi yoksa “Script kiddie”lerden (hacker olarak anılmasa da internet ortamında zararlı eylem yapan kişiler) oluşan bir orduyla çalışmak mı daha kolay?

BM: İşi denemek isteyen birilerine değil, tecrübeye, kendi teknik çözümlerine ve para kazanmak için gerçek bir arzuya sahip güçlü, kendi kendine yeten ekiplere odaklanıyoruz. “Script kiddie”leri genellikle admin paneline erişim elde etmeden önce elemek istiyoruz.

HERŞEY İYİ BİR YÖNDE İLERLESE GELİŞİM MÜMKÜN OLMAZDI

DS: Açıkçası, ekibinizde birçok yetenekli profesyonel var. Bu yetenek neden yıkıcı faaliyetlere yönelik olmak durumunda? Yasal penetrasyon testini denediniz mi?

BM: Yaptığımız işin yıkıcı olduğunu inkar etmiyoruz, ancak olaya daha derine bakarsak—bu sorunların bir sonucu olarak yeni teknolojiler geliştiriliyor ve yaratılıyor. Her şey yolunda gidiyor olsaydı, yeni gelişmelere gerek kalmazdı.

Tek bir hayat var ve ondan her şeyi alıyoruz, işimiz bireylere zarar vermiyor, sadece şirketlere yönelik. Şirketler ise her zaman para ödemek suretiyle ve kaybettiği tüm verilerini geri yükleme yeteneğine sahip. Yasal penetrasyon testine dahil olmadık ve bunun uygun maddi ödül getiremeyeceğine inanıyoruz.

DS: Colonial Pipeline’ın altyapısına veya JBS’ye yapılan saldırılar hakkında ne düşünüyorsunuz? Bu kadar büyük ağlara saldırmak mantıklı mı?

BM: Bunun REvil ve DarkSide’ın kapatılmasında önemli bir faktör olduğunu düşünüyoruz, bu tür bir saldırıyı yasakladık ve onlara saldırmayı anlamlı bulmuyoruz.

DS: ABD Adalet Bakanlığı, Colonial tarafından ödenen bitcoinlerin bir kısmını kurtarabildiklerini söyledi. Sizce bu nasıl mümkün oldu?

BM: DarkSide ekibinin veya ortaklarının bitcoins’i web cüzdanlarına aktardığını ve bunun da özel anahtarların ele geçirilmesine yol açtığını düşünüyoruz.

DS: Ağlara aktif olarak erişim satın alıyorsunuz. Devlet ve sağlık kurumlarıyla İLGİLENMEDİĞİNİZİ beyan ediyorsunuz. Aynı zamanda, kritik altyapı, savunma, kar amacı gütmeyen kuruluşlar ve petrol dahil olmak üzere daha geniş bir sektör yelpazesini şifrelemeyeceğinizi belirttiniz. Ağı şifreleme konusunda son sözü kim söylüyor?

BM: Son söz bizim. Her hedefi kontrol ediyoruz ve bizim için potansiyel olumsuz sonuçları olup olmadığına karar veriyoruz. Blogdaki ve forumdaki sektörler arasındaki tutarsızlık pazarlama ile ilgilidir. Kişisel yazışmalarımızda, ilgilenmediğimiz kişileri filtreleriz.

DS: Şirketleri ödeme yapmaya en fazla motive eden faktör hangisi? Altyapının kullanılamaması veya veri sızıntısı korkusu?

Siber saldırganlar işi büyüttü: En iyi kripto para saldırısı için yarışma düzenliyorlar

ŞİRKETLER ÖDEME YAPMAKTAN ASLA VAZGEÇMEZ

BM: Şirketten şirkete değişiyor. Bazıları için gizliliği korumak önemlidir ve diğerleri için altyapının geri yüklenmesi. Ağ tamamen şifrelenmişse ve verilerin yayınlanma riski de varsa, şirket büyük olasılıkla ödeme yapacaktır.

DS: Eğer sigorta şirketleri bir gün fidye yazılımı ödemelerini kapsamamaya başlarsa fidye yazılıma olan ilginiz değişir mi?

BM: Değişmez. Şirketler ne olursa olsun ödeme yapmaya devam edecek. Ödenen miktarın azalması mümkündür. 

Şu anda sigorta ücretleri arttı, ancak bu durumda yalnız kalacaklarından korkarak herkes sigorta yaptırmaya devam edecek.

DS: Bize bir sır verebilir misiniz?

BM: Sır yok, ama şunu söylemek isteriz ki vatanımıza inanıyoruz, ailelerimizi seviyoruz ve çocuklarımız için para kazanıyoruz.

Siber Saldırılar

REvil ve DarkSide geri mi döndü?: Yeni fidye yazılım çetesi BlackMatter

Yorum yapın

Yeni fidye yazılım grubu “BlackMatter”, bir süredir saldırı yapmayan “Revil ve DarkSide grupları geri mi döndü?” sorusunu akıllara getirdi. Çete diğer grupların özelliklerini bir araya getirerek dikkatleri üzerine çekti. 

Rus darkweb forumlarında  ortaya çıkan yeni fidye yazılım grubu, kendisini “Proje; DarkSide, REvil ve LockBit’in en iyi özelliklerini kendi içinde birleştirdi.” şeklinde tanıttı.

Exploit forumunda yer alan bir paylaşımda BlackMatter, daha önce saldırıya uğramış ABD, Kanada, Avustralya ve Birleşik Krallık’taki kurumsal ağlara erişimi olan siber tehdit aktörlerini işe almak istediğini duyurdu.

GRUBU KİMLER OLUŞTURDU?

BlackMatter’ın sızıntı sitesinde bulunan “Hakkımızda ve Kurallar” kısmındaysa “Sağlık kuruluşlarına, kritik altyapı tesislerine (nükleer santraller, enerji santralleri, su arıtma tesisleri vs.), petrol ve gaz endüstrisine, savunma sanayiiye, kar amacı gütmeyen kuruluşlara ve hükümet kurumlarına” saldırmayacağı aktarıldı.

Halihazırda herhangi bir operasyona imza atmayan BlackMatter, içerisinde soru işaretleri barındırmaya devam ediyor. Bunlardan en önemlisi ise grubun kimler tarafından oluşturulduğu. Bu konu ise bir süredir sessiz kalan iki fidye yazılım grubunu akıllara getiriyor.

Rusya destekli REvil fidye yazılım grubu, teknoloji sağlayıcı şirket Kaseya’nın VSA yazılımındaki bir zafiyetten faydalanarak birden fazla yönetilen hizmet sağlayıcısına (MSP) ve onların müşterilerine yönelik bir tedarik zinciri fidye yazılımı saldırısı gerçekleştirmişti.

Tarihin en büyük fidye yazılım saldırısı Kaseya hakkında bilmeniz gereken 5 şey

KASEYA VE COLONIAL PIPELINE SONRASI İKİ GRUP DA ORTADA YOKTU

Yaşanan hadiseden birçok şirket etkilenirken, süper market zincirlerinde de kapanmalar olmuştu. Et tedarikçisi JBS Foods’a da saldıran REvil, bu saldırıların ardından gizemli bir şekilde ortadan kaybolmuştu.

Diğer bir saldırıysa, ABD’nin en büyük boru hattı olan Colonial Pipeline’a yönelik fidye yazılım saldırısıydı. Söz konusu saldırı DarkSide grubu imzası taşırken, bu saldırının ardından Colonial Pipeline, geçici süreyle hizmet verememişti. 

DarkSide da, tıpkı REvil gibi, Colonial Pipeline saldırısının ardından ortadan kaybolmuştu.

Rusya destekli gruplar olduğu bilinen söz konusu grupların, kısa süre önce Rus hacker forumlarından da silindiği ortaya çıkmıştı. Büyük saldırılar ertesinde dikkatleri üzerlerine çeken gruplar, 2021 yılında toplam yaklaşık 16 milyon dolar fidye toplamıştı.

Ortaya çıkan yeni fidye yazılım grubu BlackMatter’ın, bir süredir faaliyet göstermeyen iki fidye yazılım grubuyla bağlantısının olduğu düşünülüyor.

Dijital Güvenlik, Siber Güvenlik, Zararlı Yazılım

2020 yılının kötücül fidye yazılımı trendi: “DarkSide” nedir?

Yorum yapın

DarkSide, Malware Hunter Team tarafından yakın zamanda keşfedildi. DarkSide, dosyaları şifreleyerek, dosya adlarını değiştirerek ve bazı fidye notları oluşturarak mağdurlardan para almak için dosyaları erişilemez hale getirmek üzere bir fidye yazılımı olarak 2020 yılının ortalarından beri gündemde.

DarkSide FİDYE YAZILIMI NE YAPIYOR?

DarkSide, kurbanın kimliğini bir uzantı olarak ekleyerek, şifrelenmiş dosyaları yeniden adlandırıyor. Örneğin, “1.jpg”yi, “1.jpg.d0ac7d95” olarak, “2.jpg”yi, “2.jpg.d0ac7d95” olarak yeniden adlandırır ve bu böyle devam eder. Şifrelenmiş veri içeren her klasöre ise “README.[Victim’s_ID].TXT” fidye notunu bırakıyor.

Aşağıdaki görselde şifrelenmiş dosyaları görebilirsiniz:

Fidye notunda belirtildiği gibi DarkSide fidye yazılımı, verileri güçlü şifreleme algoritmalarıyla şifreliyor. Böylece mağdurlar, kötü amaçlı yazılımın arkasındaki siber suçlulardan satın alınabilecek bir yazılım olmadan dosyaların şifresini çözemiyor. Mağdurlar, fidye ödemeyi reddederlerse (şifre çözme yazılımı satın almazlarsa) tüm verilerinin belirli bir web sitesinde yayınlanacağı ve en az 6 ay boyunca saklanacağı konusunda uyarılıyor.

Kullanıcıları, güvenliği ihlal edilmiş verilerinin şifresini çözmek için fidye ödemeye teşvik eden bir mesajın ekran görüntüsünü aşağıda görebilirsiniz:

FİDYE MİKTARI 200 BİN DOLAR İLE 2 MİLYON DOLAR ARASINDA 

Fidyenin nasıl ödeneceğine ilişkin talimatlar ve şifre çözme yazılımının fiyatı gibi diğer ayrıntılar, fidye notundaki bir bağlantı (“README. [Kurbanın_Kimliği] .TXT” metin dosyası) aracılığıyla erişilebilen ‘Tor’ web sitesinde yayımlanıyor.

Interpol uyardı: Hastaneleri hedef alan fidye yazılımlar artıyor

DarkSide’ın arkasındaki siber suçluların büyük şirketleri hedef alıyor olması kimseyi şaşırtmayacak. Çünkü DarkSide operatörlerinin fidye talepleri 200.000 ila 2.000.000 dolar arasında değişiyor. Siber suçlular şifre çözme yazılımlarının ise 3 gün içinde alınmasını istiyor. Aksi takdirde fiyat iki katına çıkıyor.

Aşağıda istenilen fidye miktarını ve fidye belirlenen sürede ödenmediğinde iki katına çıkacağına dair uyarıları görebilirsiniz:

 

DOSYALARINIZIN ŞİFRELERİNİ YALNIZCA DOSYALARINIZI ŞİFRELEYENLER ÇÖZEBİLİYOR

Fidye yazılımı saldırısının kurbanı olmanın en büyük sorunu ise belirli bir fidye yazılımının arkasındaki siber suçluların, kurbanın dosyalarının şifresini çözebilecek araçlara sahip olan tek kişiler olmasıdır.

Ne yazık ki, DarkSide tarafından şifrelenen dosyaların şifresini çözebilecek başka hiçbir araç yok, tabii siber suçlular dışında. Bununla birlikte şifreleri sadece hackerların çözebilecek olması, siber suçlulara fidye ödemenin sizin için tek seçenek olacağı anlamına gelmiyor. Çünkü siz fidyeyi ödeseniz bile çoğu zaman size şifre çözme aracı veya anahtar göndermiyorlar. Basitçe söylemek gerekirse, fidye ödeyen kurbanlar genellikle dolandırılıyor.

Kendi başınıza dosyalarınızın şifresini çözmenizin iki yolu var. Birincisi eğer fidye yazılımında bazı hatalar, kusurlar veya açıklar varsa bu yollardan hareket ederek dosyalarınızın şifresini çözebilirsiniz. Siber suçlulardan herhangi bir şey satın almak zorunda kalmadan veri kaybını önlemenin diğer yolu ise dosyalarınızı yedekten geri yüklemektir. Tabii yedeklediyseniz.

Aşağıdaki görselde Darkside’ın veri sızdırdığı internet sitesini görebilirsiniz:

 

KENDİNİZİ FİDYE YAZILIMI SALDIRILARINDAN NASIL KORUYABİLİRSİNİZ?

Çeşitli tehditlerin üstesinden gelmek için, kuruluşlara ve kullanıcılara aşağıdakileri ufak ama önemli önerileri söyleyebiliriz:

  • Uygulamaları yalnızca resmi uygulama mağazalarından indirin.
  • Güvenilmez kaynaklardan gelen e-postalardan veya diğer mesajlardan bağlantıları tıklamayın ve ekleri asla indirmeyin.
  • En son güvenlik açıklarının yamalandığından emin olmak için yazılım ve uygulamaları düzenli olarak güncelleyin.
  • Sistemlerinize, tehditleri engelleyebilen ve bunlara karşı sizi savunabilen güvenlik sistemleri kurun. 

     

     

    Siber Bülten abone listesine kaydolmak için formu doldurunuz