Etiket arşivi: ransomware

Siber Saldırılar

Medibank siber saldırısının arkasındaki hacker Aleksandr Ermakov kimdir?

Yorum yapın

Avustralya’nın sağlık sigortası devi Medibank’a siber saldırı düzenleyen hacker Alexander Ermakov’un  fidye yazılım çetesi SugarLocker’a üye olduğu çıktı.

Rus yetkililer, SugarLocker için çalıştıkları iddia edilen üç kişiyi tutukladığını açıklamıştı.

GustaveDore ve JimJones takma adlarını kullandığı belirtilen bir üyenin, Medibank’a yönelik 2022 yılında gerçekleştirilen fidye yazılımı saldırısının arkasındaki Aleksandr Ermakov olduğu anlaşıldı.

Rus polisi, üç kişiyi ülkenin ceza kanununun zararlı bilgisayar kodlarının oluşturulmasını, kullanılmasını veya dağıtılmasını yasaklayan 273. maddesini ihlal etmek suçlamasıyla tutukladığını duyurdu.

Rusya İçişleri Bakanlığı Özel Teknik Olaylar Bürosu’nun üç şüpheliyi, ilk olarak 2021’in başında ortaya çıkan ve ele geçirilen SugarLocker, diğer adıyla Sugar veya Encoded01 adlı hizmet olarak fidye yazılımı operasyonunun üyesi olmakla suçladığı bildirildi.

Tutuklanan kişilerin, fidye yazılımlarının tanıtımını yapmakla kalmayıp, özel yapım kötü amaçlı yazılımlar geliştiren, çevrim içi mağazalar için kimlik avı siteleri oluşturan ve kullanıcı trafiğini Rusya ve BDT’de popüler olan dolandırıcılık planlarına yönlendiren yasal bir BT şirketi kisvesi altında çalışan Shtazi-IT adlı şirket üzerinden faaliyetlerini yürüttükleri tespit edildi.

AVUSTRALYA’DA SİBER YAPTIRIM UYGULANAN İLK İSİM: ALEKSANDR ERMAKOV

SugarLocker’ın, 2021 yılında RAMP adlı darknet forumunda “GustaveDore” adlı kullanıcının paylaşımıyla piyasaya sürüldüğü duyurulmuştu. REvil’e bağlı bir grup olduğu düşünülen SugarLocker’ın operatörlerinden birinin kullandığı bu takma ad, Avustralya, İngiltere ve ABD tarafından yaptırım uygulanan Rus vatandaşı Aleksandr Ermakov tarafından da kullanılıyordu.

Rus siber suç forumlarında Aleksandr Ermakov’un “GustaveDore, JimJones ve Blade Runner” gibi birden fazla takma ad kullandığını biliniyordu.

Aleksandr Ermakov ismi geçtiğimiz ay gündeme gelmiş, Avustralyalı yetkililer tarafından Medibank saldırısının arkasındaki kişi olarak duyurulmuştu.

Fidyeciler 9,7 milyon kişinin verilerini sızdırdı: Saldırının arkasında Rusya mı var?

Medibank saldırısı 2022 yılında gerçekleşmiş, saldırı neticesinde 9,7 milyon müşterinin hassas kişisel verileri çalınmıştı. Şirket tarafından 10 milyon dolarlık fidye talebi reddedilince veriler daha önce REvil ile bağlantılandırılan bir blogda sızdırılmıştı.

Avustralyalı yetkililer, soruşturmalar neticesinde saldırının arkasında kimin olduğunu bildiklerini ancak isim vermeyeceklerini açıklamışlardı.

Avustralya hükümeti ise, yayımladığı açıklamayla saldırının arkasındaki ismin Rus fidye yazılımı çetesi REvil ile ilişkilendirilen Aleksandr Ermakov olduğunu ve mali yaptırım uyguladığını duyurmuştu.

Söz konusu uygulama Avustralya tarihinde bir ilk olarak tarihe geçmişti.

İKİ UYGULAMA ARASINDA HERHANGİ BİR BAĞ YOK

Ancak uzmanlar, Aleksandr Ermakov’a yönelik Avustralya’nın yaptırımıyla Rusya’nın tutuklaması arasında bir bağ olmadığını düşünüyor.

Kimi uzmanlar söz konusu tutuklamanın, fidye yazılımı çetesi LockBit’e karşı düzenlenen büyük bir operasyonla örtüşmesini “olağanüstü” olarak yorumluyor.

Bazıları da bu tutuklamanın Rusya’nın PR girişimi olabileceğini, şüphelilerin bir şekilde operasyonlarına devam edeceğini belirtiyor.

Siber Saldırılar

GTA oyununu sızdıran genç hackera ömür boyu hastane cezası!

Yorum yapın

GTA 6’yı sızdıran 18 yaşındaki otizmli genç hackera ömür boyu hastanede kalma cezası verildi.

İngiltere’de bir mahkeme, Rockstar Games’in GTA oyununun görüntülerini sızdıran 18 yaşındaki otizmli hacker Arion Kurtaj’a süresiz hastane kalmasına karar verdi.

Lapsus$ çetesinin önemli bir üyesi olduğu iddia edilen Kurtaj’ın dizüstü bilgisayarına el konsa dahi televizyon ve telefon kullanarak Rockstar Games’e sızdığı belirtildi.

KAYNAK KODLARINI SIZDIRDI

Kurtaj, 2025’te çıkacağı bilinen Rockstar Games’in dünyaca ünlü oyunu Grand Theft Auto 6’nın yaklaşık 90 klibini sızdırmakla kalmamış, bir forumda TeaPotUberHacker kullanıcı adıyla klipleri ve oyunun kaynak kodlarını paylaşmıştı.

Uber, Nvidia ve Rockstar Games gibi teknoloji devlerine yönelik saldırıları firmalara yaklaşık 10 milyon dolar zarar ettiren Lapsus$ çetesinin üyesi olmakla gözaltına alınan Kurtaj, bir otelde kaldığı sırada dizüstü bilgisayarı olmadan televizyon ve telefon aracılığıyla Rockstar Games’e sızmaya devam etmişti.

ÖMÜR BOYU HASTANEDE KALABİLİR

Yargılandığı ilk mahkemede doktorlar, “ağır otizmli olduğu gerekçesiyle Kurtaj’ın mahkemeye çıkmaya uygun olmadığı” yönünde görüş sunmuş, bununla birlikte Kurtaj, jüri tarafından kefaletle serbest bırakılmıştı.

Serbest bırakılsa da polis koruması altında tutulan Kurtaj, siber saldırılarına devam etmesi nedeniyle yeniden tutuklanmıştı.

GTA 6’yı sızdıran genç hackerın Lapsus$ üyesi olduğu ortaya çıktı

Bir akıl sağlığı değerlendirmesinde Kurtaj’ın “mümkün olan en kısa sürede siber suçlara geri dönme niyetini ifade etmeye devam etmesi ve yüksek motivasyona sahip olması” nedeniyle yeniden yargılandığı mahkemede karar açıklandı

Yargıç, Kurtaj’ın yetenekleri ve siber suç işleme arzusunun, halk için yüksek risk oluşturmaya devam ettiği anlamına geldiğini söyleyerek Kurtaj’ın ömür boyu güvenli bir hastanede kalmasına hükmetti.

Doktorlar artık tehlike arz etmediğine karar vermezlerse Kurtaj ömür boyu güvenli bir hastanede kalacak.

AYNI DAVADA BİR LAPSUS$ ÜYESİ DAHA SUÇLU BULUNDU

Southwark Crown Court’ta altı hafta süren aynı davada 17 yaşında olan ve yaşı nedeniyle ismi açıklanamayan bir başka Lapsus$ üyesi de suçlu bulundu.

Kurtaj ve Lapsus$’un diğer üyeleriyle birlikte çalışarak teknoloji devi Nvidia ve telefon şirketi BT/EE’yi hackleyen 17 yaşındaki Lapsus$ üyesi, yoğun gözetim ve çevrimiçi VPN kullanma yasağı da dâhil olmak üzere 18 ay sürecek rehabilitasyona mahkûm edildi.

Aynı zamanda 17 yaşındaki Lapsus$ üyesi, bilgisayar korsanlığı suçlarının yanı sıra, hakimin iki genç kadına yönelik “nahoş ve korkutucu bir takip ve taciz modeli” olarak tanımladığı suçlardan da mahkûm edildi.

Siber Güvenlik

Qakbot siber suç şebekesine uluslararası operasyon: 8,6 milyon dolar kripto paraya el konuldu!

Yorum yapın

Fidye yazılım saldırıları düzenleyen siber suç çetesi Qakbot’a ABD’nin öncülüğünde uluslararası bir operasyon düzenlendi.

Farklı ülkelerin polis teşkilatı ve ABD Kolluk kuvvetlerince düzenlenen teknik operasyonda zararlı botnet yazılımı Qakbot ağının altyapısı çökertildi.

Dünya genelinde 700.000’den fazla sisteme bulaşan yazılım, Fransa’da 26.000 bilgisayara zarar verdi. Operasyonda ayrıca 8,6 milyon dolar değerinde kripto paraya el konuldu

Black Basta çetesinin arkasında kim var?

FBI’dan ve ABD Adalet Bakanlığından yapılan açıklamada çok uluslu bir operasyon, Qakbot botnet ağını dağıtmak amacıyla gerçekleştirildi. Operasyona ABD’nin yanısıra Fransa, Almanya, Hollanda, İngiltere, Romanya ve Letonya da katıldı.

Olay, ABD’nin bir botnet altyapısına karşı gerçekleştirdiğin ilk operasyon olarak tarihe geçti.

Qakbot zararlı yazılımı kurbanlarının bilgisayarlarına e-posta üzerinden gerçekleştirilen oltalama saldırılarılarıyla bulaşıyor. Qbot ve Pinkslipbot gibi farklı isimlerle de bilinen botnet, genellikle istenmeyen e-postaların dışında zararlı bağlantılar içeren iletilerle de yayılıyor.

Siber Güvenlik

Siber suç gruplarının gözdesi Cobalt’a ortak operasyon

Yorum yapın

Siber suç çetelerinin gözdesi Cobalt Strike’a karşı Microsoft ve Fortra’dan ortak operasyon düzenledi.

Microsoft ve Fortra’nın iş birliği, siber suçluların son dönemde eski sürümlerini kırarak saldırı aracı hâline getirdiği Cobalt Strike aracının mağdurlarını önemli ölçüde azalttı.

Operasyon, siber suçluların kullandığı Cobalt Strike sunucularının ABD’de yüzde 50, diğer ülkelerde de yüzde 25 oranlarında düşmesine neden oldu.

Siber güvenlik uzmanları tarafından savunma testlerinde siber saldırıları simüle etmek için kullanılan Cobalt Strike, yıllar içerisinde dünya çapında fidye yazılımı saldırıları başlatmak için eski sürümleri kırıp manipüle eden suçluların favori aracı hâline geldi.

Son iki yılda siber suçlular Cobalt Strike’ın kırılmış kopyalarını kullanarak yaklaşık 1,5 milyon cihaza virüs bulaştırdı.

CONTI COBALTI KULLANARAK  ÇOK SAYIDA KURUMA SALDIRDI

Cobalt Strike aracını kullanan çetelerden biri olan Conti fidye yazılımı çetesi, 2020 yılında bayrağı Ryuk çetesinden devraldıktan sonra çeşitli sektörlerdeki şirketlere, hükûmet kurumlarına, okullara ve sağlık kurumlarına saldırarak dünyaca tanınan siber suç örgütü hâline gelmişti.

Conti’nin sıkça kullandığı araçlardan biri olan Cobalt Strike, daha önce de çetenin Kosta Rika hükûmetine yönelik saldırısında kullanılmış ve hükûmetin acil durum çağrısı yapmasına neden olmuştu.

Aynı zamanda Conti, İrlanda Halk Sağlığı Merkezi’ne yönelik saldırısında da Cobalt Strike kullanmış, ağ sistemlerinin yüzde 80’den fazlasını ele geçirmiş ve binlerce hastanın hayatının tehlikeye girmesine neden olmuştu.

Europol’den dark web operasyonu: 288 kişi yakalandı!

Conti’nin dışında da siber suç gruplarının Cobalt Strike kullandığı biliniyor. Bunlar arasındaysa Evil Corp, LockBit ve Küba fidye yazılımı çetesi gibi 8 farklı çetenin olduğu belirtiliyor.

ÖNCE MICROSOFT HAREKETE GEÇTİ

Microsoft ve Fortra, suçluların eski sürümleri kırılmış Cobalt Strike araçlarını kullanmalarına karşı önlem almak için harekete geçti.

Microsoft’un Dijital Suçlar Birimi’nden (DCU) Jason Lyons tarafından yapılan öneriyle, birden fazla suçlu grubu hedef alacak şekilde büyük bir operasyon başlatıldı. Ekibin temel hedefi, bu grupların ortak olarak kullandığı kırılmış Cobalt Strike araçlarını etkisiz hâle getirmekti.

Çinli yeni siber saldırı aracı Alchimist, Cobalt Strike’a alternatif olabilir

Azure’daki ve daha sonra internetteki tüm aktif, halka açık Cobalt Strike komuta ve kontrol sunucularına bağlanan bir tarayıcı oluşturuldu. Ancak tarama yeterli değildi. Araştırmacılar, Cobalt Strike’ın geçerli güvenlik kullanımları ile tehdit aktörleri tarafından yasa dışı kullanımlarını nasıl ayırt edecekleri konusunda zorlukla karşılaştı.

Fortra, sattığı her Cobalt Strike kiti için benzersiz bir lisans numarası ya da filigran veriyor ve bu da kırılmış kopyalarda adli bir ipucu sağlıyordu. Ancak Fortra ilk operasyonun bir parçası olmadığı için DCU araştırmacıları bir süre tek başlarına çalıştı.

Fortra ise 2023’ün başlarında operasyona katıldı ve 3.500 yetkisiz Cobalt Strike sunucusuyla bağlantılı 200’den fazla “gayrimeşru” filigranın bir listesini sağladı. Şirket kendi araştırmalarını yapıyor ve yeni güvenlik kontrolleri ekliyordu, ancak Microsoft ile ortaklık, ölçeğe erişim, ek uzmanlık ve aracını ve interneti korumak için başka bir yol sağladı. Soruşturma süresince Fortra ve Microsoft, kırılmış Cobalt Strike’ın yaklaşık 50.000 benzersiz kopyasını analiz etti.

ELDE EDİLEN BİLGİLERLE DAVA AÇILDI

Ortaklık sonucunda operasyonun erişim alanı büyük ölçüde genişledi.

Operasyon sonucu elde edilen bilgiler, kötü niyetli altyapıyı her biri ayrı bir tehdit grubu olan 16 isimsiz sanığa açılan davada yardımcı oldu.

Dava sürecinde şirket avukatları, tehdit gruplarının telif hakkı yasalarını ve hizmet şartlarını ihlal ettiği için Fortra ve Microsoft’un kırılmış Cobalt Strike altyapısını kaldırma hakkı tanınmasını isterken mahkeme bu istemi kabul etti.

Mahkeme kararıyla elde edilen yetki sayesinde, kırılmış sürümlere ait altyapılar tespit edilerek engellendi. Ayrıca suçluların Microsoft yazılım kodlarını kötüye kullanarak anti-virus sistemlerini devre dışı bıraktığı altyapılar da etkisiz hale getirildi. Nisan ayında yürürlüğe giren bu kararın ardından, enfekte edilmiş IP adreslerinin sayısı ciddi şekilde azaldı.

Bu operasyon sayesinde kırılmış Cobalt Strike sunucularının sayısı dünya genelinde yüzde 25, ABD’de ise yüzde 50 oranında azaldı. Ele geçirilen alan adlarıyla ilişkili zararlı sunucular tarafından enfekte edilen IP adreslerinin sayısı yaklaşık üçte iki oranında azaldı. Bu durum, suçluların faaliyetlerini büyük ölçüde sınırlandırdı ve fidye yazılım saldırılarının sayısında ciddi bir düşüş yaşandı.

MICROSOFT VE FORTRA OPERASYONLARA DEVAM EDECEK

Microsoft ve Fortra, çatlak Cobalt Strike araçlarını kullanarak suç işleyenlere karşı bu tür operasyonların devam edeceğini vurguluyor.

Söz konusu operasyonlar yakın zamanda Cobalt Strike araçlarının kullanımının sınırlandırılması, hastanelerin ve sağlık kuruluşlarının bilgisayar ağlarını daha güvenli hâle getirmeye yardımcı olması konularında katkı sağlayacağı düşünülüyor.

Siber Güvenlik

Fidye yazılım ödemelerinde dikkat çeken düşüş: Miktar artsa da ödeme azaldı!

Yorum yapın

Ortalama fidye ödemelerindeki artışa rağmen, dünya çapında fidye yazılım saldırılarını paraya çevirme oranında büyük düşüş yaşandı.

Coveware siber güvenlik şirketinin araştırmasına göre, 2023 yılının ikinci çeyreğinde, fidye yazılım saldırıları mağdurlarının ödemelerinde yüzde %34’e varan bir şok düşüş yaşandı.

Araştırmada  şirketlerin siber güvenlik ve bilgi güvenliği olaylarına yanıt verme konusundaki eğitimlere yatırım yapmaya devam etmeleri sonuçta etkili olduğu görüşü dile getirildi.

İstatistiklerdeki trajik düşüşe rağmen, siber tehdit aktörleri her geçen gün yeni saldırı ve şantaj teknikleri geliştirmeye devam ediyor.

Fidye yazılım gruplarından CloP’a dikkat çekilen araştırma, ortalama fidye miktarının 190 bin424 ABD dolarına yükseldiğini ortaya koydu. Bu rakam 2023 yılının ilk çeyreğine göre yüzde 20 oranında bir artışa karşılık geliyor.

SİBER GÜVENLİK FARKINDALIĞI ETKİLİ OLDU

CloP grubunun, MOVEit zafiyetinin istismar edildiği saldırılarda 75-100 milyon dolar arası fidye tahsil ettiği tahmin ediliyor. Söz konusu fidye miktarı Kanada’nın yıllık siber saldırlara yönelik güvenlik bütçesinden daha büyük.

FBI, Hive fidye yazılım çetesine nasıl sızdı?

Rapora göre, 2023 yılının ikinci çeyreğinde özellikleri küçük işletmeleri hedef alan Hizmet olarak fidye yazılımı (RaaS) (Ransomware as a Service) gruplarının saldırılarında dikkati çeken bir azalma gözlemlendi.

Saldırılarda  ödemeler azalırken , en aktif gruplar arasında uzun süre yer alan Dharma ve Phobos gibi fidye yazılımı grupları etkisiz hale geldi. 2023 yılının bugüne kadarki döneminde Dharma/Phobos saldırıları, geçtiğimiz yılın aynı dönemine göre yaklaşık %37 oranında azaldı.

Fidye yazılım piyasasının yüzde 15’ini Black Cat ve Black Basta grupları ilk iki sırada paylaşıyor. Bu grupları Royal, Lockbit ve Akira fidye çeteleri izledi.