ABD, LockBit Kodlayıcısı Olduğu İddia Edilen Kişinin İadesini İstiyor

ABD, hizmet olarak LockBit fidye yazılımı operasyonunda kodlayıcı olduğu iddia edilen Rostislav Panev’in İsrail’den iadesini istiyor. İsrailli haber sitesi Ynet Perşembe günü, İsrail vatandaşının Ağustos ayında Hayfa’da tutuklanmasının ardından Amerikalı yetkililerin Ekim ayında iade dilekçesi verdiklerini bildirdi. İsrail hükümeti, ABD’nin dilekçeyi kamuoyuna duyurmanın diğer LockBit şüphelilerini Rusya’ya kaçmaya itebileceği yönündeki endişelerini dile getirmesinin ardından perşembe günü süresi dolan konuşma yasağı talebini kabul etti.

Bir zamanların en üst düzey fidye yazılımı grubu, çok sayıda sunucuya el konulması, tutuklanması ve lideri Dmitry Yuryevich Khoroshev’in görevden alınmasını içeren ortak bir uluslararası baskı kampanyası altındadır (bkz: LockBitSupp’un Kimliği Ortaya Çıktı: Dmitry Yuryevich Khoroshev).

İade dilekçesinde Panev’in 2019’dan itibaren LockBit yazılım geliştiricisi olarak görev yaptığı ileri sürülüyor. Panev’in, virüs bulaşmış bir sisteme bağlı herhangi bir yazıcıdan fidye notlarının yazdırılmasına olanak tanıyan bir modül gibi araçlar oluşturduğu iddia ediliyor. Bir savunma avukatı Ynet’e, Panev’in fidye yazılımı korsanlığından haberi olmayan veya bu olayla ilgisi olmayan “bir bilgisayar teknisyeni” olduğunu söyledi. Müfettişler, Panev’in dairesinde LockBit fidye mektupları ve sunulan hizmetlere ilişkin ödemelerle bağlantılı dijital cüzdanlar buldu.

Interpol, siber güvenlik camiasını, kolluk kuvvetlerini ve medyayı, mağdurları utandırdığını ve haberciliği engellediğini öne sürerek, çevrimiçi ilişki ve yatırım dolandırıcılıklarını tanımlamak için “domuz kasaplığı” terimini terk etmeye çağırdı.

Bu terim, dolandırıcıların mağdurları finansal olarak sömürmeden önce güven inşa ederek “şişmanlama” taktiklerinden kaynaklanmaktadır. Bu dolandırıcılıklar genellikle, mağdurları para “borç vermeleri” veya genellikle kripto para birimleri içeren dolandırıcılık planlarına “yatırım yapmaları” için manipüle etmek amacıyla sahte arkadaşlıklar veya çevrimiçi romantik ilişkiler kurmayı içerir. Kurbanlara yoğun yatırım yapıldıktan sonra dolandırıcılar parayı çalar ve tüm iletişimi keser.

Interpol, mağdurları damgalamak yerine dolandırıcıların manipülasyon taktiklerine odaklanan “romantizm tuzağı”nın kullanılmasını savunuyor. Interpol, “‘Domuz katliamı’ terimi mağdurları insanlıktan çıkarıyor ve utandırıyor, onları yardım aramaktan caydırıyor.” dedi. “Buna karşılık, ‘aşk tuzağı’ faillerin karmaşık taktiklerini öne çıkarıyor.”

Değişen terminoloji, mağdurları yargılama korkusu olmadan öne çıkmaya teşvik etmeyi, yetkililerle daha iyi destek ve istihbarat paylaşımını kolaylaştırmayı amaçlıyor. Kolluk kuvvetleri çalınan fonları her zaman kurtaramayabilir ancak zamanında raporlama, daha fazla mağduriyeti önlemek ve siber suçluların izlenmesine yardımcı olmak için kritik göstergeler sağlayabilir.

Bilgisayar korsanları, savunmasız sistemleri tanımlamak için genel kavram kanıtlama kodunu kullanarak Apache Struts 2’deki bir güvenlik açığından yararlanıyor olabilir. CVSS 4.0 puanı 9,5 olan ve CVE-2024-53677 ile izlenen kusur, çerçevenin dosya yükleme mantığında yer alıyor ve yol geçişine ve kötü amaçlı dosya yüklemelerine olanak tanıyarak, potansiyel olarak uzaktan kod yürütülmesine yol açıyor. Apache’nin “geriye dönük olarak uyumlu olmadığı” ve sistem yöneticilerinin “yeni Eylem Dosyası Yükleme mekanizmasını ve ilgili önleyiciyi kullanmaya başlamak için eylemlerinizi yeniden yazması gerektiği” uyarısında bulunması nedeniyle yamayı uygulamak zor olabilir. Eski Dosya Yükleme mekanizmasını kullanmak sizi ayakta tutar. Bu saldırıya karşı savunmasızız.”

SANS Enstitüsü Araştırma Dekanı Johannes Ullrich Pazar günü şunları yazdı: “PoC istismar koduyla eşleşen bu güvenlik açığına yönelik aktif istismar girişimlerini görüyoruz. Saldırganlar, güvenlik açığı bulunan sistemlerin varlığını doğrulayan bir “exploit.jsp” dosyası yüklemek için bu istismardan yararlanıyor. “Apache Struts” dedi.

Güvenlik araştırmacısı Kevin Beaumont sükunet çağrısında bulundu. Mastodon’da bu güvenlik açığının vahşi ortamda istismar edildiği yönündeki raporların abartılı olduğunu belirtti. “İnsanlar sprey sıkıyor ve dua ediyor; istismar yükleri işe yaramıyor” diye yazdı. Konsept kanıtı “işe yaramıyor. Savunmasız bir web uygulaması oluşturmanız ve ardından PoC’yi buna göre uyarlamanız gerekir.”

Kanada, Avustralya ve Belçika’daki ulusal siber güvenlik kurumları acil eylem çağrısında bulunan uyarılar yayınladı.

Nuevo León eyaletindeki Meksika polisi, yaklaşık 15 gigabaytlık kolluk kuvvetleri verilerini çaldığından şüphelenilen iki eski devlet çalışanını arıyor.

Çarşamba günü düzenlediği basın toplantısında Eyalet Başsavcısı Pedro Arce Jardón, yerel medyanın yetkililerin olayı örtbas etmeye çalıştığı yönündeki raporları üzerine veri ihlali olayının bu yılın ilk aylarına ait olduğunu kabul etti. Gazeteci Ignacio Gómez Villaseñor Pazartesi günü sosyal medyada, adli deliller ve aktif soruşturmalara ilişkin bilgiler içeren 14,7 gigabaytlık bir arşivden parçalar gösterdiği iddia edilen bir bilgisayar korsanlığı forumunun ekran görüntülerini paylaştı. Eyalet başsavcılığı aynı gün, Mart ayında sunucularında olağandışı bir aktivite tespit ettiğini ve çalınan herhangi bir bilginin soruşturmaları veya davaları tehlikeye sokmadığını belirten bir bildiri yayınladı.

Arce Jardón ayrıca gazetecilere verdiği demeçte, yetkililerin Ekim ayında eyalet savcılığı ağına bağlı bir sabit disk tespit ettiğini, bunun da Nuevo León hazine departmanı çalışanları olan iki şüphelinin kimliğine yol açan güvenlik bantlarının incelenmesine yol açtığını söyledi. Biri Şubat’ta, diğeri Ekim’de işten ayrıldı, dedi.

Gómez Villaseñor tarafından yayınlanan ekran görüntülerine göre, “Scorpion” adını kullanan bir bilgisayar korsanı, önceden programlanmış bir Raspberry Pi cihazı kuran içeriden biri tarafından üç aylık bir süre boyunca eyalet avukatı ağına erişim izni verildiğini iddia etti. Scorpion, içeriden birinin işinin risk altında olduğuna inandığını ve karşı ağırlık olarak hassas verilere erişim istediğini ileri sürdü. İçeriden biri, ağ sızmasını açığa çıkararak Scorpion’a “ihanet etti”. Bilgisayar korsanı, 2021 yılına kadar uzanan kolluk kuvvetleri verilerini indirdiğini iddia ediyor ve çalınan verileri daha fazla kamuya açıklamakla tehdit ediyor. Arce Jardón Çarşamba günü yaptığı açıklamada, ofisinin “şantaj veya gasp” tuzağına düşmeyeceğini söyledi.

Avrupa Komisyonu, Romanya cumhurbaşkanlığı seçimlerine yabancı müdahale iddialarının ardından Pazartesi günü sosyal medya hizmeti TikTok tarafından Dijital Hizmetler Yasası’nın potansiyel ihlallerine ilişkin bir soruşturma başlattı.

Romanya’da 24 Kasım’da yapılan seçimlerde milliyetçi ve AB karşıtı aday Calin Georgescu ilk turda sürpriz bir galibiyet elde etti, ancak daha sonra Rusya’nın TikTok aracılığıyla müdahale ettiğine dair kanıtlar nedeniyle Anayasa Mahkemesi tarafından iptal edildi. İstihbarat raporları, TikTok’un öneri algoritmasının ve potansiyel olarak botlar ve sahte hesaplar tarafından yönlendirilen etiketsiz siyasi reklamların Georgescu yanlısı içeriği güçlendirdiğini ortaya çıkardı.

Netflix, Hollanda veri koruma otoritesinin 2018 ile 2020 arasındaki veri uygulamaları hakkında yeterli bilgi sağlayamadığı için yayın devine para cezası vermesinin ardından Hollanda hükümetine 4,93 milyon dolar ödemek zorunda kalacak.

2019’da başlatılan bir soruşturma, Netflix gizlilik beyanlarının e-posta adresleri, ödeme ayrıntıları ve izleme alışkanlıkları gibi kullanıcı verilerinin toplanmasının amacı ve yasal dayanağı konusunda netlikten yoksun olduğunu belirledi. Şirket, üçüncü taraflarla veri paylaşımını, saklama sürelerini ve Avrupa dışındaki veri aktarımlarına ilişkin güvenlik önlemlerini yeterince açıklayamadı.

Hollandaca’da Autoriteit Persoonsgegevens olarak bilinen veri koruma yetkilisi, verilerine erişim isteyen kullanıcılara tam bilgi verilmediğini ve bu durumun Genel Veri Koruma Yönetmeliği’ni ihlal ettiğini söyledi.

Netflix’in Avrupa, Orta Doğu ve Afrika operasyonlarının merkezi Amsterdam’dadır. Hollandalı yetkililer, Avusturyalı gizlilik grubu noyb’un şikayeti üzerine soruşturmaya başladı. Grup, para cezasının bir kazanç olduğunu beyan eden bir bildiri yayınlarken, aynı zamanda “bunu elde etmenin neredeyse beş yıl sürdüğünden ve çok basit bir durumda” şikayetinde bulundu.

Netflix cezaya itiraz etti.

Texas Tech Üniversitesi Sağlık Bilimleri Merkezi, Eylül ayında gerçekleşen fidye yazılımı saldırısından etkilenen yaklaşık 1,5 milyon kişiyi bilgilendirdi. Merkez, 815.000 kişinin etkilendiğini ve merkezin El Paso kampüsünde ek 650.000 hastanın bulunduğunu bildirdi.

17 Eylül ile 29 Eylül arasında gerçekleşen saldırı, BT sistemlerini aksattı ve tehdit aktörlerinin hassas veriler içeren dosyalara erişmesine ve bunları kaldırmasına olanak sağladı. Ele geçirilen bilgiler arasında diğer kişisel ve tıbbi bilgilerin yanı sıra isimler, Sosyal Güvenlik numaraları, adresler, mali ayrıntılar, sağlık sigortası ve tıbbi kayıtlar yer alır.

Birleşik ihlal bildiriminde soruşturmanın devam ettiği belirtildi. Her ikisi de tıp eğitimi ve araştırmasına odaklanan Texas Tech Üniversitesi sisteminin bir parçasıdır.

Merkezin birincil eğitim hastanesi olan Lubbock’taki Üniversite Tıp Merkezi de Eylül ayında ilgili BT kesintileriyle karşılaştı. UMC kendi ihlal bildirimini yayınladı ancak etkilenen bireylerin en yeni ihlal bildirimiyle örtüşüp örtüşmediğine açıklık getirmedi. BT kesintisi UMC’nin hasta bakımını aksattı ve ambulansın yönünü değiştirmeye zorlandı (bkz.: UMC EHR’yi Kurtarır; Diğer Sistemler Saldırıdan 3 Hafta Sonra Çevrimdışı).

Güney Carolina merkezli SRP Federal Credit Union, 240.000’den fazla kişiyi hassas kişisel bilgileri açığa çıkaran bir veri ihlali konusunda bilgilendirdi. İhlal, bir tehdit aktörünün sistemlere eriştiği ve potansiyel olarak verilere sızdığı 5 Eylül ile 4 Kasım tarihleri ​​arasında gerçekleşti.

Ele geçirilen bilgiler arasında isimler, doğum tarihleri, sürücü belgesi numaraları, Sosyal Güvenlik numaraları ve mali ayrıntılar yer alıyor.

SRP Federal Credit Union, kötüye kullanıldığına dair hiçbir kanıt olmadığını belirtmesine rağmen, fidye yazılımı grubu Nitrogen, kuruluşu sızıntı sitesinde listeleyerek ve 650 gigabaytlık verinin çalındığını iddia ederek saldırının sorumluluğunu üstlendi. Eylül sonundan bu yana faaliyet gösteren yeni bir fidye yazılımı grubu olan Nitrogen, son iki ay içinde çalınan verileri sızdırarak birçok ABD ve Kanada kuruluşunu hedef aldı.

Geçen Haftadan Diğer Hikayeler

Bilgi Güvenliği Medya Grubu’ndan Boston banliyölerindeki Marianne Kolbasuk McGee ve Washington DC’deki David Perera’nın raporlarıyla