Etiket arşivi: Kaspersky

‘Yeni dark web’ haline gelen Telegram kimlik hırsızlarının gözdesi oldu!

13 Nisan 2023 Oğuzcan Balyemez Yorum yapın

Siber güvenlik dünyasında “yeni dark web” olarak adlandırılan Telegram’ın tehdit aktörlerince kullanımı giderek artıyor.

Kaspersky tarafından yayımlanan rapor ise Yeni Karanlık Ağ’da faaliyetlerini genişleten kimlik avı operatörlerinin çalışmalarını konu aldı.

Telegram gruplarının gün geçtikçe zararlı yazılım, bot ve fidye yazılımı satmanın yanı sıra suç çetelerinin saldırılarını duyurmak için merkezi bir hâle gelmesi, siber güvenlik uzmanlarının da odak noktasını bu kanallara çekti.

Telegram’ın siber tehdit aktörlerince bu denli sık ve aktif kullanılması dolayısıyla uygulama “Yeni Karanlık Ağ” olarak tanımlanmaya başladı.

KİMLİK AVI OPERATÖRLERİNDEN KİMLİK AVI EĞİTİMİ

Kaspersky’den analist Olga Svistunova, yakın zamanda yayımladığı raporda kimlik avı operatörlerinin, hedef kitlelerini kimlik avı konusunda eğitmek için Telegram kanalları oluşturduğunu ve bu kanalların bağlantılarını YouTube, GitHub ve kimlik avı kitleri aracılığıyla paylaştığını belirtti.

Söz konusu kanalların çoğu, kimlik avı sayfaları oluşturmak veya kullanıcı verilerini toplamak gibi kötü amaçlı iş akışlarını otomatikleştirmek için çeşitli araçlar sunuyor.

Svistunova, saldırılarda kullanılan kimlik avı kitlerinin nispeten basit olduğunu, genellikle kullanıcı kimlik bilgilerini yakalayan ve bunları bir bota ileten bir komut dosyasından oluştuğunu ancak yine de etkili olduklarını söyledi.

TELEGRAM ÇOK AMAÇLI KULLANILIYOR

Raporda ayrıca Telegram kanallarının çevrim içi bankacılık kimlik bilgilerini satmak için kullanıldığını, dolandırıcıların hesap bakiyelerini alıp sattığını ve daha yüksek bakiyeli hesaplar için daha yüksek fiyatlar talep edildiği belirtildi.

Antisemitik komplo teorileri Telegram’da cirit atıyor

Bazı Telegram kanallarının kimlik avı araçları, tespit sistemleri ve kimlik avı kitleri tarafından oluşturulan bağlantılarla ilgili düzenli güncellemeler için müşteri desteği ve abonelikler sunan hizmet olarak kimlik avı operasyonlarının reklamını yaptığı tespit edildi.

KİMLİK AVI SALDIRILARINA KARŞI NASIL ÖNLEM ALINABİLİR?

Kimlik avı operatörlerinin Telegram’da faaliyetlerinin artması, siber güvenlik ortamında gelişen kimlik avı tekniklerine karşı sürekli tetikte olma ve farkındalık ihtiyacının da altını çiziyor.

Bu nedenle kimlik avı saldırılarına karşı kişisel olarak çeşitli önlemler almak önem kazanıyor. Kimlik avı tehditlerine karşı yapabilecekleriniz arasında aşağıdaki önlemler bulunuyor:

Şüpheli e-postalara dikkatli edin: Şüpheli bağlantılara tıklamayın veya bilinmeyen gönderenlerden gelen ekleri indirmeyin. Gönderenin e-posta adresini iki kez kontrol ederek ve yanlış yazılmış kelimeler veya olağan dışı talepler gibi kimlik avı belirtilerini arayarak, özellikle hassas bilgiler isteyen e-postaların meşruiyetini doğrulayın.

Kişisel bilgilerinizi paylaşmaktan kaçının: Alıcının kimliğinden ve iletişim kanalının güvenliğinden emin olmadığınız sürece parolalar, sosyal güvenlik numaraları veya kredi kartı bilgileri gibi hassas bilgileri e-posta veya diğer iletişim kanalları üzerinden paylaşmayın.

Yazılımlarınızı güncel tutun: İşletim sisteminizi, web tarayıcılarınızı ve cihazlarınızda yüklü tüm yazılımları düzenli olarak güncelleyin. Bu, kimlik avı saldırıları tarafından istismar edilebilecek güvenlik açıklarının düzeltilmesine yardımcı olur.

Çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin: MFA, parolanızın yanı sıra parmak izi, kısa mesaj kodu gibi ek kimlik doğrulama gerektirerek ekstra bir güvenlik katmanı ekler. Bu, kimlik avı saldırılarına kurban gitme riskinizi önemli ölçüde azaltabilir.

Kendinizi eğitin: En son kimlik avı teknikleri ve trendleri hakkında bilgi sahibi olun. Beklenmedik e-postalara veya mesajlara, özellikle de aciliyet hissi yaratan veya acil eylem isteyenlere karşı dikkatli olun. Bağlantılara tıklamadan veya kişisel bilgilerinizi vermeden önce iki kez düşünün ve şüpheli e-postaları veya mesajları BT departmanınıza veya ilgili makamlara bildirin. Çevrim içi iletişimle uğraşırken daima dikkatli ve şüpheci olun.

Kritik Altyapı Güvenliği

Türkiye’deki enerji sektörü için alarm verici rapor: Siber saldırılarda artış yaşandı!

21 Mart 2023 Ergün Varlık Yorum yapın

Türkiye’deki enerji ve üretim sektöründe faaliyet gösteren firma ve kurumlara yönelik siber saldırıların arttığı belirlendi.

Kaspersky ICS araştırmacılarının raporuna göre, Orta Doğu Bölgesi diğer bölgeler ile karşılaştırıldığında, fidye yazılımı saldırılarının öncelikli hedefi olmaya devam ediyor.

Türkiye, 2022 yılı boyunca bina otomasyonu, enerji ve mühendislik dahil olmak üzere birçok sektörde engellenen saldırılarda artışların izlendiği ülkeler arasında yer alıyor.

Kaspersky ICS araştırmacılarına göre, 2022’nin ikinci yarısında Kaspersky güvenlik çözümleri, endüstriyel otomasyon sistemlerinde yılın ilk yarısına göre %6, 2021’in ikinci yarısına göre ise %147 kötü amaçlı yazılımları engelledi. Orta Doğu bölgesi, çıkarılabilir medya (USB flash sürücüler veya sabit sürücüler) aracılığıyla saldırıya uğrayan endüstriyel kontrol sistemlerinin (ICS) oranı konusunda ilk üçte yer alıyor. Afrika ise çıkarılabilir aygıtlar kullanılarak hedef alınan ICS bilgisayarı sayısını göz önüne alındığında bölgesel sıralamada üst sıralarda yer almaya devam ediyor. Türkiye de 2022 yılı boyunca bina otomasyonu, enerji ve mühendislik dahil olmak üzere birçok sektörde engellenen saldırılarda artışların izlendiği ülkeler arasında yerini alıyor.

FİDYE YAZILIM SALDIRILARI TÜRKİYE İÇİN BÜYÜK TEHDİT

Diğer bölgeler ile kıyaslandığında Türkiye’de 2022’nin ikinci yarısında casus yazılımların engellendiği ICS bilgisayarlarının oranı %12,4 ile yüksek oranda gerçekleşti. Türkiye’deki ICS’lerde engellenen diğer kötü amaçlı yazılım kategorilerine bakıldığında, kötü amaçlı komut dosyaları ve reddedilen internet kaynakları %19,7 ve %13,0 oranlarıyla listenin başında yer alıyor.

Kötü amaçlı komut dosyaları ve kimlik avı sayfaları (JavaScript ve HTML) hem çevrimiçi hem de e-posta yoluyla dağıtılıyor. Engellenen internet kaynaklarının önemli bir kısmı kötü amaçlı komut dosyaları göndermek ve kimlik avı sayfalarına yönlendirmek için kullanılıyor.

Colonial Pipeline saldırısı hakkında bilmeniz gereken 5 şey

Türkiye’deki ICS bilgisayarlarında engellenen diğer nesne kategorileri arasında kötü amaçlı belgeler (%6,6) ve solucanlar da (%4,7) oranında yer alıyor. Türkiye aynı zamanda, fidye yazılımı saldırılarından en çok etkilenen bölge olmaya da devam ediyor.

Engellenen saldırı sayısı ile ilgili durum farklı sektörler arasında değişiklik gösteriyor. Türkiye’de 2022’nin ikinci yarısında bina otomasyonu (%41,9 saldırı, 2022’nin ilk yarısına kıyasla +2,1 p.), enerji (%43,2, +1,8 p.), mühendislik (%43,5, +3,6) ve üretim (%36,8, +1,4 p.) dahil olmak üzere çeşitli sektörlerdeki saldırılarda artış gözleniyor.

Siber Güvenlik

Fidye yazılım grupları kedi gibi 9 canlı: BlackMatter ve REvil, BlackCat ile tekrar sahnede

12 Nisan 2022 Cemalettin Kanaş Yorum yapın

Fidye yazılımı gruplarının altyapısını tahrip etmek onların ileride yeniden aktif hale gelmelerini tam olarak engelleyemiyor. Bu gruplar farklı isimler altında tekrar aktif hale geçerek siber saldırılar düzenleyebiliyor.

Yeni bir araştırma, üyelerinin şu an aktif olmayan BlackMatter ve REvil’den gelmesiyle övünen yeni bir fidye yazılım grubunun fidye yazılımı başlatmak için yeniden aktif hale geldiğini ve şimdiden bir kurumsal kaynak planlaması (ERP) hizmet sağlayıcısına ve bir endüstriyel firmaya saldırı düzenlediğini gösterdi.

Siber güvenlik firması Kaspersky tarafından 7 Nisan’da yayımlanan bir analizde ALPHV olarak bilinen grup ve onun BlackCat kötü amaçlı yazılımının şimdiden “çok sayıda kurumsal kurbanı” ağına düşürdüğü ifade edildi.

Blackmatter ve REvil’in ve altyapılarının uluslararası planda tahrip edilmesinin ardından, ALPHV’nin üyeleri kendilerini bu iki casus yazılım programının yerini alacak en güçlü seçenek şeklinde pazarlıyor. Kaspersky araştırmacıları, üyelerin en azından bazılarının eski gruplardan BlackMatter’da rolleri olduğuna dair işaretler tespit ettiklerini ifade ediyor.

REvil ve DarkSide geri mi döndü?: Yeni fidye yazılım çetesi BlackMatter

Kaspersky’nin baş güvenlik araştırmacısı Kurt Baumgartner, yeni grup ve bağlı grupların diğer siber suç eylemleri arasındaki ayrımın net olmadığını olduğuna dikkat çekiyor. Baumgartner şunları söylüyor: “Büyük ihtimalle, küresel BlackCat olaylarının düzenlenmesi, hem kodu ve hizmeti sürdüren grubun hem de kendi işlerini yapan bağlı kuruluşların bir karışımı tarafından gerçekleştiriliyor. Bu çalışmaların bir kısmı, bireysel gruplar tarafından gerçekleştirilen erişim aracıları ve penetrasyon çabalarına da ayrılabilir.”

ÇETELERİN ALTYAPISINI YOK ETMEK KÖKLÜ BİR ÇÖZÜM DEĞİL

Yayımlanan analiz ve en azından bazı üyelerin BlackMatter’ın bir parçası olabileceğine dair güçlü ipuçları fidye yazılımı gruplarının altyapısını yok etmenin onları tekrar aktif hale gelmelerini kökten engelleyemediğini gösteriyor.

ALPHV konusunda Kaspersky araştırmacıları, grubun Fendr adlı ve geçmişte yalnızca BlackMatter tarafından kullanılan özel bir araç kullandığını keşfetti. Buna göre ALPHV, fidye yazılımı dağıtmadan önce Aralık 2021 ve Ocak 2022’de kurumsal kurbanlardan veri sızdırmak için bu aracı kullandı.

Firmadan açıklanan tehdit istihbaratı notunda, “Telemetrimiz, yeni BlackCat grubunun bazı üyelerinin BlackMatter grubuyla bağlantılı olduğunu gösteriyor çünkü Fendr adını verdiğimiz ve yalnızca BlackMatter etkinliğinde gözlemlenen özel bir sızma aracını değiştirip yeniden kullandılar. ExMatter olarak da bilinen bu değiştirilmiş Fendr kullanımı, BlackCat’i geçmiş BlackMatter etkinliğine bağlayan yeni bir veri noktasını temsil ediyor.” değerlendirmesine yer verildi.

Baumgartner; REvil ve BlackMatter’in her ikisinin de Rus aktörlerle bağlantılı olmasına rağmen, ALPHV’nin Rus vatandaşlarından oluşup oluşmadığını konusunda net bir şey söylemenin mümkün olmadığını dile getirdi. Daha önce açıklanan araştırmalar, her iki grubun da DarkSide ve LockBit 2.0 gibi gruplarla bağlantılı olduğunu ortaya koymuştu.

ABD, KASPERSKY FİRMASINA YAPTIRIMI TARTIŞIYOR

Kaspersky, geçmişte yazılımının ABD’nin ulusal güvenliği için tehdit oluşturup oluşturmadığı konusunda bazı tartışmaların odağı olmuştu. 2017 yılında Rus siber casusluk ajanları, Kaspersky’nin güvenlik yazılımını kullanarak bir Ulusal Güvenlik Ajansı yüklenicisinin ev bilgisayarından gizli siber saldırı ve savunma araçlarını çalmıştı.

ABD hükümeti o tarihten bu yana söz konusu yazılımı yasakladı, ancak sorun Rusya’nın Ukrayna’yı işgal etmesiyle yeniden gündeme geldi. The Wall Street Journal’da yer alan bir habere göre, Biden yönetimi firmaya yaptırım uygulama konusunu tartışıyor.

Türkiye

Kaspersky yetkilisi Siber Bülten’e konuştu: “Türkiye, Pegasus’la mücadelede öncü rol oynadı”

13 Aralık 2021 Ergün Varlık Yorum yapın

Kaspersky Siber Güvenlik Firması Küresel Araştırma ve Analiz Ekibi Sorumlusu Costin G. Raiu, geçtiğimiz hafta bir tweet atarak Ulusal Siber Olaylara Müdahale Merkezi’nin (USOM) casus yazılım Pegasus ile ilişkili URL’leri henüz kamuoyuna bildirilmeden tespit edip blokladığını duyurdu.

Konuyla ilgili Siber Bülten’e özel bir röportaj veren Raiu, İsrailli NSO firmasının geliştirdiği Pegasus casus yazılımını engellemede Türkiye’nin USOM’un hamlesiyle diğer ülkelerin önüne geçtiğini söyledi.

“Böyle zararlı bağlantıları ve saldırı alt yapılarını ulusal düzeyde engellemek, herkesin korunması adına dikkate değer bir savunma etkisi oluşturur. Açıkçası USOM, Pegasus saldırılarının savuşturulması noktasında diğer ülkelerin önünde yer alıyor.” ifadelerini kullanan yetkili bu tür IOC’lerin (Indicators of compromise) ortaya çıkartılmasının nasıl bir etki gösterdiğinin ancak orta vadede anlaşılabileceğini kaydetti.

BTK’nin yeni başkanı belli oldu: Ömer Abdullah Karagözoğlu

Pegasus casus yazılımı, cep telefonlarını etkili bir şekilde taşınabilir casus cihazlarına dönüştürüyor. Müşterilerinin, hedeflenen bir kişinin akıllı telefonunun kontrolünü ele geçirmesine ve telefonun sahibinin onayı olmadan kameralar ile mikrofonları açmasına imkan tanıyor. Yazılım ayrıca telefonda depolanan fotoğraflara, konum verilerine ve diğer önemli kişisel verilere erişim sağlıyor.

NSO firmasının geliştirdiği casus yazılım dünyanın birçok ülkesine satılmıştı. Yazılımın 2018 yılında Suudi Arabistan’ın İstanbul başkonsolosluğunda katledilen Cemal Kaşıkçı’nın telefonuna da bulaştırıldığı tespit edilmişti. Geçtiğimiz yaz ise dünyanın değişik ülkelerinde cihazlarına Pegasus bulaştırılarak takip edilen onlarca gazeteci, aktivist ve rejim muhalifinin olduğu ortaya çıkmıştı. Listede Türkiye’den isimler de bulunuyordu.

BTK’nin yeni başkanı belli oldu: Ömer Abdullah Karagözoğlu

Dijital Güvenlik

Dünyanın en büyük siber suç ağı nasıl çökertildi?: Emotet operasyonunun belgeseli yayımlandı

27 Ağustos 2021 Onur Usta Yorum yapın

İlk başta bankacılık trojanı olarak ortaya çıkan ve sonrasında en tehlikeli tehditlerden biri haline gelen Emotet‘in nasıl çökertildiği bir belgeselle anlatıldı.

Kaspersky’nin belgesel yapım birimi Tomorrow Unlocked, “hacker:HUNTER” dizisi ‘Emotet vs The World Police’in son bölümünü yayımladı. Film, son on yılın en tehlikeli botnetlerinden biri olan siber suç hizmeti Emotet’in kaldırılmasıyla sonuçlanan uluslararası operasyonun ayrıntılarını ortaya koyuyor.

Belgesel, Tomorrow Unlocked’ın YouTube kanalında gösterildi. Bu, hacker:HUNTER gerçek siber suç serisinin beşinci bölümü.

Film, Almanya, Hollanda ve Ukrayna’daki savcıların ve polis memurlarının gözünden, uluslararası polis iş birliğinin olağanüstü bir siber suç işini nasıl çökerttiğini anlatıyor. Ayrıca uluslararası alanda tanınmış siber güvenlik araştırmacıları konuya kendi geniş bir bakış açılarını ekleyerek Emotet’ten sonra neler olabileceğini tahmin etmeye çalışıyor. Belgeseldeki bir araştırmacı operasyonu özetlerken “Polis bu suçluları durdurabildi, çünkü siber suçlular gibi düşünmeye başladılar.” diyor.

EMOTET DÜNYA ÇAPINDAKİ SİBER SUÇLARI KOLAYLAŞTIRDI

Emotet, ağ erişiminin metalaştırılmasında ön saflarda yer aldı ve dünya çapında meydana gelen siber suçlar için arka planda kolaylaştırıcı işlevi gördü. Bazı yönlerden Emotet 20. yüzyılın modern organize suç çetesine benziyordu.

Suçları işlemek için araçlar sundular ve operasyonlarının sonraki yıllarında saldırıları asla kendileri gerçekleştirmediler. Bu da onları yakalamayı zorlaştırdı. Emotet, çeşitli yüksek değerli hedeflere ve hastaneler gibi genellikle sınır dışı kabul edilen kuruluşlara şiddetli saldırılar başlatan siber suç gruplarına kapı açtı.

İlk olarak 2014’te keşfedilen Emotet, operatörlerinin daha sonra fidye yazılımı, bankacılık Truva atları gibi çeşitli kötü amaçlı yazılımlara bulaşmaları için dünya çapında yüz binlerce cihaza erişim ve araçlar satması ve sürdürmesiyle sürekli olarak gelişerek son derece tehlikeli hale geldi.

Botnet ağı spam iletilerdeki kötü amaçlı ekler yoluyla yayıldı. Bu tür bir ek açıldığında cihaza kötü amaçlı yazılım bulaşıyor ve tehditlere açık hale geliyor. Bu yaklaşım çeşitli siber aktörler arasında oldukça yaygın olsa da sahip olduğu muazzam ölçek Emotet’i öne çıkardı.

ULUSLARARASI OPERASYON ETKİLİ OLDU

Birden fazla ülkeye yayılmış, geniş ve merkezi olmayan altyapısı nedeniyle Emotet büyük ölçüde başarılı oldu ve kaldırılması neredeyse imkansıza yakındı. En azından Europol’ün Emotet’in operasyonlarını durdurduğunu ve çetenin kilit aktörlerini tutukladığını duyurduğu Ocak 2021’e kadar. Europol tarafından onaylanan ve Avrupa ve ötesindeki çeşitli ülkelerden çok sayıda hükümet yetkilisinin yakın iş birliğiyle yürütülen operasyon, Emotet operatörlerinin tutuklanması ve başarılı olması için gerekliydi.

Yeni Hacker: Hunter filmi, Emotet’in yaptıklarını ve Emotet’in bitişine yol açan operasyonun arkasındaki hikayeyi takip ediyor, perde arkasından bakış sunuyor ve soruşturmaya öncülük eden kişilerin deneyimlerini yansıtıyor.

Hacker:HUNTER Ha(ck)cine” Direktörü Jessica Benhamou, şunları söyledi: “Siber suçlar geliştikçe ve siber suçlular birlikte çalışabilme yeteneği kazandıkça, yetkililerin buna uygun yanıtlar vermesi ve tehditlerle ve bunların arkasındaki kişilerle mücadele için yakın çalışması gerektiğini görüyoruz. Bence insanlar bir siber çeteyi çökertmek için ne kadar çaba harcandığının farkında değiller. Bunu gerçekleştirmek için sınırların ötesinde ne kadar çok tutkulu ve özverili insanın birlikte çalıştığını göstermekten dolayı çok heyecanlıyım” diyor.

Yeni hacker:Hunter Emotet vs The World Police filmin fragmanını ve tüm hacker:HUNTER bölümlerini www.tomorrowunlocked.com/guardians/hacker_hunter/ adresinde izleyebilirsiniz.

Siber Bülten