Geçen hafta son yılların en büyük fidye yazılım saldırılarından birini gerçekleştiren siber tehdit grubu REvil, her geçen gün talep ettiği fidyeyi yük tüm mağdurların kilitlenen dosyalarını açacak bir şifre karşılığında 70 milyon dolar değerinde Bitcoin fidye istedi.
REvil önce ABD teknoloji şirketi Kaseya’yı hedef alan virüsünün 1 milyon sisteme girdiğini iddia ediyor. Bu sayı başka kaynaklardan doğrulanmış değil ve tam olarak kaç sistemin etkilendiği bilinmiyor.
Etkilenenler arasında İsveç’deki Coop süpermarketlerinin 500 şubesi ve Yeni Zelanda’da 11 okul bulunuyor. İki Hollanda teknoloji şirketi de yerel medyada yer alan haberlere göre saldırıdan etkilendi.
Kaseya kendi müşterileri arasında etkilenenlerin sayısının 40’ın altında olduğunu söylüyor. Fakat Kaseya aynı zamanda başka şirketlere taşeron olarak internet teknolojisi hizmeti veren sunuculara da yazılım verdiği için mağdurların sayısı çok daha yüksek olabilir.
Ayrıca etkilenen şirketlerin kullandığı bilgisayar sistemleri de ayrı ayrı saldırıya uğramış olabilir.
Kaseya CEO’su Fred Voccola Associated Press ajansına mağdurların sayısının muhtemelen binlerle ifade edilebileceğini bunlar arasında dişçi muayenehaneleri ya da kütüphaneler gibi küçük kurumların da bulunabileceğini söyledi.
Dünyanın en büyük siber suç çetelerinden birine çalışan “hacker teyze” yakayı ele verdi.
ABD Adalet Bakanlığı, özellikle pandemi sırasında milyonlarca bilgisayarı etkilediği bilinen ve sistemlerin birçoğuna fidye yazılım bulaştırmaktan sorumlu suç platformu Trickbot için programcı olarak çalıştığı iddia edilen 55 yaşındaki Litvanyalı bir kadının tutuklandığını duyurdu.
İki çocuk annesi kendi halinde bir web sitesi tasarımcısı izlenimi veren kadın dünyanın en açgözlü siber suç çetelerinden biri için çalışırken yakayı nasıl ele verdi?
Adalet Bakanlığı tarafından yayınlanan iddianamede sanıklardan sadece birinin adı geçiyor: 6 Şubat’ta Florida Miami’de tutuklanan 55 yaşındaki Litvanya vatandaşı Alla “Max” Witte. Özel ajan Eric B. Smith, Witte ve işbirlikçilerinin, banka kimlik bilgilerini çalmak amacıyla dünya çapında on milyonlarca bilgisayara zararlı yazılım yerleştirmek ve ardından virüslü bilgisayar sistemleri aracılığıyla kurbanlardan milyonlarca dolar para sızdırmakla suçlandığını belirtiyor.
İddianameye göre Witte, Trickbot’ta şu işlerden sorumlu: Fidye yazılımının kontrolü ve dağıtımı, kurbanlardan fidye ödemelerinin alımı ve sistemleri Trickbot’un saldırısına uğrayan kurbanların çalınan kimlik bilgilerini saklamak için araçlar ve protokoller geliştirilmesi.
İddianamede ayrıca Witte’nin kurbanların bir veri tabanında saklanan verilerine erişmekte kullanılan bir web paneli için Trickbot grubuna kod sağladığı da belirtiliyor. Hükümete göre, bu veritabanı çok sayıda kredi kartı numarası ve Trickbot botnet’ten çalınan kimlik bilgilerinin yanı sıra virüslü cihazlar hakkında bilgi de içeriyordu.
AMATÖRCE HATALAR YAPINCA YAKALANDI
Hastaneler, okullar, kamu hizmetleri ve hükümetleri hedef alan bu denli büyük bir suç çetesine karşı düzenlenen bir polis bakını iyi bir haber olsa da yakından bakıldığında Witte’nin tutuklanmasının zaten kaçınılmaz olduğu net bir şekilde görünüyor: Zira bilgisayar korsanı kadının oldukça amatörce güvenlik hataları yaptığı ortaya çıktı. Witte 2020’de Trickbot kötü amaçlı yazılımının dağıtımını kendi adına kayıtlı bir web sitesinden yapma hatasına düşmüş.
Rusya’dan veya eski Sovyet ülkelerinden gelen birçok siber suçlunun aksine, Witte’nin kendisini ABD kolluk kuvvetlerinin ulaşabileceği bölgelere seyahat etmekten kaçınmak zorunda hissetmediği görülüyor. İddianameye göre, Witte Güney Amerika ülkesi Surinam’da yaşıyordu ve Surinam’dan uçarken Miami’de tutuklandı. Surinam’dan nereye uçtuğu ise belli değil.
Siber güvenlik istihbarat firması Hold Security’nin kurucusu Alex Holden, Witte’nin en büyük yanlışı kendi bilgisayarlarından birini Trickbot kötü amaçlı yazılımıyla enfekte ederek bu yazılımın botnet arayüzünde verileri çalmasına ve kaydetmesine izin verdiğinde yaptığını düşünüyor.
Peki kendini koruma noktasında sıfır bilinç sahibi bu “hacker teyze” nasıl oldu da dünyanın en büyük siber suç çetesinde işe alındı?
İddianamede iş arayan programcıların özgeçmişlerine ulaşmak için ücretli Rus ve Belarus merkezli iş bulma sitelerini sürekli olarak tarayan Trickbot grubunun işe alım süreçlerine de yer verilmiş. Başvuru yapanlardan başvuru sahibinin problem çözme ve kodlama becerilerini test etmek için tasarlanmış çeşitli programlar oluşturmaları istenmiş. Ve bu süreçlerden birinde Witte de dahil olmuş.
ABD, Colonial Pipeline şirketine yapılan siber saldırının ardından fidye yazılım gruplarına terörist muamelesi yapma kararı aldı.
ABD Adalet Bakanlığı, son zamanlarda siber suçluların neden olduğu zararın artmasının ardından fidye yazılım saldırılarına yönelik soruşturmaları derinleştirecek.
Reuters’a açıklama yapan üst düzey bir bakanlık yetkilisi, fidye yazılıma ilişkin soruşturmanın terörizmle eş değer olarak yürütüleceğini açıkladı.
Ülke genelindeki savcılıklara gönderilen bir kılavuz belgede, fidye yazılım soruşturmalarına ilişkin bilgilerin Washington’da yeni oluşturulan bir görev gücü ile merkezi olarak koordine edilmesi gerektiği belirtildi.
Adalet Bakanlığı Başsavcı Yardımcısı John Carlin, “Ülkede nereyi hedef aldığına bakılmaksızın tüm fidye yazılım davalarını takip etmemizi sağlamaya yönelik özel bir süreç başlıyor. Böylece aktörler arasındaki bağlantıları kurabilir ve zinciri bozmak için yolumuza devam edebiliriz.” dedi.
COLONIAL PIPE SALDIRISI YETKİLİLERİ HAREKETE GEÇİRDİ
Geçtiğimiz ay, ABD’li yetkililerin Rusya merkezli faaliyet gösterdiğini belirttiği bir siber suç grubu, ABD’nin doğu kıyısındaki boru hattı operatörüne sızarak sistemlerini kilitlemiş ve karşılığında fidye talep etmişti.
Saldırı sistemlerde birkaç gün süren bir kapanmaya neden olmuş, gaz fiyatlarında bir artışa, “panik alımlarına” ve ülkenin güneydoğu kısmında bölgesel yakıt kıtlığına yol açmıştı.
Colonial Pipeline, sistemlerine erişimi yeniden kazanmak için sistemlerini istila eden hackerlara yaklaşık 5 milyon dolar ödemeye karar verdiklerini açıklamıştı.
ABD Adalet Bakanlığı’nın gönderdiği kılavuz belge, “fidye yazılımı ve dijital gaspın ülke için oluşturduğu tehdidin bir örneği olarak” özellikle Colonial vakasına atıfta bulunuyor.
FİDYE YAZILIM SORUŞTURMALARI MERKEZİLEŞECEK
İlk kez Reuters tarafından ortaya çıkarılan belgede şu ifadeler yer aldı: “Ulusal ve küresel davalar ve soruşturmalar arasında gerekli bağlantıları kurabilmemiz ve karşılaştığımız ulusal ve ekonomik güvenlik tehditlerinin kapsamlı bir resmini çekmemiz için dahili izlemeyi geliştirmeli ve merkezileştirmeliyiz”
ABD’li yetkililer, Adalet Bakanlığı’nın fidye yazılımını bu özel sürece dahil etme kararının, sorunun nasıl öncelikli hale getirildiğini gösterdiğini söyledi.
Carlin, “Bu modeli daha önce terörizm konusunda kullandık, ancak fidye yazılımı konusunda asla kullanmadık.” dedi. Hukukçular, bahsi geçen sürecin genellikle ulusal güvenlik davaları da dahil olmak üzere çok az sayıda konu için hayata geçirildiğini belirtiyor.
Pratikte, ABD Savcılık Ofisi’nde fidye yazılımı saldırıları ile ilgilenen soruşturmacıların Washington’daki yetkililer ile hem güncel bilgileri hem de teknik bilgileri paylaşması bekleniyor.
BOTNETLER, BPH’LER VE YASADIŞI FORUMLARA SIKI TAKİP
Kılavuz belgeye göre, savcılıklardan merkezi bildirim yapmaları istenen soruşturmaların listesinde şu işlemler yer alıyor: Karşı anti-virüs hizmetleri, yasadışı çevrimiçi forumlar veya pazar yerleri, kripto para değişimi işlemleri, BPH (kurşun geçirmez barındırma hizmetleri), botnet’ler ve çevrimiçi kara para aklama hizmetleri.
Kurşun geçirmez barındırma hizmetleri, siber suçluların anonim olarak izinsiz giriş yapmasına yardımcı olan opak internet altyapısı kayıt hizmetlerini ifade ediyor.
Botnet ise, dijital zarara neden olmak için manipüle edilebilen, gizliliği ihlal edilmiş internet bağlantılı bir cihazlar grubu. Hackerlar, reklam dolandırıcılığından daha geniş siber saldırılara kadar siber suç işlemek için botnet geliştiriyorlar, satın alıyorlar ve kiralıyorlar.
Carlin, “Savcıların ve dedektiflerin kripto para borsaları, yasadışı çevrimiçi forumlar veya kullanıcıların bilgisayar korsanlığı araçları ve ağ erişimi kimlik bilgileri sattığı pazarlara ilişkin rapor verdiklerinden ve bunları takip ettiğinden ve de birden fazla amaca hizmet eden botnet’lerin peşine düştüğünden emin olmak istiyoruz.” diyor.
Eski bir avukat ve siber suç uzmanı olan Mark Califano, bu şekilde bir raporlamanın “Adalet Bakanlığı’nın kaynakları daha etkin bir şekilde dağıtmasına” ve siber suçlular tarafından kullanılan “istismarları” tespit etmelerini sağlayacağını söyledi.
Kişileri ve kurumları hedef alan fidye yazılım saldırılarının bu yılın ilk çeyreğinde yüzde 58 arttığı ortaya çıktı.
Siber saldırılar pandemi dönemiyle beraber zirveye çıktı. Siber saldırı türlerinden son dönemde en çok dikkat çeken yöntem ise fidye yazılım saldırıları oldu.
Konuyla ilgili bir rapora ait verileri paylaşan siber güvenlik firması Kron’un Genel Müdürü Mete Sansal, “Siber korsanların kişi veya şirket bilgilerini bloke edebilmelerini ve bu bilgileri sızdırmamak için karşılığında yüklü ücretler isteyebilmelerini sağlayan uygulamalara fidye yazılımları adı veriliyor. 2020 yılında yedi kat daha artan fidye yazılım saldırıları, milyon dolarların ödendiği büyük bir sektöre dönüşmüş durumda. Yapılan saldırılar ve bu saldırılara karşılık şirketlerin ya da kişilerin ödediği yüksek meblağlar, kötü niyetli oluşumların da daha etkili fidye yazılım saldırıları için daha güçlü yöntemler bulmasını tetikliyor.” dedi.
FİDYE YAZILIMDAN EN ÇOK HUKUK FİRMALARI MAĞDUR
Sansal, “Elimizdeki veriler fidye yazılım saldırılarının giderek arttığını gösteriyor. Dünyaca ünlü data şirketi Coveware’nin Fidye Yazılım Raporu’na göre; 2021’in ilk çeyreğinde fidye yazılımı saldırıları yüzde 58’lik bir artış gösterdi. Yine bu saldırılardan yüzde 77’si verilerin sızdırılması tehdidini içerdi. Sızdırma tehditleri ilk çeyrekte, 2020’nin son çeyreğine göre, yüzde 10 artış gösterdi. Ortalama fidye ödemesi 2020’nin 4. çeyreğinde 150 bin dolardan yüzde 43 artışla 20 bin doları üzerine çıktı. Fidye yazılım saldırılarının yüzde 77’si sızdırılan verilerin tehdidini içerdi. İlk çeyrekte fidye yazılımı saldırılarından en çok etkilenen sektörlerin başında hukuk firmaları geldi.” diye konuştu.
Dünyanın pek çok bölgesinde olduğu gibi Türkiye’de de gündeme gelen fidye yazılım saldırılarından korunmak için yapılması gerekenlerin başında kimlik yönetimi ve veri güvenliğini sağlamak geliyor.
Kurumsal verilerin korunması için gereken adımlar ise şöyle sıralanıyor:
Uzaktan erişim sağlayan ayrıcalıklı hesaplara karşı erişim güvenliğinin artırılması
Sisteme bağlanan yetkili hesapların oturumlarının takip edilebilir şekilde kimlik yönetiminin sağlanması
Yetkili hesap bilgilerinin sıkı bir şekilde yönetilmesi ve kontrol edilmesi
En Az Ayrıcalık İlkesi’nin (Least Privilege) uygulanması, böylece en az yetkilendirme ile ayrıcalıklı hesapların erişebildikleri alanların kontrol altında tutulması
Uygulama kontrollerinin yapılması ve gerekiyorsa güncellemeler vasıtasıyla güvenlik açıklarının kapatılması
ABD’de fidye yazılım saldırısının kurbanı olan boru hattı zorunlu olarak kapandı.
Ülkede akaryakıt sevkiyatının önemli bir bölümünü gerçekleştiren Colonial Pipeline adlı boru hattı şirketi, uğradığı bir fidye yazılımı saldırısının ardından 5.500 mil uzunluğundaki boru hattının sistemlerini durdurduğunu açıkladı. Şirket bir siber saldırının kurbanı olduklarını geçtiğimiz cuma günü öğrendiklerini duyurdu.
ABD Körfez Kıyısı ile New York Limanı bölgesi arasında rafine yakıt ve jet yakıtı taşıyan ve ülkenin en büyük rafine ürün boru hattı sistemi olan şirket, fidye yazılımı saldırısına maruz kalmasının ardından kapatılmak zorunda kaldı. Sözkonusu olay enerji şirketlerinin saldırılara karşı ne kadar savunmasız olduğunu ortaya koydu.
FBI DA SÜRECE DAHİL OLDU
Şirket tarafından yapılan açıklamada olası bir veri ihlalini engellemek için Doğu Kıyısı’nın yakıt tedarikinin yüzde 45’inin taşındığı 5.500 millik boru hattının kapatıldığı belirtildi. Cuma günü erken saatlerde, boru hattı boyunca birtakım aksamalar yaşandı, ancak o sırada bunun saldırının doğrudan bir sonucu mu yoksa şirketin önlem amaçlı sistemi kapatma hamlesinin bir sonucu mu olduğu net değildi.
FBI, Enerji Bakanlığı ve Beyaz Saray’In konuya ilişkin detaylı inceleme istemesi üzerine Colonial Pipeline, kurumsal bilgisayar ağlarının, bir fidye yazılımı saldırısından etkilendiğini kabul etti. Şirket, hackerların boru hattının hassas kısımlarına saldırmalarını sağlayacak bilgilere erişmiş olabileceğinden korktuğu için önlem olarak boru hattını kendisinin kapattığını söyledi.
SALDIRININ ARKASINDA HERHANGİ BİR DEVLETİN DEĞİL SUÇ ÖRGÜTLERİ OLDUĞUNA İNANILIYOR
Şirket yetkilileri, saldırının ABD’deki kritik altyapıya zarar vermek isteyen bir devletten ziyade bir suç grubunun eylemi olduğuna inandıklarını söyledi. Ancak zaman zaman, bu tür grupların yabancı istihbarat teşkilatlarıyla bağlantıları olduğu ve onların adına faaliyet gösterdiği biliniyor.
1960’ların başından bu yana ABD’nin Doğu kıyısına hizmet veren bu kadar hayati bir boru hattının kapatılması, doğrudan veya dolaylı olarak internete bağlı olan eski bir altyapının savunmasızlığını ortaya koyuyor. Son aylarda yetkililer, fidye yazılım saldırılarının sıklığının ve karmaşıklığının arttığını, kurbanların Columbia Polis Departmanı’ndan, koronavirüs hastalarını tedavi eden hastanelere ve sistemlerinin delinmiş olmasından utandıkları için sık sık bu saldırıları gizlemeye çalışan üreticilere kadar geniş bir yelpazede seyrettiğini belirtiyor.
AÇIKLAMA YAPMAK ZORUNDA KALDI
Colonial özelinde ise piyasaların kazanın mı, bir bakım sorununun veya bir siber güvenlik probleminin mi kapanmaya yol açıp açmadığı yönünde dile getirilen spekülasyonlara tepki vermeye başlamasının ardından şirket bir süredir benzin ve jet yakıtının müşterilerine tedarik edilmediğinin nedenini açıklamak zorunda kaldı. Ancak Colonial, fidyeyi ödemeyi planlayıp planlamadığını söylemeyi reddediyor. Bu durum genellikle şirketin bunu yapmayı düşündüğü veya halihazırda ödemiş olduğu şeklinde yorumlanıyor. Şirket normale ne zaman dönecekleri hakkında da bir yorum yapmadı.
FBI ise Enerji Bakanlığı ve Ulusal Güvenlik Bakanlığı’na bağlı Siber Güvenlik ve Altyapı Güvenlik Ajansı ile birlikte soruşturmaya dahil olduğunu doğruladı.
Kritik altyapılara yönelik saldırılar son on yıldır gündemde olan bir konu ancak Rus istihbarat örgütleri tarafından gerçekleştirildiği düşünülen SolarWinds saldırısı başta olmak üzere son dönemde gerçekleşen ihlaller hükümetin ve önemli kuruluşların güven duyduğu ağların savunmasızlığını gözler önüne serdi.
BEYAZ SARAY SALDIRININ PEŞİNE BIRAKMAYACAK
Bu nedenle, boru hattı saldırısının nasıl geliştiğini ve saldırının arkasındakilerin motivasyonlarını anlamanın federal araştırmacıların ve siber zorbalıkları ulusal güvenlik gündeminin zirvesine taşıyan Beyaz Saray’ın odak noktası olacağa benziyor.
Beyaz Saray, Başkan Joe Biden’in fidye yazılımı saldırısı hakkında derhal bilgilendirildiğini ve federal yetkililerin “Bu olayın etkilerini değerlendirmek, tedarik kesintilerini önlemek ve şirketin boru hattı operasyonlarını mümkün olan en kısa sürede geri kazanmasına yardımcı olmak için çalıştığını ” açıkladı. Ayrıca akaryakıt sektöründeki diğer şirketlerin kendilerini korumak için hareket ettiğinden emin olmak istediklerini de vurguladı.
Colonial özel sektör şirketi olduğu için daha az baskı altında. Halka açık bir şirkete ayrıntıları ortaya çıkarma noktasında daha fazla baskı uygulanıyor. Ancak, ülkenin siber altyapısının önemli bir bölümünün koruyucusu olan şirketin sunduğu güvenliğin kalitesi ve saldırıya nasıl tepki verdiği konusunda daha fazla şeffaf olması bekleniyor.
Colonial’in de konuyla ilgili olarak, Sony Pictures Entertainment’ın hacklenmesine, Orta Doğu’daki enerji tesisi ihlallerine ve federal hükümeti içeren birçok operasyona müdahale eden özel siber güvenlik şirketi Fireeye ile anlaştığı biliniyor.
Söz konusu fidye yazılımı saldırısı, bir boru hattı operatörüne yönelik bilinen ikinci olay oldu. Geçen yıl, Siber Güvenlik ve Altyapı Güvenlik Ajansı, bir boru hattı operatörüne ait bir doğal gaz kompresyon tesisine fidye yazılımı saldırısı olduğunu bildirmişti. Söz konusu saldırı da bahsi geçen şirketin tesislerini iki gün boyunca kapatmasına neden olmuştu. Ancak saldırıya uğrayan şirketin ismi verilmemişti.
KRİPTO PARA İLE ÖDEME YAYGINLAŞMASI FİDYE YAZILIMI SALDIRILARININ TAKİBİNİ ZORLAŞTIRIYOR
Siber güvenlik uzmanları, otomatik saldırı araçlarının gelişmesinin ve faillerin takibini zorlaştıran “kripto para birimleri ile fidye ödemelerinin artmasını” bu tür saldırıları daha da kötüleştirdiğini söylüyor.
SRI International’ın endüstriyel sistemlere yönelik tehditler konusunda uzman Direktörü Ulf Lindqvist’İn söyledikleri dikkat çekici: “Fidye yazılımlarının hastaneler ve belediyeler gibi yumuşak hedeflere ulaşmaya başladığını görüyoruz, burada sistemlere erişim kaybının çok ciddi sonuçları olabileceğinden, mağdurların ödeme yapma olasılığı daha yüksek oluyor. Neticede sadece e-postanızı kaybetmekten bahsetmiyoruz, yaralanma veya ölüm riskinden bahsediyoruz.”
