Etiket arşivi: ransomware

Siber Güvenlik

Zeppelin fidye yazılımı kurbanlarına müjde: Ücretsiz şifre çözme aracı paylaşıldı

Yorum yapın

Zeppelin fidye yazılımı kurbanlarına müjde: Ücretsiz şifre çözme aracı paylaşıldıGenellikle kötü haberlerin yoğunlukta olduğu siber güvenlik dünyasında bir iyi haber Unit 221B araştırmacılarından geldi. Uzmanlar, Zeppelin fidye yazılım kurbanları için yeni şifre çözücü buldu.

Siber güvenlik firması Unit 221B araştırmacıları, 2020’den bu yana Zeppelin fidye yazılımının kurbanlarına, bilgisayar sistemlerinin şifresini çözmelerine gizlice yardımcı olduklarını açıkladı.

EVSİZ BARINAKLARINA BİLE SALDIRIYORLARDI

Zeppelin fidye yazılımı, 2019’da ortaya çıkmış ve o günden bu yana çeşitli işletmeler, kritik altyapı kuruluşları, savunma yüklenicileri, eğitim kurumları, sağlık ve tıp endüstrilerini hedef almıştı.

Bunun yanı sıra fidye yazılımının hayır kurumlarını, kar amacı gütmeyen kuruluşları ve evsiz barınaklarını hedef almasıyla Unit 221B araştırmacıları, dikkatlerini bu fidye yazılımına yöneltmişti.

Kurbanlarından kimi zaman 1 milyon dolarlık fidyeler talep etmiş olsalar da Zeppelin operatörleri ortalama olarak 50.000 dolar civarı fidye istiyordu. 

Son zamanlarda saldırılarında gözle görülür bir düşüş yaşanmasının ardından Unit 221B araştırmacıları, Zeppelin fidye yazılımı kurbanlarına nasıl yardım ettiklerini açıkladı.

KURBANLARA NASIL YARDIM ETTİKLERİNİ AÇIKLADILAR 

Firmanın internet sitesinde paylaşılan blog yazısına göre Unit 221B araştırmacıları, Zeppelin fidye yazılımının şifreleme akışının kayıt defterine geçici olarak bir anahtar bıraktığı bir güvenlik zafiyeti içeriyordu. 

Fidyeciler 9,7 milyon kişinin verilerini sızdırdı: Saldırının arkasında Rusya mı var?

Bu zafiyeti keşfeden ve daha sonra bundan faydalanan araştırmacılar, kurbanların virüs bulaşmış sistemlerde çalıştırabilecekleri bir şifre çözme aracı üretmeyi başardı. Daha sonra bu aracı çalıştıran araştırmacılar, altı saatlik çalışmadan sonra şifreleme anahtarını kırmayı başardı.

Zeppelin fidye yazılımı saldırısına uğrayan kuruluşlara bu yardımı sunan araştırmacılar, Zeppelin operatörlerinin kulağına gitmemesi ve çetenin yaklaşımını değiştirerek daha fazla kuruluşa saldırmaması amacıyla keşiflerini bugüne kadar saklamış.

Zeppelin kurbanlarının sayısında önemli bir düşüş yaşandıktan sonraysa Unit 221B, çalışmalarının ayrıntılarını açıklamayı tercih etti. Araç ücretsiz olarak sunulmaya devam ediyor ve Zeppelin’in en son sürümlerine karşı bile hâlâ çalışıyor.

Türkiye

Netaş’ın hacklendiği iddia edildi: Askeri AR-GE çalışmaları sızdırıldı mı?

Yorum yapın

Türkiye’de savunma sanayi firmalarına siber güvenlik hizmeti veren Netaş firmasının siber saldırıya uğradığı ve şirkete ait verilerin sızdırıldığı öne sürüldü.

Data Leak Monitoring adlı Twitter hesabından yayımlanan bir mesajda, siber tehdit aktörlerinin Netaş’a fidye yazılım saldırısı düzenlendiği iddia edildi. İddiaya göre saldırganlar firma fidye ödemeyi reddettiği için ele geçirdikleri veri tabanının 3GB’lık kısmını yayımladı.

Sızdırılan veriler arasında firmanın askeri alandaki AR-GE faaliyetlerine dair detaylar olduğu ileri sürülüyor. Saldırganlar ayrıca firmaya yönelik devlet destekleri ve teşvikler ile bazı finansal verilerin bulunduğu birçok belgeyi de ele geçirdiklerini iddia ediyor.

Tehdit aktörlerinin paylaştığı ekran görüntülerinde Akbank’a ait olduğu iddia edilen veriler de yer alıyor.

Netaş 1967 yılında kurulan ve Türkiye’nin iletişim altyapısının oluşturulmasında öncülük eden bir firma. Şirket son zamanlarda savunma sanayisi firmalarına SOC hizmeti ve çeşitli alanlarda danışmanlık faaliyetinde bulunuyordu.

Siber Güvenlik

CISCO, hackerların sızdırdığı çalıntı bilgileri doğruladı

Yorum yapın

ABD’li ağ teknolojisi devi, Çinli Yanluowang fidye yazılım çetesinin sızdırdığı bilgilerin şirket kayıtlarıyla uyuştuğunu açıkladı.

Fidye çetesi firmadan geçtiğimiz mayıs ayında ele geçirdiği ve 55 GB büyüklüğünde olduğunu iddia ettikleri bilgilerin bir kısmını dün sızıntı sitesinde paylaşmıştı. Paylaşımın ardından şirket de çalıntı verilerin doğruluğunu kabul etti.

Firmadan yapılan konuya ilişkin açıklamada saldırının şirkete yönelik herhangi bir olumsuz etkisinin bulunmadığı iddiası yinelendi.

Cisco nasıl hacklendi? Nasıl aksiyon aldı?

Açıklamada tehdit aktörlerinin sızdırdığı bilgilerin firma kayıtlarıyla uyuştuğu ve daha önce tespit edilen veriler olduğu ifade edildi. Firmanın açıklamasında şu değerlendirmelere yer verildi: “Saldırıya ilişkin Cisco ürünleri, hizmetleri, hassas müşteri verileri, çalışan bilgileri, fikri mülkiyet ve tedarik zinciri operasyonlarına herhangi bir etkisi gözlemlenmemiştir.”

Tehdit aktörleri firmaya ait kaynak kodlarını da ele geçirdiğini öne sürmüş ancak şirketten bunu ispat eden bir bulguya rastlanmadığı açıklaması gelmişti.

Geçen ay firmadan yapılan açıklamaya siber saldırı doğrulanmıştı. Açıklamada saldırının tarihi 24 Mayıs olarak bildirilirken Cisco ekibi, bir çalışanının kişisel Google hesabının ele geçirildiği, ele geçirilen Google hesabında kayıtlı olan Cisco uzantılı kurumsal ağa giriş parolası çalınarak VPN üzerinden uzaktan sisteme erişildiğini tespit ettiklerini açıklamıştı.

Kritik Altyapı Güvenliği

Fidye yazılım çetesi İngiltere’nin su şebekesine nasıl sızdı?

Yorum yapın

Fidye yazılımı çetesi Cl0p, İngiltere’nin su alt yapısına hizmet veren şirkete sızabileceğini iddia etti.

Yüksek profilli saldırılara imza atan grup Cl0p, bir su tedarikçisini izinsiz erişim elde ettiğini duyurdu.

Cl0p çetesi, İngilliz su tedarikçisi South Staff Water’ı hacklediğini ve kontrol sistemlerinin dâhili ağına erişim sağlayıp su akışını bozabileceğini ileri sürdü.

KANIT OLARAK SU AKIŞ ARAYÜZLERİNİ SUNDULAR

Yüksek profilli saldırılara imza atması ve geçen yıl Binance’tan 500 milyon dolarlık fidye almasıyla bilinen Cl0p fidye yazılımı çetesi, İngiliz su tedarik sağlayıcısı South Staff Water’ın sistemlerine girdiğini iddia etti.

Kanıt olarak su kaynaklarını kontrol etmek için kullanılan arayüzleri gösteren ekran görüntülerini içeren şirket verilerini paylaşan çete, potansiyel olarak su akışını bozabileceğini iddia etti.

Kanıtları inceleyen endüstriyel kontrol sistemleri üzerinde uzmanlaşan siber güvenlik araştırmacılarından bazıları, söz konusu kanıtların gerçek olduğunu düşünüyor.

Komşuya kritik alt yapı saldırısı: Yunan gaz devi fidye çetesinin hedefinde!

Siber güvenlik şirketi Dragos’un tehdit istihbaratı Mark Plemmons, “İsterlerse daha fazla operasyon yürütmek yeterli erişime sahip görünüyorlar.” açıklaması yaptı.

Görüntüler hakkında yorum yapan Plemmons, “İki ayrı görüntü, Cl0p çetesinin SSW şirketinin operasyonel teknolojisine erişim iddiasının kanıtı gibi görünüyor. Cl0p çetesinin veri sızdırmaya başlamasından iki gün sonra alınan bir Opus SCADA Master istasyonu İnsan Makine Arayüzü’nün gerçek ekran görüntüleri gibi duruyor.” dedi.

SCADA, endüstriyel bir ortamda makineleri ve süreçleri kontrol etmek ve izlemek için grafik arayüzleri içeren bir sistem olarak biliniyor.

“İNSANLARA ZARAR VERMEK İSTEMİYORUZ”

Bir Cl0p üyesinin yaptığı açıklamada, “Erişimimiz vardı ancak sadece ekran görüntüleri aldık.” dedi. Tehdit aktörü, “İnsanlara zarar vermek istemiyoruz ve kritik altyapılara saygılı davranıyoruz. Kimseye zarar vermek istemediğimiz için sisteme gerçekten girmedik.” ifadelerini kullandı.

South Staffs Water, konu hakkında yorum yapmasa da olayın kamuoyuna duyurulmasının ardından, “Bu olay, güvenli su sağlama yeteneğimizi etkilemedi. Cambridge Water ve South Staffs Water müşterilerimize hâlâ güvenli bir şekilde su sağlıyoruz.” açıklamasını yaptı.

“GÖRÜNTÜLER KONTROL EDEBİLECEKLERİ ANLAMINA GELMİYOR”

Bir başka siber güvenlik araştırmacısı Danielle Jablanski, tehdit aktörlerinin bu arayüzleri görmelerinin, onları kontrol edebilecekleri anlamına gelmediğini ve bunu kanıtlayan hiçbir kanıt bulunmadığını belirtti.

Jablanski, “İnsan Makine Arayüzü ekran görüntüsü, bir şirket ağından operasyonel bir teknoloji ağına geçebileceklerini gösteriyor ancak değişiklik yapma ve komutları iletme yeteneği, potansiyel olarak bir izleme veya uzaktan görüntüleme yeteneğine erişmekten farklıdır.” dedi. 

Nozomi Networks’ten bir siber güvenlik stratejisti, “Bu komuta ve kontrol yeteneğini kurmuş olabilirler ancak mevcut ekran görüntüleri bunu açıkça doğrulamıyor.” dedi. Ekran görüntülerini yorumlayan stratejist, “Ekran görüntüleri, kontrol panelinde kimin oturum açtığını veya ekran görüntüsünün alındığı makinenin erişimin süreç kontrol sistemlerinde değişiklik yapma yeteneğine sahip olup olmadığını göstermiyor.” cümlelerini kullandı.

Kritik Altyapı Güvenliği

Komşuya kritik alt yapı saldırısı: Yunan gaz devi fidye çetesinin hedefinde!

Yorum yapın

Yunanistan’ın doğalgaz iletim şirketi, fidye yazılımı saldırısına uğradıklarını açıkladı.

İletim sistemlerine ek olarak Yunanistan’ın gaz dağıtım şebekelerini de yöneten DESFA, yaşanan saldırı nedeniyle veri sızıntısı yaşadıklarını kabul etti.

DESFA yönetiminin Çarşamba günü yaptığı açıklamada, “Siber tehdit aktörlerinin ağlarına sızmaya çalıştıkları ancak IT ekiplerinin hızlıca bu olaya müdahale ettikleri” ifade edildi.

Olaya müdahale edilse de bazı dosya ve verilerin sızdırıldığı açıklandı.

Olayın ardından müşterilerini korumak ve operasyonlarını normal bir biçimde devam ettirmek için birçok çevrim içi servisini kapatan şirket, dikkatli bir biçimde restorasyon çalışmalarını sürdürdüklerini belirtti.

Söz konusu sızıntının gaz tedarikini etkilemeyeceğini belirten şirket, işleyişin doğal hâliyle devam edeceğini ifade etti.

Colonial Pipeline saldırısı hakkında bilmeniz gereken 5 şey

Yaşanan saldırının ardından kolluk kuvvetleri, Savunma Bakanlığı ve Enerji ve Çevre Bakanlığı ile çalıştıklarını açıklayan DESFA, yaşanabilecek olası zararları asgariye etmek için çalışmalar yapıldığını aktardı.

Ayrıca siber tehdit aktörleriyle iletişime geçmeyi reddeden şirket, fidye ödemeyeceklerini belirtti.

SALDIRIYI RAGNAR LOCKER ÇETESİ GERÇEKLEŞTİRDİ

DESFA’nın saldırıyı kabul etmesinden önce geçtiğimiz Cuma günü Ragnar Locker adlı fidye yazılımı çetesi, sızıntı sitelerinde DESFA’ya ait bazı verileri yayımlamıştı.

Ragnar Locker, operasyonlarına iki yıl önce başlasa da geçtiğimiz yıl birçok yüksek profilli saldırının altına imzasını atmıştı.

Geçtiğimiz yıllara oranla saldırı sayıları azalmış olsa da FBI raporlarına göre Ragnar Locker, Ocak 2022 itibariyle ABD’deki 52 kritik altyapı tesisine saldırdı.

Sızdırdıkları verilerin küçük bir bölümünü sızıntı sitelerinde yayımlayan çete, DESFA’nın sistemlerine birden fazla güvenlik zafiyeti bulduklarını ve buldukları zafiyetleri şirketle paylaştıklarını ama şirketten herhangi bir cevap alamadıklarını belirtti.

Çete ayrıca fidye taleplerinin karşılanmaması durumunda şirkete ait tüm verileri yayımlayacaklarını açıkladı.