Yemek Sepetine saldırdığını iddia eden bir saldırgan, verileri firma”iyi para verdiği” takdirde başkasına satmayacaklarını söyledi. Yemek Sepeti müşterilerine ait milyonlarca kaydın sızdırıldığına ilişkin iddialar konuşulmaya devam ederken, kullancılar bilgi talep ettiğinde saldırganlardan eksiksiz bilgi alıyor.
Gazeteci İbrahim Haskoloğlu’nun Twitter hesabından paylaştığı mesajlarda siber tehdit unsurlarıyla yazışmalarınıda kendi bilgilerini talep ettiğini ve kendisine gönderilen mesajda hata olmadığını belirtti.
Haskoloğlu mesajında kanıt olarak saldırganlardan kendi adres ve telefon numarasını göndermelerini talep ettiğini ifade etti. Tehdit aktörleri ise bu mesaja cevap olarak açık adresinin tarifini ve telefon bilgisini doğru olarak gönderdi.
Gazeteci Haskoloğlu, saldırganların veriler için ne kadar bedel talep ettiklerini sordu. Tehdit aktörleri ise “Yemek Sepeti iyi bir miktarda para verirse kimseye satmayacağız” açıklamasında bulundu.
Saldırganlar ayrıca ellerindeki verinin geçtiğimiz mart ayında gerçekleşen önceki veriyle ilişkili olmadığını ve Kasım 2021 bilgilerine sahip olduklarını iddia etti. Tehdit aktörleri, kendilerinden rastgele talep edilen bilgileri sağlayarak bunu yaptıklarını kanıtladıklarını savundu.
Geçtiğimiz günlerde Türkiye’de milyonlarca kişinin alışveriş yaptığı yemek siparişi sitesi Yemek Sepeti’ne ait 60 milyon müşterinin verilerinin sızdırıldığı iddia edilmişti.
Yemek Sepeti yetkilileri ise konuya ilişkin açıklamasında, fidye talep eden tehdit aktörlerinin iddiasının doğru olmadığını, fidye ödeme talebinin değerlendirmeye dahi alamadıklarını ve siber güvenlik uzmanlarının herhangi bir veri ihlalini işaret etmediğini bildirmişti.
Geçen nisan ayında da müşteri veri tabanı ele geçirilen Yemek Sepeti, ikinci bir bilgi güvenliği olayıyla karşı karşıya kalmıştı.
Fidye yazılım aktörleri son yıllarda önemli ölçüde saldırı yöntemlerinde değişikliğe gitti. Saldırganlar birkaç yıl önce şifrelenmiş dosyaları büyük ölçekte yayma eğilimindeyken, bugün saldırılar daha özel hedeflere odaklandı.
Dolandırıcılar artık her hedefi detaylı bir şekilde analiz ediyor ve sızabilecekleri bir zafiyet arıyor. Kötü şöhretli fidye yazılımı çeteleri, geleneksel pazarlama tekniklerini kullanarak tam teşekküllü bir çevrimiçi hizmet sağlayıcısı gibi davranıyor.
Siber Güvenlik şirketi Kaspersky uzmanları, Darkside fidye yazılımı çetesinin davranışlarından hareketle söz konusu dönüşümün beş aşamasını belirledi.
1 – MEDYAYLA AKTİF İLETİŞİM KURUYORLAR
Darkside, basınla aktif olarak iletişim kuruyor. Web sitelerinde gazetecilerin soru sormalarına, ilk elden bilgi almalarına ve çalınan bilgilerin ne zaman yayınlanacağını öğrenmelerine olanak tanıyan bir basın merkezi mevcut. Böylece DarkSide operatörleri ağlarda olabildiğince fazla etki elde etmeye çalışıyor.
2 – ARACI ŞİRKETLERLE İŞ BİRLİĞİ YAPIYORLAR
Fidye yazılımı grupları, şifre çözme şirketleriyle iş birliği yapıyor. Çünkü devlete ait birçok şirketin siber suçlularla müzakerelere girmesi yasak. Bu, meşru veri şifre çözme hizmetleri sağlayan aracılara dair talep oluşturuyor.
3 – FİDYE GELİRİNİN BİR KISMIYLA BAĞIŞ YAPTIKLARINI ÖNE SÜRÜYORLAR
Darkside, gelirinin bir kısmını hayır kurumlarına bağışladığını iddia ediyor. Böylelikle suçu finanse etmek istemeyenlere paralarının bir kısmının iyi bir amaca gideceğini gösteriyor. Bununla birlikte bazı hayır kurumlarının yasa dışı para kabul etmeleri yasak ve bu tür ödemeler donduruluyor.
4 – FİDYE ALMAK İÇİN TANINMIŞ MÜŞTERİLERİ VE RAKİPLERİ İNCELİYORLAR
Siber suçlular çalınan verileri ve pazarı dikkatli bir şekilde analiz ediyor. Bilgileri yayınlamadan önce şirketin bağlantılarını inceleyerek tanınmış müşterileri, ortakları ve rakipleri belirliyor. Kaspersky uzmanları, bunun temel amacının hedeflenen hasarı en üst düzeye çıkarmak, kurbanları sindirmek ve fidye alma şansını artırmak olduğunu belirtiyor.
5 – SÖZDE ETİK PRENSİPLERİ VAR
Darkside fidye yazılımı çetesinin tıpkı gerçek işletmelerde olduğu gibi artık kendi etik kuralları var. Tıbbi şirketlere, cenaze hizmetlerine, eğitim kurumlarına, kar amacı gütmeyen kuruluşlara veya devlet şirketlerine asla saldırmadıklarını iddia ediyorlar.
Kaspersky Güvenlik uzmanı Roman Dedenok ise konuya ilşkin şu değerlendirmelerde bulundu:
“Bugünlerde fidye yazılımı çetelerinin piyasa davranışlarında büyük bir dönüşüme tanıklık ediyoruz. Bu değişimin tek nedeni elde ettikleri muazzam kârlardır. Günümüzde siber suçlular pazar analizine yatırım yapabilecekleri, ortaklarla, gazetecilerle ve hayır kurumlarıyla çalışabilecekleri kadar fazla paraya sahipler. Onları yenmek için finansal akışlarını kesmemiz, yani fidye ödemeyi bırakmamız gerekiyor.”
Kaspersky fidye yazılımı saldırılarından korunmak için ayrıca şu önerilerde bulundu:
Yalnızca resmi web sitelerinden güvenilir kaynaklardan elde edilen uygulamaları yükleyin.
Dosyalarınızın her zaman taze yedeklerini tutun. Böylece saldırı veya hasar nedeniyle kaybolmaları durumunda onlara kolayca ulaşabilirsiniz. Daha fazla güvenilirlik için bunları yalnızca fiziksel depolama cihazlarına değil, aynı zamanda bulutta depolamayı unutmayın. Acil bir durumda yedeklerinize hızlı bir şekilde erişebileceğinizden emin olun
Şirket içinde dijital okuryazarlığa daha fazla önem verin. Örneğin çalışanlarınıza siber güvenlik farkındalığı eğitimi verin.
Tüm güvenlik güncellemelerini hazır olur olmaz yükleyin. En son güvenlik açıklarını ortadan kaldırmak için işletim sisteminizi ve yazılımlarınızı her zaman güncelleyin
Ağlarınız için siber güvenlik denetimi gerçekleştirerek keşfettiğiniz zayıflıkları giderin.
Tüm uç noktalar için fidye yazılımı korumasını etkinleştirin. Bilgisayarları ve sunucuları fidye yazılımlarından ve diğer kötü amaçlı yazılım türlerinden koruyun.
Fidye yazılımının cezai bir suç olduğunu aklınızda tutun. Bu suçun kurbanı olursanız asla fidyeyi ödemeyin. Bu davranış verilerinizi geri alacağınızı garanti etmediği gibi, suçluları işlerine devam etmeye teşvik eder. Bunun yerine, olayı yerel emniyet teşkilatına bildirin ve internetten bir şifre çözücü bulmaya çalışın. Bazılarını https://www.nomoreransom.org/en/index.html adresinde bulabilirsiniz.
ABD ve Birleşmiş Milletler nükleer silahların yasadışı finansmanını engelleme noktasında yaptırımlar uygularken Kuzey Kore bu yaptırımları aşma konusunda ustalıkla hareket ediyor.
Siber suçlarda dikkate değer ölçüde yetkinlik sahibi olan Kuzey Kore siber kabiliyetlerini hem yurt içinde hem de yurt dışında hızla geliştirdi. Komünist rejim, nükleer silah geliştirme programını finanse etme adına, “Hidden Cobra” veya “Lazarus Group” kod adlı hackleme ekipleri aracılığıyla dünya çapındaki dijital güvenlik açıklarından yararlanarak siber saldırılar düzenliyor.
2017’de ABD İç Güvenlik Bakanlığı ve FBI, Kuzey Kore’nin ABD’deki şirketler ve kritik altyapıya yönelik çeşitli saldırılarla bağlantılı olduğunu ortaya koyan bir siber güvenlik raporu yayınladı. Raporda yer alan uyarı, İç Güvenlik Bakanlığı ve FBI’ın Kuzey Kore hükümetinin dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak için kullandığını iddia ettiği Delta Charlie adlı bir tür kötü amaçlı yazılımla ilgiliydi. Bu botnet saldırıları, güvenli olmayan Nesnelerin İnterneti (IoT) cihazlarından kaynaklanan yıkıcı IP trafiğini yönlendirerek web sitelerini, uygulamaları ve diğer BT altyapısını saatler, günler veya haftalarca çevrimdışı duruma getirebiliyor.
KUZEY KORE LİDERİ SİBER GÜCÜ NÜKLEER GÜÇ KADAR ÖNEMLİ BULUYOR
Siber suç pazarının boyutu ve korumanın hala yetersiz oluşu, Kuzey Koreli siber grupların iştahını kabartıyor. Ülkenin gerçekleştirdiği siber operasyonlar çok az risk taşıyor, maliyeti düşük ve oldukça karlı bir alan. Güney Kore Ulusal İstihbarat Teşkilatı’nın eski müdürü Nam Jae-joon, Kim Jong Un’un sahip oldukları siber yeteneklerin nükleer güç kadar önemli olduğunu ve “nükleer silahlar ve füzelerin” yanı sıra siber savaşın Kuzey Kore ordusunun hedefleri vurma kabiliyetini garanti eden çok amaçlı bir silah olduğunu söylediğini aktarıyor.
Mayıs 2020’de Kuzey Korelilerin taktik planlama sistemlerini denetlemek için en az 100 tane birinci sınıf bilim ve teknoloji üniversitesi mezununu orduya dahil ettiklerini ortaya koyan bir başka rapor daha bulunuyor. Otomasyon Üniversitesi olarak adlandırılan Mirim Koleji, yılda yaklaşık 100 “hacker” mezun veriyor. Hocalar, öğrencilerinin Microsoft Windows işletim sistemlerini bozmayı, kötü amaçlı bilgisayar virüsleri oluşturmayı ve çeşitli programlama dillerinde kod yazmayı öğrendiklerini ifade ediyorlar. Bu durum, popüler işletim sistemi Windows’taki güvenlik açıklarından yararlanarak 150 ülkede 300 binden fazla bilgisayarda tahribata yol açan Kuzey Kore kaynaklı 2017 WannaCry fidye yazılımı siber saldırısının arka planına net bir örnek teşkil ediyor.
Yakın zamanda, Kuzey Kore’nin devlet medyası, ülkenin siber savaş ve silah geliştirme programıyla bağlantılı yeni bir bilim ve teknoloji üniversitesinin kurulduğunu doğruladı.
EN BÜYÜK DESTEKÇİSİ ÇİN
Kuzey Kore siber saldırılarda tek başına hareket etmiyor. ABD Ordusu tarafından yayınlanan bir rapora göre Kuzey Kore’nin dünya çapındaki dört istihbarat teşkilatında yaklaşık 6 bin siber ajan çalıştırdığı tahmin ediliyor. Bunlardan biri, 2017 WannaCry fidye yazılımı sürümü de dahil olmak üzere ciddi siber saldırıların arkasındaki beyin olarak bilinen Lazarus Group. Kuzey Kore’nin destekçileri arasında özellikle Çin’in eğitim ve akademik değişim yoluyla Kuzey Kore’nin yasadışı siber faaliyetlerine yardımcı olduğu düşünülüyor. Kuzey Koreli öğrenciler genellikle, ABD ve BM yaptırımları nedeniyle kendi ülkelerinde bulunmayan ileri teknolojiyle tanışabilecekleri Harbin Teknoloji Enstitüsü (HIT) gibi en iyi Çin kurumlarında eğitim görüyorlar. Kasım 2019’da, Çin Eğitim Bakanlığı ve Kuzey Kore Eğitim Komisyonu Başkanı, akademik ortaklıkları ve lisansüstü öğrenci değişimlerini desteklemek üzere Çin-Kuzey Kore Eğitim ve İşbirliği Anlaşması’nı (2020–2030) imzalamıştı.
Yabancı öğrenci değişimi ve lisansüstü programları artırmaya yönelik bu tür ortak hükümet girişimleri, bu üniversitelerin müfredatı göz önüne alındığında, siber suçların artmasına neden olabilir. Çin üniversitelerinin gelecekteki Kuzey Koreli nükleer bilim adamlarını eğittiği konusunda şimdiden endişeler bulunuyor. Bu kuruluşların Kuzey Koreli siber ajanları ABD ve diğer gelişmiş ekonomilerde üst düzey siber saldırı gerçekleştirme noktasında ihtiyaç duydukları beceri ve yeteneklerle donatmasının nasıl durdurulacağı sorusunun cevabı henüz verilebilmiş değil.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
DarkSide, Malware Hunter Team tarafından yakın zamanda keşfedildi. DarkSide, dosyaları şifreleyerek, dosya adlarını değiştirerek ve bazı fidye notları oluşturarak mağdurlardan para almak için dosyaları erişilemez hale getirmek üzere bir fidye yazılımı olarak 2020 yılının ortalarından beri gündemde.
DarkSide FİDYE YAZILIMI NE YAPIYOR?
DarkSide, kurbanın kimliğini bir uzantı olarak ekleyerek, şifrelenmiş dosyaları yeniden adlandırıyor. Örneğin, “1.jpg”yi, “1.jpg.d0ac7d95” olarak, “2.jpg”yi, “2.jpg.d0ac7d95” olarak yeniden adlandırır ve bu böyle devam eder. Şifrelenmiş veri içeren her klasöre ise “README.[Victim’s_ID].TXT” fidye notunu bırakıyor.
Aşağıdaki görselde şifrelenmiş dosyaları görebilirsiniz:
Fidye notunda belirtildiği gibi DarkSide fidye yazılımı, verileri güçlü şifreleme algoritmalarıyla şifreliyor. Böylece mağdurlar, kötü amaçlı yazılımın arkasındaki siber suçlulardan satın alınabilecek bir yazılım olmadan dosyaların şifresini çözemiyor. Mağdurlar, fidye ödemeyi reddederlerse (şifre çözme yazılımı satın almazlarsa) tüm verilerinin belirli bir web sitesinde yayınlanacağı ve en az 6 ay boyunca saklanacağı konusunda uyarılıyor.
Kullanıcıları, güvenliği ihlal edilmiş verilerinin şifresini çözmek için fidye ödemeye teşvik eden bir mesajın ekran görüntüsünü aşağıda görebilirsiniz:
FİDYE MİKTARI 200 BİN DOLAR İLE 2 MİLYON DOLAR ARASINDA
Fidyenin nasıl ödeneceğine ilişkin talimatlar ve şifre çözme yazılımının fiyatı gibi diğer ayrıntılar, fidye notundaki bir bağlantı (“README. [Kurbanın_Kimliği] .TXT” metin dosyası) aracılığıyla erişilebilen ‘Tor’ web sitesinde yayımlanıyor.
DarkSide’ın arkasındaki siber suçluların büyük şirketleri hedef alıyor olması kimseyi şaşırtmayacak. Çünkü DarkSide operatörlerinin fidye talepleri 200.000 ila 2.000.000 dolar arasında değişiyor. Siber suçlular şifre çözme yazılımlarının ise 3 gün içinde alınmasını istiyor. Aksi takdirde fiyat iki katına çıkıyor.
Aşağıda istenilen fidye miktarını ve fidye belirlenen sürede ödenmediğinde iki katına çıkacağına dair uyarıları görebilirsiniz:
Fidye yazılımı saldırısının kurbanı olmanın en büyük sorunu ise belirli bir fidye yazılımının arkasındaki siber suçluların, kurbanın dosyalarının şifresini çözebilecek araçlara sahip olan tek kişiler olmasıdır.
Ne yazık ki, DarkSide tarafından şifrelenen dosyaların şifresini çözebilecek başka hiçbir araç yok, tabii siber suçlular dışında. Bununla birlikte şifreleri sadece hackerların çözebilecek olması, siber suçlulara fidye ödemenin sizin için tek seçenek olacağı anlamına gelmiyor. Çünkü siz fidyeyi ödeseniz bile çoğu zaman size şifre çözme aracı veya anahtar göndermiyorlar. Basitçe söylemek gerekirse, fidye ödeyen kurbanlar genellikle dolandırılıyor.
Kendi başınıza dosyalarınızın şifresini çözmenizin iki yolu var. Birincisi eğer fidye yazılımında bazı hatalar, kusurlar veya açıklar varsa bu yollardan hareket ederek dosyalarınızın şifresini çözebilirsiniz. Siber suçlulardan herhangi bir şey satın almak zorunda kalmadan veri kaybını önlemenin diğer yolu ise dosyalarınızı yedekten geri yüklemektir. Tabii yedeklediyseniz.
Aşağıdaki görselde Darkside’ın veri sızdırdığı internet sitesini görebilirsiniz:
COVID-19’un küresel çapta yol açtığı durgunluk işsizliğin artmasına neden olurken, herhangi bir geliri olmadan evde kalmak durumunda olan insanlar yeni beceriler edinme yoluna gidiyor.
Cybernews.com tarafından yapılan bir araştırma, online kurslar alarak dijital ortamda gelir sağlamak isteyenlerin yanı sıra, gelir kaynağı olarak siber suçlara yönelik giderek artan bir ilgi olduğunu ortaya koydu.
Son veriler, mart, nisan ve mayıs aylarında hackerlık, dolandırıcılık ve diğer siber suç yöntemlerine ilişin internet aramalarının tavan yaptığını ve “hackerlık kursu” ve “etik hackerlık kursu” gibi anahtar kelimeler kullanarak yapılan internet aramalarının tüm zamanların en yüksek seviyesine ulaştığını gözler önüne seriyor. Ayrıca, popüler hacker web sitelerine ve forumlarına yapılan ziyaretlerin mart ayında yüzde 66’ya kadar arttığı biliniyor.
HACKER SİTELERİNİN VE FORUMLARININ TRAFİĞİNDE REKOR ARTIŞ
Cybernews.com’un Google Trends’de siber suçlara ilişkin anahtar kelimelerle yapılan aramalar ve Mart 2020’nin sonundan Mayıs 2020’ye kadar SimilarWeb’deki popüler hacker web sitesi trafiğine yönelik incelemesi sonunda elde ettiği bilgilere göre:
*Analiz edilen 15 bilgisayar korsanlığı ve siber suçla ilgili arama terimlerinden ikisi tüm zamanların en yüksek seviyelerine ulaşmış durumda. 5’i ise son beş yılın zirvesine ulaşırken 8 anahtar kelime on iki ayın en yüksek arama seviyelerine ulaştı.
*SimilarWeb’e göre, Mart ve Nisan 2020’de popüler hacker web sitelerindeki trafik gözle görülür şekilde arttı.
*Aramalardaki ve trafikteki artışlar, dünya genelinde mart ayının sonlarında başlayan, nisan ayında hız kazanan ve nisan sonu ile mayıs başında zirveye ulaşan ‘eve kapanmaların’ başlamasıyla ilişkili görünmekte.
YENİ BİR SİBER SUÇ DALGASI OLUŞTURABİLİR Mİ?
COVID-19 dolayısıyla insanların eve kapanması ulusal ekonomilere zarar vermeye devam ederken, siber suçlarla ilgili yapılan internet aramalarının sayısının son yıllardaki en yüksek seviyelerine ulaşması, gelecekte yeni bir siber suç dalgasına işaret olarak yorumlanıyor.
Cybernews.com pandemi sırasında siber suçlarla ilgili konulara ilgide gözle görülür bir artış olup olmadığını araştırmak için Google Trends’i kullandı. Temelde bilgisayar korsanlığı, çevrimiçi dolandırıcılık ve dark web (karanlık web) ile ilgili anahtar kelimeleri inceleyen ekip tüm anahtar kelimeler arasında en çok “hackerlık kursu” ve “etik hackerlık kursu” aramalarının Google Trends’de tüm zamanların en yüksek seviyelerine ulaştığını ortaya koydu. Analiz aynı zamanda bilgisayar korsanlığı ile ilgili becerileri öğrenmeye olan ilginin arttığını da gösteriyor.
‘NASIL HACKER OLUNUR’ DİYE ARAMA YAPANLARIN SAYISI TAVAN YAPTI
Bilgisayar korsanlığı kursları için yapılan aramalardaki yüksek artış mart ayının sonlarında başladı ve dünyadaki çoğu ülkedeki eve kapanmalar ikinci ayını doldururken Nisan ayına kadar artmaya devam etti. “Dark web’e nasıl girilir”, “nasıl dolandırılır” ve “hackerlığı öğrenin” gibi siber suçla ilgili diğer terimler, beş yıl veya daha uzun süredir yapılan aramalarda en yüksek oranlara ulaşmış durumda. “Nasıl hacklenir”, “nasıl hacker olunur”, “hackleme dersleri” ve “empire market” (hakim dark web pazarı) gibi siber suçları öğrenmeye ilişkin diğer sekiz anahtar kelime için yapılan aramaların boyutu Mart ve Nisan aylarında ortalamanın üstünde yükseldi.
Aslında sektörün içindeki kişiler siber suçlarda bir artış görmeye başladı bile. QuoLab Technologies CTO’su Fabien Dombard’a göre, siber güvenlik topluluğu, siber suçlulardan devlet destekli tüm tehdit aktörlerine kadar pandeminin yol açtığı korku ortamından yararlanarak sürdürülen kötü niyetli operasyonlarda bir artış gözlemliyor.
Ancak bu eğilimler, tüm bu aramaların yalnızca potansiyel siber suçlular tarafından yapıldığı anlamına gelmeyebilir. Zira siber güvenlik uzmanlarının da kendi becerilerini geliştirmek için bilgisayar korsanlığı kursları arayanların önemli bir bölümünü oluşturabileceği de düşünülüyor.
YL Ventures’dan Sounil Yu, sızma testinin nasıl yürütüleceği, web uygulamalarından nasıl yararlanılacağı veya güvenlik açıklarının nasıl bulunacağı gibi temel “hackleme” becerilerinin yalnızca siber suçlarla ilgili olmadığı konusunda uyarıyor. Yu’ya göre bunlar daha ziyade, siber güvenlik alanında işe başlamak isteyen kişilere yardımcı olan temel beceriler. Siber güvenlikle ilgili işlerin büyük ölçüde pandemiden etkilenmediğini söyleyen Yu, “Kalifiye çalışan sıkıntısı çekmeye devam ediyoruz, bu nedenle birçok kişi bir siber güvenlik uygulayıcısı olarak istihdam edilme umuduyla bu tür becerileri edinmeye çalışırsa bu şaşırtıcı bir durum olmaz.” şeklinde konuşuyor.
Araştırma yalnızca Google Trends üzerinden gerçekleştirilmedi. Popüler çevrimiçi bilgisayar korsanı topluluklarına yönelik internet trafiğini analiz etmek amacıyla SimilarWeb’in Trafiğe Genel Bakış özelliği de kullanıldı. Buna göre bir takım popüler hacker web sitesine ve forumlara yapılan ziyaretler Ocak’tan Şubat’a yüzde 15- yüzde 23 dolayında azalırken, Mart ayı trafiği yüzde 8-yüzde 66 oranında arttı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
