Avustralya’da 9,7 milyon kişinin verilerini sızdıran ve Rusya destekli olduğu düşünülen fidye çetesi kişi başı 1 dolar fidye talep etti.
Siber tehdit aktörleri geçtiğimiz günlerde Avustralya’nın en büyük sağlık sigortası kuruluşu olarak bilinen Medibank’ın 9,7 milyon müşterisinin sağlık bilgilerini çalmıştı.
Müşterileri arasında Başbakan Anthony Albanese’in de olduğu şirket, siyasetçilerden aktörlere kadar milyonlarca kişinin kişisel verileri ve bütün sağlık bilgilerini tutuyordu. Saldırganlar ise fidye taleplerinin kabul edilmesi için tüm bu bilgileri sızdırmaya başladı.
HASSAS SAĞLIK VERİLERİ ÇALINDI
Avustralya’nın en büyük sağlık sigortası kuruluşu, geçtiğimiz günlerde yaptığı açıklamayla siber tehdit aktörleri tarafından müşteri verilerinin çalındığını duyurmuştu.
Çalınan verilerin arasında ad, soyadı, adres gibi kişisel bilgilerin yanı sıra kürtaj, akıl hastalıkları gibi sağlık bilgileri de bulunduğu açıklanmıştı.
Yaklaşık 200 GB’lık verileri çalan tehdit aktörleri Medibank’tan 10 milyon dolar fidye talep etmişti. Daha sonra indirime giden tehdit aktörleri, fidye talebini kişi başı 1 dolar olmak üzere fiyatlandırmıştı.
Medibank ise tehdit aktörlerine fidye ödemeyi reddetmişti.
Ayrıca Medibank, 1,8 milyon yabancı müşterisinin de olduğunu duyurmuştu.
MEDİBANK FİDYE ÖDEMEYİ REDDETTİ
Medibank ile tehdit aktörleri arasındaki fidye pazarlığı yaklaşık üç haftadır sürüyordu. Sigorta şirketi, kötü örnek olacağı gerekçesiyle aktörlerin şantajına boyun eğmeyeceğini açıklamıştı.
Fidye talepleri reddedilince siber tehdit aktörleri, sızıntı verileri dark web forumunda yayımlamaya başladı.
Verilerin anlaşılabilir bir şekilde depolanmadığını belirten tehdit aktörleri, verileri düzenlemenin zaman aldığını ve düzenledikçe yayımlanacaklarını duyurdu.
Daha sonra yüzlerce kişinin verilerinin bulunduğu veriler sızdırılmaya başlandı. İki liste hâlinde paylaşılan verilerden birincisine “Good List” ikincisine “Naughty List” adı verildi.
İlk listede düşük profilli kişiler yer alırken ikinci listede yüksek profilli kişilerin yer aldığı belirtildi.
Sızıntılar başlasa da fidye ödemeyi reddeden Medibank’ın CEO’su David Koczkar yasa dışı sızıntıları kınayarak, “İnsanların özel bilgilerini para koparmak için silah hâline getirmek habislik ve toplumun en hassas üyelerine saldırıdır.” ifadelerini kullandı.
Eski FBI ve ABD Savunma Bakanlığı İstihbarat Teşkilatı ajanı Dennis Desmond, “Kime ait olduğu belirlenebilen sağlık dosyalarının tehdit aktörleri için hazine anlamına geldiğini” söyledi.
SALDIRI REvil İLE İLİŞKİLENDİRİLDİ
Avustralya Federal Polisi, tehdit aktörlerinin yakalanması için Siber Komutanlık bünyesinde özel sektörden destekle başlatılan operasyonda, ABD Federal Soruşturma Bürosu (FBI) ve diğer ülkelerin uzmanlarıyla işbirliği yapıldığını açıklamıştı.
Avustralya Federal Polisi’nin (AFP) Başkanı Reece Kershaw, 11 Kasım Cuma günü gerçekleştirdiği basın toplantısında, Medibank’ın müşteri verilerini çalanların Rusya merkezli olduğunu açıklamıştı.
ABC’den Andrew Greene ise yetkililerin Rusya merkezli REvil adlı gruptan şüphelendiğini iddia etti. Greene, REvil’in Rusya devletinin bir parçası olmasa da Rusya Devlet Başkanı Vladimir Putin’in koruması altında olduğunun düşünüldüğünü belirtti.
Halka yönelik uyarılarda bulunan Kershaw, sızan verilerin paylaşılmamasını istedi. Ayrıca Kershaw, dark webde yayımlanan verilere erişmeye çalışanların da takip edileceğini söyledi.
REvil ÜYELERİ OPERASYONLARINA DEVAM EDİYOR
Rus merkezli fidye yazılımı çetesi REvil, daha önce ACER, JBS Foods, Quanta Computer ve Kaseya olmak üzere birçok yüksek profilli saldırıya imza atmıştı.
Sene başında Rusya Federal Güvenlik Servisi (FSB), uluslararası fidye yazılımı çetesi “REvil” üyelerinin ABD’nin talebiyle gözaltına alındığını ve grubun çökertildiğini duyurmuştu.
Yaklaşık 14 REvil üyesi ise sene başında Rus polisi tarafından düzenlenen operasyonda tutuklanmıştı.
Operasyon neticesinde 426 milyon ruble, 600 bin dolar, 500 bin avro, çeşitli bilgisayar ekipmanlarıyla bazı kripto cüzdanların ele geçirildiği kaydedilmişti.
Ancak dışarıda olan REvil üyelerinin farklı fidye yazılımı gruplarında veya bireysel olarak faaliyet gösterdiği biliniyor.
Bunun yanı sıra bazı fidye yazılımı grupları da REvil’in halefi olarak görülüyor.
Online yemek siparişi uygulaması Yemeksepeti.com’dan çalındığı iddia edilen veriler üzerinden müşterilerin mağduriyet yaşadığı ortaya çıkarken, Kişisel Verileri Koruma Kurumu (KVKK), iddialar ile ilgili resen inceleme başlattı.
KVKK, milyonlarca kullanıcısı bulunan Yemeksepeti.com müşterilerine ait olduğu ileri sürülen verilerin çalındığı ve veriler karşılığında şirketten fidye istendiği ortaya çıkmıştı.
Şirketin ‘herhangi bir veri hırsızlığının tespit edilemediği’ yönündeki açıklaması da incelenecek.
Kişisel Verileri Koruma Kurumu (KVKK), “müşterilere ait kişisel verilerin ele geçirildiği, bu verilerin yayımlanması tehdidiyle ‘Yemeksepeti’nden fidye talep edildiği, bunun yerine getirilmediği için 20 bin kullanıcının kişisel verilerinin paylaşıldığı” yönündeki haberler üzerine harekete geçti.
Gündem toplantısında iddiaları ele alan kurum, şirketin “herhangi bir veri hırsızlığının tespit edilemediği” yönündeki açıklamasının doğruluğunun da tespiti için resen inceleme başlatılmasına karar verdi.
Yemek Sepeti, 16 Kasım’da sosyal medyadan, “kötü niyetli bazı kişilerin, şirket ile ilişkilendirdiği ve kaynağı belli olmayan verileri yayımlama tehdidiyle şirkete ulaşarak fidye talebinde bulunduğu, Yemeksepeti sistemlerinde bir veri ihlali olup olmadığının uzman ekiplerce detaylı şekilde araştırıldığı ve herhangi bir veri hırsızlığının tespit edilemediği” açıklamasını yapmıştı.
KVKK, 21 milyon 504 bin 83 kişinin etkilendiği belirtilen siber saldırının ardından veri ihlali gerekçesiyle Yemeksepeti hakkında 29 Mart 2021’de de inceleme başlatmıştı.
Yemek Sepeti’nden milyonlarca kullanıcının bilgilerini ele geçirdiğini iddia eden saldırgan, bu kez 20 bin kullanıcıya ait olduğunu öne sürdüğü verilerin tamamını paylaştı.
Geçtiğimiz hafta siber tehdit unsurları, Yemeksepeti’ne ait olduğunu iddia ettikleri veritabanı karşılığında firmadan fidye talebinde bulunmuştu. Gazeteci İbrahim Haskoloğlu da iddiaların doğruluğunu kanıtlamak amacıyla hackerlara ulaşarak adresini ve telefon numarasını göndermelerini istemiş, sonrasında da gönderilen adres ve numaranın doğru olduğunu açıklamıştı.
Hackerların, taraflarına yüklü miktarda para ödenmesi durumunda verileri sızdırmayacağını söylemesi üzerine Yemeksepeti saldırıyı kınayan bir açıklama yapmış, ardından olayların iyice büyümesiyle tehdit aktörleri bu sefer de şirketi, çalışanların açık adres ve telefon numaralarını yayınlamakla tehdit etmişti.
Ardından Yemeksepeti hackerlara ulaşarak saldırıyı doğrulayan ve duyuran gazetecilere dava açmıştı. 27 Kasım 2021 tarihli bir güncelleme ile saldırganlar, şirketin gazetecilere açtığı davayı gerekçe göstererek rastgele 20.000 kullanıcının verilerini, daha önce de pek çok sızıntının gerçekleştiği bir forumda yayımladı.
Forumda yapmış oldukları açıklamada hackerlar, sızıntının sebebini de belirterek Yemeksepeti’nin en kısa sürede istenen ödemeyi yapmaması haline daha da fazla kişinin verilerinin sızdırılacağı uyarısında bulundu. Tehdit aktörleri yayımladıkları mesajda şu ifadelere yer verdi: “Yemeksepeti’nin bu sızıntıyı twitter hesaplarında türklerle paylaşan bazı Türk gazetecilere dava açtığını duyduğumuz için rastgele 20 bin yemeksepeti müşterisinin bilgilerini paylaşmaya karar verdik. Yemeksepeti bunu yapmaktan vazgeçmez ve yakın zamanda teklif vermezse birkaç ünlü kişi bilgisiyle daha çok veri paylaşacağız.”
“ŞİRKET YÖNETİCİSİNDEN SPORCUYA KADAR BİRÇOK ÜNLÜ İSİM VAR”
Örnek olarak sızdırılan bazı ünlü kişilerin kısmi sansürlü verilerini yayınlayan hackerların paylaştığı isimler arasında büyük şirketlerin yöneticilerinden sporcu ve oyunculara kadar pek çok ünlü ismin telefon numaraları ve açık ev adresleri gibi iletişim bilgileri bulunuyor.
Bunlara ek olarak @Gyemeksepeti kullanıcı adıyla bir Twitter hesabı açan ve burada yeni bilgiler paylaşacaklarını söyleyen hackerların bu hesabı ise kısa bir süre sonra kapandı. Olaydan bu yana 400’den fazla mail aldıklarını belirten saldırganlar, bu maillerin %95’inin saldırının gerçekliğini sorgular nitelikte olduğunu, ancak paylaştıkları verilerin tamamıyla doğru olduğunun onaylandığını kaydetti.
Yemek Sepetine saldırdığını iddia eden bir saldırgan, verileri firma”iyi para verdiği” takdirde başkasına satmayacaklarını söyledi. Yemek Sepeti müşterilerine ait milyonlarca kaydın sızdırıldığına ilişkin iddialar konuşulmaya devam ederken, kullancılar bilgi talep ettiğinde saldırganlardan eksiksiz bilgi alıyor.
Gazeteci İbrahim Haskoloğlu’nun Twitter hesabından paylaştığı mesajlarda siber tehdit unsurlarıyla yazışmalarınıda kendi bilgilerini talep ettiğini ve kendisine gönderilen mesajda hata olmadığını belirtti.
Haskoloğlu mesajında kanıt olarak saldırganlardan kendi adres ve telefon numarasını göndermelerini talep ettiğini ifade etti. Tehdit aktörleri ise bu mesaja cevap olarak açık adresinin tarifini ve telefon bilgisini doğru olarak gönderdi.
Gazeteci Haskoloğlu, saldırganların veriler için ne kadar bedel talep ettiklerini sordu. Tehdit aktörleri ise “Yemek Sepeti iyi bir miktarda para verirse kimseye satmayacağız” açıklamasında bulundu.
Saldırganlar ayrıca ellerindeki verinin geçtiğimiz mart ayında gerçekleşen önceki veriyle ilişkili olmadığını ve Kasım 2021 bilgilerine sahip olduklarını iddia etti. Tehdit aktörleri, kendilerinden rastgele talep edilen bilgileri sağlayarak bunu yaptıklarını kanıtladıklarını savundu.
Geçtiğimiz günlerde Türkiye’de milyonlarca kişinin alışveriş yaptığı yemek siparişi sitesi Yemek Sepeti’ne ait 60 milyon müşterinin verilerinin sızdırıldığı iddia edilmişti.
Yemek Sepeti yetkilileri ise konuya ilişkin açıklamasında, fidye talep eden tehdit aktörlerinin iddiasının doğru olmadığını, fidye ödeme talebinin değerlendirmeye dahi alamadıklarını ve siber güvenlik uzmanlarının herhangi bir veri ihlalini işaret etmediğini bildirmişti.
Geçen nisan ayında da müşteri veri tabanı ele geçirilen Yemek Sepeti, ikinci bir bilgi güvenliği olayıyla karşı karşıya kalmıştı.
LockBit fidye yazılımı grubu Eylül 2019’dan bu yana faaliyet gösterse de fidye yazılımı alanında marjinal bir oyuncu haline gelmeleri bu yılın haziran ayına uzanıyor.
LockBit 2.0 adı verilen “Hizmet olarak Fidye Yazılımı platformunun” yeni bir sürümünün yayınlanmasının ve rakip operasyonlar Darkside, Avaddon ve Revil’in aniden piyasadan çekilmesinin ardından LockBit, günümüzün en büyük “Hizmet olarak Fidye Yazılımı” platformlarından biri haline geldi.
Daha önce diğer çetelerden fidye yazılımı yükleri kiralayan siber suç grupları, yaz boyunca LockBit grubuna akın etmiş gibi görünüyor ve Avustralyalı yetkililerin yerel şirketleri uyarmasına yol açacak derecede saldırılarda artışa neden oldu. Öte yandan, Recorded Future tarafından toplanan istatistikler, Lockbit’in geçen ay Eylül ayında en aktif fidye yazılımı grubu olduğunu ve fidye yazılımı sızıntısı sitelerinde listelenen tüm kurbanların neredeyse üçte birini oluşturduğunu gösterdi.
LockBit grubu therecord.media yazarı Dmitry Smilyanets ile gerçekleştirdiği röportajda nasıl bir anda piyasanın lideri konumuna geldiklerini anlatırken kendilerinin de bir gün hacklenebileceği gerçeğini dile getirdiler.
Dmitry Smilyanets: Eylül ayında ihbar edilen fidye yazılımı saldırılarının yüzde 34’ünü LockBit oluşturdu. Piyasayı nasıl fethedebildiğinizin sırrını bize anlatabilir misiniz? Yoksa kurbanlarınızın çoğu fidye ödememeye karar verdiği için mi rakamlar bu kadar yüksek?
LockBitSupp: Henüz piyasayı fethetmeye başlamadık. Şu anda yazılımı geliştirme ve iyileştirme aşamasındayız. Sırrı çok basit: Kusursuz bir itibar. Kimseyi aldatmayan veya markamızı değiştirmeyen tek oluşum biziz. İnsanlar bize güveniyor. Bunun sonucunda da, daha fazla ortaklık, daha fazla saldırıyı beraberinde getiriyor. LockBit Blog, fidyeyi ödemeyi reddeden şirketlerin sadece küçük bir kısmını oluşturuyor. Son 3 ayda 700’den fazla şirkete saldırdık.
DS: Bazı ülkeler fidye yazılım saldırılarının gerçekleştikten birkaç gün sonra ifşa edilmesini zorunlu kılmayı tartışıyor. Bu tür saldırılar söz konusu olduğunda, grubunuz bugün en büyük tehditlerden biri olarak öne çıkacaktır. Saldırılarınızla çok fazla dikkat çekmemek için “Hizmet olarak Fidye Yazılımı” programınızı sınırlandırmayı düşündünüz mü?
LB: Kısıtlamalar maaşla yaşamak isteyen insanlar için geliştirilmiştir. Herhangi bir kısıtlama getirmeyi planlamıyoruz. Hayata bir kere geliyoruz. Dikkat çeksin çekmesin, anonimlikte yapacağınız herhangi bir hata sizi yok olmaya götürür. Şirketin saldırı hakkında bilgi ifşa etmesi umurumuzda değil, bu tamamen şirketin özel bir işi.
DS: Sizi diğer gruplardan ayıran şey StealBit. Bu zararlı yazılım hakkında biraz bilgi verebilir misiniz?
LB: Şirketi şifrelemek yeterli değildir, bazen ifşa edilmemesi için şirketin şifre çözme işleminden daha fazlasını ödemeye hazır olduğu değerli bilgileri çalmak çok daha önemlidir. StealBit, bilgileri olabildiğince hızlı ve basit bir şekilde çalmanızı sağlar.
DS: Ortak kuruluşlarınızın kurbanlarıyla konuşmasına ve ödemeleri doğrudan kabul etmesine izin veriyorsunuz. Bu başarılı bir model mi?
LB: Ortaklıklarımıza güvenmemek için hiçbir sebep yok. Bir kişi uzun vadeli iş birliğine meyilliyse, bizi asla terk etmeyecektir. Ancak en önemli şey kusursuz bir itibarı korumaktır. Avvadon, Darkside ve Revil’in yaptığı gibi reklam verenlerimizi kandıramayız ve onların fidyelerini çalamayız.
REVIL’İN DAĞILMASININ LOCKBIT’İN BÜYÜMESİNDE HİÇBİR ETKİSİ YOK
DS: “Hizmet olarak Fidye Yazılımı” iş modelinin varlığını devam ettireceğine inanıyor musunuz? Önümüzdeki 5 yıl içinde ne yönde değişecek sizce?
LB: Rekabet artacak, şirketlerin savunma seviyesi artacak, ortaklıklarımızın serveti de artacak.
DS: Revil’in geçtiğimiz yaz dağılması başarınızda rol oynadı mı? Unknown ortadan kaybolduğundan beri kaç şirket size katıldı?
LB: Revil’in “dağılması” başarımızı hiçbir şekilde etkilemiyor, onlardan bize 4 reklam geldi. Bir ortaklık programı başlatmak kolaydır, ancak bunu daim kılmak bir sanat biçimidir.
DS: Unknown’a gerçekte ne olduğunu biliyor musunuz?
LB: Kimse gerçekten ne olduğunu bilmiyor, ama bunun klasik bir “çıkış” aldatmacası olduğuna eminim, aynı şey Avvadon ve Darkside’da da yaşandı. Büyük bir ödeme söz konusu olduğunda, bu ortaklık programının sahibi daha fazla çalışmaya ve hayatını riske atmaya değip değmeyeceğini ya da şu anda çıkıp hayatının geri kalanı için parayı sakince harcamanın daha iyi olup olmadığını düşünüyor. Bizim durumumuzda, böyle bir şey imkansızdır, çünkü temel olarak bize bağlı kuruluşlarımızın parasına dokunmuyoruz.
DS: Forumlarda çok aktifsiniz. Exploit hesabınızı neden yasakladı?
LB: Siber suçluların belirli siber suç türlerini nasıl yasaklayabilecekleri çok açık değil, çünkü aslında bu forumdaki herkes yasaları çiğniyor. Zengin şirketler için ödeme sonrası bir pentest yapmanın yasak olduğu, ancak milyonlarca kişinin banka kartlarından para çalmasına izin verildiği ortaya çıktı. Ayrıca, ağ erişimi satın almaya ve satmaya devam eden ve Exploit forumunda pentest yapacak kişi arayan rakiplerimizin hesaplarının neden engellenmediği de çok açık değil. Belki de bu bir çeşit seçici politikadır – bunun rakiplerin işi ve dünyadaki bir numaralı ortaklık programı ile uğraşmanın onursuz yolları olabileceğini düşünüyorum. “Tüm bu saçmalıklar uyuşturucunun yasak olup votkanın yasal olmasına benziyor”. Utanç verici, sinir bozucu ama yapacak bir şey yok.
HASTANELERE SALDIRMIYORUZ
DS: REvil ve Hive’ın hastaneleri kilitlediklerinden bahsettiniz, siz böyle saldırılar düzenliyor musunuz?
LB: Hastanelere saldırmıyoruz, iştiraklerimizin yanlışlıkla diş muayenehanelerini ve bakım evlerini şifrelediği olmuştu. Bu durumlarda şifre çözme anahtarlarını ücretsiz olarak yayımladık.
DS: ABD ve Rusya cumhurbaşkanları haziran ayında bir araya geldikten sonra herkes değişim için bir sinyal bekliyor. Ve bazı değişiklikler görüyoruz – yaz aylarında geçici bir yavaşlamadan sonra saldırılar arttı. Bu olaylarla ilgili mi yoksa iştirakçiler uzun bir tatile mi çıktılar?
LB: Bu sadece bir yaz tatili. Gezegendeki tüm insanlar gibi, hiç kimse yaz aylarında çalışmak istemiyor ve milyonlarca dolarınız olduğunda bu çalışmama isteği daha da fazla oluyor. Başkanların toplantıları hiçbir şeyi etkilemeyecek, ciddi çalışan herkes ABD’de veya Rusya’da yaşamıyor. Şahsen ben Çin’de yaşıyorum ve kendimi tamamen güvende hissediyorum.
DS: Bazı fidye yazılımı aileleri, bağlı kuruluşların Amerikan şirketlerine ve altyapısına saldırmasını önlüyor. Ortaklarınız için bu tür özel önerileriniz oluyor mu? Reklamlarınız Lockbit’i isteğiniz dışında kritik altyapıya dağıtırsa ne olur?
LB: Bu henüz gerçekleşmedi. Tek bir bağlı kuruluş dahi irademize karşı çıkmayacaktır, çünkü yalnızca ahlak kurallarına sahip güvenilir kişilerle çalışıyoruz, bağlı kuruluşlarımızın her biri sözlerinden ve eylemlerinden sorumludur.
DS: 30 ülkeden temsilciler fidye yazılım saldırılarının nasıl ele alınacağını tartışmak üzere bu ay bir araya geldi. Bu sizi herhangi bir şekilde endişelendiriyor mu yoksa bunun sadece siyasi bir manevra mı olduğuna inanıyorsunuz?
LB: Eğer düşmanı yenemiyorsan- ona liderlik et. Kimse Newton’un üçüncü yasasını iptal etmedi.
KİMSE HACKLENMEKTEN MUAF DEĞİL
DS: Bazı ülkelerdeki kolluk kuvvetleri, çalınan verileri yok etmek ve şifreleme anahtarlarını almak için fidye yazılımı altyapısını hacklemeyi açıkça tartışıyor. Bu sizi endişelendiriyor mu? Depolama sistemleriniz yeterince güvenli mi?
LB: Bu, bizimle başa çıkmanın en etkili yöntemlerinden biri. Hiç kimse sıfırıncı günlerin yardımıyla altyapılarının hacklenmesinden muaf değildir. NSA donanım arka kapılarını kullanarak, gezegendeki herhangi bir sunucuya erişmek mümkün. Bu nedenle, saldırıya uğrama riski her zaman mevcut. Dünyanın çeşitli bölgelerindeki sunucularda çalınan şirket verilerinin birkaç yedeğinin yanı sıra, verilerin saklanması için maaş alan güvenilir tarafların tuttuğu şifreli çevrimdışı yedeklemelerimiz de bulunuyor.
DS: ABD hükümeti, fidye yazılım gruplarının fonları aklamasına yardımcı olan kripto para birimi hizmetlerinin işinin zorlaşacağını söyledi. Bunun sizin ve gelecekte fidye yazılımı ortamı için bir sorun olacağını düşünüyor musunuz, yoksa para aklamak için başka yollarınız var mı?
LB: Bana ABD’nin sözlerini dinleyecek ve Hong Kong’da nakit dolar alışverişi yaparken bizden kripto para birimini kabul etmeyecek en az bir Çinli gösterin.
DS: Ekim ayında para kaynağı bulamayan şirketler için ücretsiz şifre çözme anahtarı sağlamaya hazır mısınız?
LB: Parasız şirket yok, ağlarını korumak için para harcamak, kalifiye sistem yöneticileri için maaş ödemek ve sonra da fidye ödemek istemeyen kurnaz şirketler var. Belki de “para kaynağı bulamayan” bir şirket için ücretsiz bir şifre çözücü yayımlarız, ancak bu durumda, bu şirketin verileri sonsuza dek blogumuzda kalacaktır.
