Ayrıca: LockBit 2022’de Zirvedeydi ve Kuzey Koreliler Ape Web Portalı
Daha Fazla (AnvikshaDevamı) •
15 Haziran 2023
Information Security Media Group, her hafta dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini özetliyor. Bu hafta, MOVEit kurbanlarının listesi genişledi ve artık ABD hükümetini de içeriyor. Ayrıca, CISA ve küresel emsalleri LockBit’i dünyanın en büyük fidye yazılımı tehdidi olarak taçlandırdı, Kuzey Koreli bilgisayar korsanları popüler bir Güney Kore web portalını kopyaladı, Nike ve Tommy Hilfiger gibi en iyi markaları hedeflemek için SEO tekniklerini kullanan devasa bir kimliğe bürünme kampanyası ve Manchester Üniversitesi bir felaket yaşadı. veri ihlali
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
MOVEit Kurban Listesi Büyüyor
ABD hükümeti, bilgisayar korsanlarının yüzlerce kuruluştan veri çalmak için kullandığı, Progress Software’in MOVEit dosya aktarım sisteminde artık yamalanmış sıfır gün güvenlik açığına düşen kurbanların sayısı giderek artıyor.
Rusça konuşan Clop bir hizmet olarak fidye yazılımı grubu, Progress Software’in 31 Mayıs’ta yama yaptığı CVE-2023-34362 olarak izlenen bir SQL güvenlik açığını kullanarak 27 Mayıs’ta ortaya çıkan MOVEit saldırı dalgasının sorumluluğunu üstlendi (bkz:: Clop Fidye Yazılımı Çetesi MOVEit Örneklerini Hacklediğini İddia Etti).
ABD Siber Güvenlik Altyapısı ve Güvenlik Dairesi Direktörü Jen Easterly Perşembe öğleden sonra MSNBC’ye verdiği demeçte, “Etkilerin ne olduğu veya etkileri olup olmadığı konusunda tam bir anlayışa sahip değiliz.” Easterly, hükümetin “önemli etkiler” görmeyeceğinden emin olduğunu da sözlerine ekledi.
Muhabirlerle öğleden sonra yaptığı bir görüşmede Easterly, saldırıları “fırsatçı” olarak nitelendirdi. Bilgisayar korsanlarının, saldırıları kalıcılık kazanmak veya belirli, yüksek değerli bilgileri çalmak için bir sıçrama noktası olarak kullanmadıklarını söyledi. Hiçbir devlet kurumu şantaj talebi aldığını bildirmedi.
“Bu, SolarWinds gibi ulusal güvenliğimiz veya ulusumuzun ağları için sistemik bir risk oluşturan bir kampanya değil” dedi.
Üst düzey bir CISA yetkilisi, “az sayıda” federal kurumun etkilendiğini ve birçoğunun ajanstan destek aldığını söyledi. Yetkili, “Bu, çok sayıda federal kurumu etkileyen yaygın bir kampanya değil,” dedi ve Clop ile Rus hükümeti arasında herhangi bir koordinasyon görünmediğini de sözlerine ekledi.
Yetkili, hükümetin bildiği kadarıyla, federal kurumların MOVEit saldırılarının arkasında Clop’un olduğunu söyledi. “Bu noktada, güvenlik açığından yararlanarak izinsiz girişler gerçekleştiren ve federal veya federal olmayan kurumları etkileyen başka herhangi bir aktör tespit etmedik.”
Öne çıkan diğer etkilenen kuruluşlar arasında Illinois ve Missouri eyaletleri ve Minnesota Eğitim Bakanlığı yer alıyor.
Oregon Ulaştırma Bakanlığı Perşembe günü yaptığı açıklamada, MOVEit bilgisayar korsanlarının sürücü belgesi veya eyalet kimliği olan 3,5 milyon Oregonlunun verilerine eriştiğini söyledi. Bakanlık, “Bu bilgilerin çoğu geniş çapta mevcut olsa da, bir kısmı hassas kişisel bilgilerdir” dedi.
İngiliz iletişim düzenleyicisi Ofcom, MOVEit bilgisayar korsanlarının 412 çalışanın kişisel verileriyle birlikte “düzenlediğimiz bazı şirketler hakkında sınırlı miktarda bilgi – bazıları gizli” çaldığını söyledi.
Küresel bulut bilgi işlem sağlayıcısı Extreme Networks, bilgisayar korsanlarının MOVEit örneğine sızdığını da kabul etti.
Clop fidye yazılımı çetesi, görünüşe göre daha önce verdiği bir sözde, kendisiyle proaktif olarak iletişime geçmeyen etkilenen kuruluşların adlarını sızıntı web sitesinde yayınlamaya başladı. Adı geçen şirketler arasında ABD merkezli finansal hizmetler firmaları, bir İsviçre sigorta şirketi, Shell Oil ve diğerleri yer alıyor.
Shell Oil yaptığı açıklamada, MOVEit saldırı dalgasından etkilendiğini söyledi. Şirketin MOVEit kullanımını “az sayıda Shell çalışanı ve müşterisi” ile sınırlı olarak nitelendiren bir sözcü, “Shell’in temel BT sistemleri üzerinde herhangi bir etki kanıtı yok” dedi.
LockBit, Dünyanın En Büyük Fidye Yazılımı Tehdidi Olarak Adlandırıldı
Ortak bir danışma belgesinde, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi dahil olmak üzere küresel yetkililer, LockBit’i 2022’nin en çok dağıtılan fidye yazılımı çeşidi olarak tanımladı.
FBI, hizmet olarak fidye yazılımı çetesinin ortaya çıktığı 2020’den bu yana ABD’li kurbanlardan yaklaşık 91 milyon dolar zorla aldığını söyledi. 2022’de Amerikan eyaletine ve yerel yönetimlere yönelik 6 fidye yazılımı saldırısından yaklaşık 1’i LockBit’ten geldi. Avustralyalı yetkililer, 31 Mart’ta sona eren 12 aylık dönemde meydana gelen bilinen fidye yazılımı saldırılarının yaklaşık 10’da 2’sinden grubun sorumlu olduğunu söyledi.
Grubun başarısının olası bir nedeni: Çoklu hükümet danışmanlığı, LockBit’in bağlı kuruluşlarına payını almadan önce ödeme yaptığını söylüyor. “Bu uygulama, önce kendilerine ödeme yapan ve ardından bağlı kuruluşların payını ödeyen diğer RaaS gruplarının tam tersidir.”
Kuzey Koreli Hackerlar Çevrimiçi Portalı Taklit Ediyor
Güney Kore istihbarat teşkilatı Çarşamba günü, Kuzey Koreli tehdit aktörlerinin, genellikle Güney Kore’nin Google’ı olarak bilinen popüler çevrimiçi portal Naver’den “ayırt edilmesi imkansız” olan sahte bir alan oluşturduğunu söyledi.
Milli İstihbarat Teşkilatı sahte alan adını söyledi – naverportal.com web arama ve e-ticaret platformu Naver’in tıpkıbasımıdır.
Ajans, dolandırıcı alan adının Naver’in ana ekranında gerçek zamanlı haber ve reklam afişlerini kopyaladığını ve benzer menü seçenekleri sunarak kullanıcıların iki web sitesini ayırt etmesini imkansız hale getirdiğini söyledi.
Devasa Kimliğe Bürünme Kampanyası En İyi Markaları Hedefliyor
Marka koruma şirketi Bolster, müşterileri aldatmak için arama motoru optimizasyonu teknikleri kullanan yaygın bir marka kimliğine bürünme kampanyasını ortaya çıkardığını söyledi. Şirket, aralarında Nike, Puma, Adidas ve Casio’nun da bulunduğu yüzlerce giyim, ayakkabı ve giyim markasının Haziran 2022’de başlayan ve popüler moda markalarının kimliğine bürünen bir kimlik avı kampanyasından etkilendiğini söyledi. Kimlik avı etkinliği, Kasım 2022 ile Şubat arasında zirve yaptı. Failler, hileli web sitelerinden alışveriş yapmaları için şüphelenmeyen müşterileri hedeflemek için çok sayıda alan adı kaydettirdi. Herhangi bir ürün gelirse, bu düşük kaliteli bir kopyadır.
Manchester Üniversitesi Veri İhlali Yaşıyor
Birleşik Krallık’taki Manchester Üniversitesi Cuma günü bir veri ihlali olayına maruz kaldı ve saldırıda muhtemelen kişisel veriler çalındı.
Üniversite bir SSS sayfasında “Bu olayın MoveIT ve Zellis’teki bilgisayar korsanlarının aynı veya ilişkili faillerinin işi olduğuna dair hiçbir göstergemiz yok” dedi. Zellis, MOVEit saldırılarından etkilenen bir Birleşik Krallık bordro şirketidir. British Airways, Aer Lingus, BBC ve İngiliz eczane zinciri Boots, saldırıdan etkilendi.
Geçen Haftanın Diğer Kapsamı
Hindistan’ın Pune kentindeki ISMG’den Jayant Chakravarti ve Washington, DC’deki David Perera’nın raporları ile