Bir süredir devam eden DeepDotWeb haber sitesine ilişkin davada, İsrailli operatör 8 yıl hapis cezasına çarptırıldı.
ABD Adalet Bakanlığı yaptığı açıklamayla, DeepDotWeb’in sahibi ve operatörü olan 37 yaşındaki Tal Prihar’ın, kara para aklama ve siteye yasa dışı bağlantılar ekleme suçlarından 8 yıl 1 aylık hapis cezasına ve akladığı 8.414.173 doları geri ödemesine hükmettiğini duyurdu.
Bakanlık ayrıca, davada eş sanık durumunda bulunan Michael Phan’ın da İsrail’de iade işlemlerinden geçtiğini açıkladı.
DeepDotWeb GÖRÜNDÜĞÜ GİBİ DEĞİL
DeepDotWeb, darknet pazarları, Tor hizmetleri, gizlilik, bitcoin ve ilgili haberler hakkında röportajlar ve incelemeler sunan bir haber sitesi olarak biliniyordu.
FBI tarafından yürütülen araştırmalar sonucu 2013’ten beri var olan DeepDotWeb’in sadece bir haber sitesi olmadığı, kullanıcılarına uyuşturucu, ateşli silahlar, hacking araçları, zararlı yazılımlar, çalınmış finansal veriler ve daha birçok yasa dışı ögelerin satın alındığı dark web pazarlarına geçit sağlayan bir web sitesi olduğu anlaşılmıştı.
ABD Adalet Bakanlığı tarafından 2019 yılında DeepDotWeb kapatılırken, 2013’ten beri DeepDotWeb sahibi ve operatörü olan Tal Prihar da daha sonra yakalanmıştı.
GEÇEN YIL SUÇUNU İTİRAF ETMİŞTİ
2021 yılında yapılan duruşmasında DeepDotWeb sahibi Prihar, davada eş sanık olan ve DeepDotWeb’in diğer bir operatörü olan Michael Phan’la birlikte, kullanıcılarına, fentanil, eroin, ateşli silahlar, hacking araçları, zararlı yazılımlar, çalınmış finansal veriler ve daha birçok yasa dışı ögelerin satın alındığı dark web pazarlarına geçit sağlayan bir web sitesini işlettiğini ve bu geçitleri sağlamak için dark web pazarlarından yaklaşık 8,155 bitcoin (o zamana göre 8,4 milyon dolar değerinde) komisyon aldığını ve söz konusu parayı da DDW bitcoin cüzdanından diğer bitcoin hesaplarına göndererek paravan şirketler aracılığıyla parayı akladığını kabul etmişti.
Tor Projesi, Tor röleleri ve Tor köprülerinin sayısında önemli bir düşüş gözlemlenmesinin ardından bir Tor sunucusu kuracak kullanıcıları ödüllendirecek.
Tor, kullanıcılarına anonim iletişim imkânı sağlayan bir ağ ve yazılım projesi. Kullanıcıların gerçek kimliklerini gizleyerek şifreli bir şekilde internete erişmelerine imkân sağlaması itibariyle takip edilme riskini azaltıyor.
Tor köprüleri ise genelde tor bağlantılarını kısıtlayan ve engelleyen ülkelerde Tor ağına erişmek için kullanılıyor. Tor ağı engellendiğinde, kullanıcılar sansürü aşmak için bir köprü ediniyor.
Köprüler, kullanıcıların sansürü atlamasına izin veren özel Tor röleleri ve Çin, Belarus, İran ve Kazakistan gibi Tor bağlantılarını kısıtlayan ülkelerde önemli bir görev üstleniyor. Projenin yöneticileri Ocak ayından bu yana Tor köprülerinin sayısının azaldığını duyurdu. Bu nedenle kullanıcıları yeni sunucular kurmaya çağırıyorlar. Yapılan duyuruda şu ifadeler yer aldı:
“Şu anda 900’ü obfs4 olmak üzere gizleme protokolünü destekleyen yaklaşık 1.200 köprümüz var. Ne yazık ki, bu rakamlar bu yılın başından bu yana azalmaktadır. Çok fazla köprüye sahip olmak yeterli olmayabiliyor. Zira sonunda hepsi kendilerini blok listelerinde bulabiliyorlar. Bu nedenle, henüz hiçbir yerde kısıtlanmamış bir yeni köprü akışına ihtiyacımız var. Tam da bu noktada yardımınıza ihtiyaç duyuyoruz.”
Tor Projesi, kullanıcıların desteğiyle bu yıl sonuna kadar 200’den fazla obfs4 köprüsünü çevrimiçi hale getirmeyi hedefliyor. Projenin yürütücüsü kendilerine bu konuda destek verecek kullanıcılara özel Tor ödül setleri vaat ediyor. Bir yıl boyunca 10 obfs4 köprüsü işletecek olan kullanıcılara 1 Tor kapüşonlu sweatshirt, 2 Tor tişört ve çıkartma paketi içeren Golden Gate köprüsü seti verilecek.
TOR PROJESİ’NİN ÖDÜL PROGRAMI
Golden Gate köprüsü (10 kit ile sınırlı)
1 yıl boyunca 10 obfs4 köprüsü çalıştırma.
Ödül seti: 1 Tor kapüşonlu sweatshirt + 2 Tor T-shirt + sticker paketi.
Helix köprüsü (20 kit ile sınırlıdır)
1 yıl boyunca 5 obfs4 köprüsünü çalıştırma
Ödül seti: 1 Tor T-shirt + sticker paketi.
Üniversite köprü seti (10 kit ile sınırlıdır)
Üniversitenizde 1 yıl boyunca 2 obfs4 köprüsü çalıştırma
Ödül seti: 1 Tor T-shirt + sticker paketi.
Rialto köprüsü (rastgele 10 yeni köprü operatörü seçimi)
1 Yıl boyunca 1 obfs4 köprüsü çalıştırmak
Proje kapsamında ayrıca özgür interneti savunmaya destek olanlara minnettarlığın bir göstergesi olarak Tor tişörtü vermek üzere rastgele 10 yeni köprü operatörü seçilecek. Teklif 7 Ocak 2022 tarihine kadar geçerli olacak.
Siber tehdit unsurları bir süredir güvenlik açısından zayıf noktalarını buldukları SAP uygulamarını hedef alıyor. Hackerlar çeşitli saldırılarla veri hırsızlığı yapıyor ve kritik iş süreçlerini sabote ediyor.
SAP ve Siber güvenlik şirketi Onapsis’in ortak hazırladıkları rapora göre, siber saldırganlar çeşitli zafiyetleri istismar ederek savunmasız SAP uygulamaları üzerinde tam kontrole sahip olabiliyor, ortak güvenlik ve uygunluk denetlemesini atlayabiliyor. Ayrıca zafiyetler hassas bilgilerin ele geçirilip finansal sahtekarlık yapılmasına veya fidye yazılımı bulaştırmak için süreçler geliştirilmesine olanak tanıyor.
Amerika merkezli şirketin bulgularına göre siber saldırganlar, 2020’nin ortalarından bu yılın mart ayına kadar daha önceden bilinen savunmasız SAP sistemlerine toplam 1500 istismar girişimi düzenlerken bunların 300’ünde başarılı oldu. Bu istismar girişimlerinde ayrıcalıklı SAP hesabı kullanıcıları hedeflendi.
Hedeflenen uygulama yazılımları arasında kurumsal kaynak planlaması (ERP), tedarik zinciri yönetimi (SCM), insan kaynakları yönetimi, ürün yaşam döngüsü yönetimi (PLM), müşteri ilişkileri yönetimi (CRM) gibi birçok SAP uygulaması bulunuyor.
SALDIRILAR TOR VE VPS’LER KULLANILARAK DÜZENLENİYOR
Siber saldırganların saldırı vektörleri gelişmiş olmasa da ön erişim elde etmek, ayrıcalık yükseltmek, rastgele kod yürütme için web shell arayüzü kullanmak, yüksek ayrıcalıklara sahip SAP yöneticiliği oluşturmak ve kimlik bilgileri veritabanını elde etmek için çeşitli teknikler, araçlar ve prosedürler izlediği keşfedilmişti. Saldırıların ayrıca TOR nodülleri ve dağıtılmış VPS’ler yardımıyla gerçekleştiği bildirilmişti.
Saldırganların istismar ettiği 6 kritik güvenlik zafiyeti arasında şu zafiyetler bulunuyor:
CVE-2010-5326 (CVSS puanı: 10) – SAP NetWeaver Application Server (AS) Java’da uzaktan kod yürütme zafiyeti
CVE-2016-3976 (CVSS puanı: 7,5) – SAP NetWeaver AS Java’da dizin geçişi güvenlik zafiyeti
CVE-2016-9563 (CVSS puanı: 6,4) – SAP NetWeaver AS Java’nın BC-BMT-BPM-DSK bileşeninde XML External Entity (XXE) güvenlik zafiyeti
CVE-2018-2380 (CVSS puanı: 6,6) – SAP CRM’de İnternet Satış’ında dizin geçişi güvenlik zafiyeti
DarkSide, Malware Hunter Team tarafından yakın zamanda keşfedildi. DarkSide, dosyaları şifreleyerek, dosya adlarını değiştirerek ve bazı fidye notları oluşturarak mağdurlardan para almak için dosyaları erişilemez hale getirmek üzere bir fidye yazılımı olarak 2020 yılının ortalarından beri gündemde.
DarkSide FİDYE YAZILIMI NE YAPIYOR?
DarkSide, kurbanın kimliğini bir uzantı olarak ekleyerek, şifrelenmiş dosyaları yeniden adlandırıyor. Örneğin, “1.jpg”yi, “1.jpg.d0ac7d95” olarak, “2.jpg”yi, “2.jpg.d0ac7d95” olarak yeniden adlandırır ve bu böyle devam eder. Şifrelenmiş veri içeren her klasöre ise “README.[Victim’s_ID].TXT” fidye notunu bırakıyor.
Aşağıdaki görselde şifrelenmiş dosyaları görebilirsiniz:
Fidye notunda belirtildiği gibi DarkSide fidye yazılımı, verileri güçlü şifreleme algoritmalarıyla şifreliyor. Böylece mağdurlar, kötü amaçlı yazılımın arkasındaki siber suçlulardan satın alınabilecek bir yazılım olmadan dosyaların şifresini çözemiyor. Mağdurlar, fidye ödemeyi reddederlerse (şifre çözme yazılımı satın almazlarsa) tüm verilerinin belirli bir web sitesinde yayınlanacağı ve en az 6 ay boyunca saklanacağı konusunda uyarılıyor.
Kullanıcıları, güvenliği ihlal edilmiş verilerinin şifresini çözmek için fidye ödemeye teşvik eden bir mesajın ekran görüntüsünü aşağıda görebilirsiniz:
FİDYE MİKTARI 200 BİN DOLAR İLE 2 MİLYON DOLAR ARASINDA
Fidyenin nasıl ödeneceğine ilişkin talimatlar ve şifre çözme yazılımının fiyatı gibi diğer ayrıntılar, fidye notundaki bir bağlantı (“README. [Kurbanın_Kimliği] .TXT” metin dosyası) aracılığıyla erişilebilen ‘Tor’ web sitesinde yayımlanıyor.
DarkSide’ın arkasındaki siber suçluların büyük şirketleri hedef alıyor olması kimseyi şaşırtmayacak. Çünkü DarkSide operatörlerinin fidye talepleri 200.000 ila 2.000.000 dolar arasında değişiyor. Siber suçlular şifre çözme yazılımlarının ise 3 gün içinde alınmasını istiyor. Aksi takdirde fiyat iki katına çıkıyor.
Aşağıda istenilen fidye miktarını ve fidye belirlenen sürede ödenmediğinde iki katına çıkacağına dair uyarıları görebilirsiniz:
Fidye yazılımı saldırısının kurbanı olmanın en büyük sorunu ise belirli bir fidye yazılımının arkasındaki siber suçluların, kurbanın dosyalarının şifresini çözebilecek araçlara sahip olan tek kişiler olmasıdır.
Ne yazık ki, DarkSide tarafından şifrelenen dosyaların şifresini çözebilecek başka hiçbir araç yok, tabii siber suçlular dışında. Bununla birlikte şifreleri sadece hackerların çözebilecek olması, siber suçlulara fidye ödemenin sizin için tek seçenek olacağı anlamına gelmiyor. Çünkü siz fidyeyi ödeseniz bile çoğu zaman size şifre çözme aracı veya anahtar göndermiyorlar. Basitçe söylemek gerekirse, fidye ödeyen kurbanlar genellikle dolandırılıyor.
Kendi başınıza dosyalarınızın şifresini çözmenizin iki yolu var. Birincisi eğer fidye yazılımında bazı hatalar, kusurlar veya açıklar varsa bu yollardan hareket ederek dosyalarınızın şifresini çözebilirsiniz. Siber suçlulardan herhangi bir şey satın almak zorunda kalmadan veri kaybını önlemenin diğer yolu ise dosyalarınızı yedekten geri yüklemektir. Tabii yedeklediyseniz.
Aşağıdaki görselde Darkside’ın veri sızdırdığı internet sitesini görebilirsiniz:
DarkSide fidye yazılımcıları, İran’da, kurbanlardan çalınan sızdırılmış verileri depolamak için ‘dağıtılmış depolama sistemi’ oluşturacağını iddia etti.
Fidye yazılımı çetesi, ciddi olduklarını göstermek için, bir hacker forumuna 320 bin dolar yatırdı.
DarkSide: FİDYE YAZILIMININ ÜST SEVİYESİ
DarkSide, geliştiricilerin fidye yazılımını ve ödeme sitesini kodladıkları, şirketleri veya işletmeleri hacklemek ve şirket dosyalarını şifrelemek için kullandıkları bir fidye yazılımı ‘Ransomware-as-a-Service (RaaS)’ olarak çalıştırılıyor.
DarkSide özel bir işlem olduğu için, kendi fidye yazılımını dağıtmak isteyen hackerların öncelikle erişim için kabul edilmesi gerekiyor.
Bu anlaşmanın bir parçası olarak, DarkSide fidye yazılımı geliştiricileri yüzde 10 veya yüzde 25’lik bir kesinti ücreti almanın yanı sıra, şirketlerden alınan fidye ödemelerinin yüzde 75-90’ını alıyor.
RUSÇA KONUŞAN HACKER ARANIYOR
Geçtiğimiz günlerde siber güvenlik istihbarat firması Kela, DarkSide fidye yazılımı işleticilerinin BleepingComputer internet sitesi üzerinden Rusça konuşan hacker aradığını duyurdukları bir gönderiye rastladı.
Gönderide, ‘DarkSide’ın, kurbanlardan çalınan verileri sızdırmak ve depolamak için dağıtılmış depolama sistemi üzerine çalıştıkları’ ifade edildi.
2019’un sonlarından bu yana, fidye yazılımı aracılığıyla dosyaların şifrelendiği ve ancak dosyaları şifreleyen hackerların o dosyalara bir daha erişebildiği bir sistem sayesinde kurbanlardan fidye isteyerek kazanç elde etmeyi hedefleyen hackerlara karşı siber güvenlik firmaları ve kolluk kuvvetleri veri sızdırılan siteleri kapatmaya çalışıyor.
Bu çalışmalara karşın DarkSide işleticileri ise başka bir plan uyguluyor. DarkSide işleticileri, kurbanlardan çaldıkları verileri 6 ay boyunca depolamak için İran’da dağıtılmış bir “Sürdürülebilir Depolama Sistemi” oluşturacaklarını ifade etti.
BİR SUNUCUYU ENGELLEMEK VERİLERİNİZİ SİLEMEYECEK
DarkSide işleticilerinin yaptığı açıklamada, “Bazı hedefler, onlardan indirdikleri çok sayıda veriyi yayınladıktan sonra hackerların ve diğer insanların TOR üzerinden uzun zaman boyunca indirilebileceğini düşünüyor. Biz de öyle düşünüyoruz bu yüzden bunu değiştireceğiz.” ifadeleri kullanıldı. Açıklamada “Halihazırda verileriniz için bir sürdürülebilir depolama sistemi üzerinde çalışıyoruz. Tüm verileriniz birden fazla sunucuda çoğaltılacak ve bir sunucuyu engellemek verilerinizi silemeyecek.” denildi.
Açıklamada ayrıca, “Daha önce verileri yayınlanmış olan şirketler de buraya yüklenecek, söz konusu şirketlerin verilerinin 6 ay boyunca depolanacağı da garanti edilecek. Böylelikle onların verilerini daha hızlı indirebilirsiniz.” ifadelerine yer verildi.
DarkSide işleticileri ise, “Özellikle İran veya ön planda olmayan cumhuriyetlerin sunucularını kullanacağız böylelikle onları engelleyemeyeceksiniz ve otomatik sistem ‘uygunluğu’ tespit edecek ve size indirme bir indirme linki verecek.” dedi.
DarkSide işleticilerinin ifadeleri, sizlerden çaldıkları verileri birçok sunucu arasında çoğaltacaklarını böylelikle bir sunucu engellendiğinde verileriniz diğer sunucularda erişilebilir olmaya devam edecek anlamına geliyor.
DarkSide işleticileri, kurban başına 400 bin dolar kazandıklarını iddia ettikleri faaliyetlerine katılacak yeni Rus üyelerini aradıklarını duyurdu.
İşe alım sürecinde ise, yeni üyeler bir görüşmeden geçecek. Görüşmede geliştiriciler, yeni üyelerin deneyim seviyeleri hakkında sorular soracak.
‘Darksupp’ olarak bilinen DarkSide işleticilerinden birinin hesabındaki 20 bitcoinin görüntüsü
Ryug, Egregor ve diğer fidye yazılımı işlemlerinden farklı olarak DarkSide, tıp, eğitim, kar amacı gütmeyen kuruluşlar ve hükümetlere saldırmayacaklarını bildirdi. DarkSide işleticilerinin bu sözlerini tutup tutmayacağı henüz bilinmiyor.
DarkSide işleticileri, ABD’deki büyük şirketlere erişimi olan hackerlara da 400 bin dolar harcamaya istekliler. DarkSide çetesi, iddialarının gerçekçi olduğunu göstermek için foruma bugünün değerleriyle yaklaşık 320 bin dolar değerinde 20 bitcoin yatırdı.
Yatırılan bitcoinler daha sonra yazılım, hizmet veya bilgi satın almaları için diğer üyelere de aktarılabilir. Bu zenginlik gösterisi ise REvil’in Eylül ayında aynı foruma 1 milyon dolarlık bitcoin yatırdığı işe alım kampanyasına benziyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
