Siber güvenlik araştırmacıları, Rusça dilindeki bir karanlık web forumunda, 18.000 ila 30.000 hesap arasında değişen, aktif olarak AnyDesk hesapları satan çok sayıda tehdit aktörü tespit etti.
Popüler bir uzak masaüstü uygulaması olan AnyDesk, 2 Şubat 2024’te, bilinmeyen bilgisayar korsanlarının üretim sistemlerine yetkisiz erişimini içeren bir güvenlik ihlali olayını açıkladı.
Resecurity’teki siber güvenlik araştırmacıları, 4 Şubat 2024 Pazar günü yayınlanan son blog yazısında endişe verici bulguları açıkladı: birden fazla tehdit aktörü, hem açık web hem de karanlık web üzerinde güvenliği ihlal edilmiş AnyDesk oturum açma kimlik bilgilerini satıyor.
AnyDesk kimlik bilgilerinin karanlık ağda satışının son güvenlik ihlalinden ayrı olduğunu unutmamak çok önemlidir. Resecurity’e göre, satılan çalıntı oturum açma bilgileri, hassas bilgileri toplamak için bilgisayarlara bulaşan bilgi hırsızlığı yapan kötü amaçlı yazılımların bir sonucudur.
Bu, bilgisayar korsanlarının 100.000 ChatGPT giriş hesabı sattığı Haziran 2023’teki benzer bir olayla paralellik gösteriyor. Bu hesaplar, dünya çapında Raccoon, Vidar ve Redline kötü amaçlı yazılımlarının bulaştığı cihazlar aracılığıyla elde edildi.
Resecurity’nin blog gönderisine göre araştırmacılar, “Jobaaaaa” takma adı altında faaliyet gösteren ve ele geçirilen 18.317 AnyDesk hesabını sattığı gözlemlenen bir tehdit aktörünü tespit etti. Bu hesaplar, emanet hizmetleri aracılığıyla kolaylaştırılan işlemlerle 15.000 dolar değerinde Bitcoin (BTC) veya Monero (XMR) kripto para birimi karşılığında satışa sunuluyor.
Ancak Hudson Rock’tan Alon Gal, tehdit aktörünün aslında 30.000’den fazla AnyDesk hesabı sattığını belirterek Resecurity’nin bulgularına karşı çıktı. Bu farklılığa rağmen, bilgisayar korsanının güvenilir bir üçüncü taraf ödeme hizmeti olan Escrow’u kullanması, teklife bir miktar güvenilirlik katıyor.
Güvenliği ihlal edilen bu AnyDesk hesapları, hem açık hem de karanlık ağ üzerinden erişilebilen ve öncelikle Rusça olarak faaliyet gösteren bir siber suç ve hacker forumu olan Exploitin’de pazarlanıyor. Bu forum, güvenlik açıklarından yararlanma, veri tabanlarını satma ve hassas bilgileri sızdırma dahil olmak üzere çeşitli siber suçları kolaylaştırmasıyla ün kazanmıştır.
İlginçtir ki bu, Genesis siber suç pazarı yöneticilerinin, Nisan 2023’te temiz web alan adlarının ele geçirildiğini kabul ettiği platformla aynı platformdur.
Zaman Damgası Felaketi
Resecurity’nin son açıklaması, ele geçirilen hesapların satışıyla ilgili zaman damgalarına odaklanıyor. Paylaşılan ekran görüntülerinde görünen zaman damgaları, güvenlik olayının ifşa edilmesinden sonra 3 Şubat 2024’te gerçekleşen başarılı yetkisiz erişim örneklerini göstermektedir.
Ayrıca araştırmacılar, ele geçirilen hesapların hem bireysel kullanıcılara hem de şirketlere ait hesapları içerdiğini doğruladı. Bu, hesapların yanlış ellere geçmesi durumunda kuruluşlar ve şüphelenmeyen kullanıcılar için önemli bir felaket potansiyelinin olduğunu vurgulamaktadır. Bir önlem olarak, bulundukları yere bakılmaksızın tüm AnyDesk kullanıcılarının şifrelerini derhal değiştirmeleri çok önemlidir.
Potansiyel etki
İster birey ister kuruluş olsun, potansiyel etkisi yıkıcı olacaktır. Bir bireyin veya kuruluşun çalışır durumdaki bir AnyDesk hesabının kötü niyetli bir tehdit aktörünün eline geçmesi durumunda neler olabileceği aşağıda açıklanmıştır:
Bireysel için
- Finansal kayıp: Bilgisayar korsanları çalınan kimlik bilgilerini sahte işlemler yapmak, bağlı hesaplardan para çalmak veya mali gasp yapmak için kullanabilir.
- Veri hırsızlığı: Belgeler, fotoğraflar ve tarama geçmişi gibi kişisel veriler çalınabilir, satılabilir veya kimlik hırsızlığı için kullanılabilir.
- Kimlik Hırsızı: Bilgisayar korsanları, kimliğini çalmak veya başka suçlar işlemek için çevrimiçi ortamda veya telefonda kişinin kimliğine bürünebilir.
- İtibar Hasarı: Çalınan hesaplar, yanlış bilgi yaymak veya diğer zararlı faaliyetlerde bulunmak ve kişinin itibarına zarar vermek için kullanılabilir.
- Operasyonel Kesinti: Bilgisayar korsanlarının şifreleri değiştirmesi veya kilitlemesi durumunda kişiler önemli hesaplara veya verilere erişimi kaybedebilir.
İşletmeler için:
- Finansal kayıp: İşletmeler dolandırıcılık, veri ihlalleri ve fidye yazılımı saldırıları nedeniyle mali kayıplara maruz kalabilir.
- Veri hırsızlığı: Hassas iş verileri, ticari sırlar ve müşteri bilgileri çalınabilir, satılabilir veya rekabet avantajı sağlamak için kullanılabilir.
- Çalışan Kimliğine Bürünme: Bilgisayar korsanları, hassas sistemlere veya verilere erişim sağlamak için çalışanların kimliğine bürünebilir.
- İtibar Hasarı: Veri ihlalleri ve diğer güvenlik olayları bir şirketin marka imajına ve müşteri güvenine zarar verebilir.
- Operasyonel Kesinti: Çalınan kimlik bilgileri iş operasyonlarını aksatmak için kullanılabilir, bu da üretkenlik kaybına ve kesintilere neden olabilir.
- Fidye Yazılımı Saldırıları: Bilgisayar korsanları verileri şifreleyebilir ve şifreyi çözmek için fidye ödemesi talep edebilir.
Mağdurlar Ne Yapmalı?
Bireylerin ve kuruluşların kendilerini korumak için atabilecekleri bazı adımlar şunlardır:
- Şifreleri hemen değiştirin: AnyDesk kimlik bilgilerinizin tehlikeye girebileceğini düşünüyorsanız şifrenizi hemen değiştirin ve varsa iki faktörlü kimlik doğrulamayı etkinleştirin.
- Kimlik avı e-postalarına karşı dikkatli olun: AnyDesk’ten gelmiş gibi görünse bile şüpheli e-postalardaki bağlantılara tıklamayın veya ekleri açmayın.
- Şüpheli etkinliği bildirin: AnyDesk hesabınızda herhangi bir şüpheli etkinlik görürseniz bunu derhal AnyDesk’e bildirin.
- Güçlü şifreler kullanın: Tüm çevrimiçi hesaplarınız için güçlü, benzersiz şifreler kullanın ve aynı şifreyi birden fazla hesap için kullanmaktan kaçının.
- İki faktörlü kimlik doğrulamayı etkinleştirin: İki faktörlü kimlik doğrulama, oturum açmak için telefonunuzdan gelen kod gibi ikinci bir faktörün kullanılmasını gerektirerek ekstra bir güvenlik katmanı ekler.
- Haberdar olun: En son güvenlik tehditleri ve en iyi uygulamalar hakkında kendinizi bilgilendirin.
ALAKALI HABERLER
- Yeni Windows Infostealer ‘ExelaStealer’ Dark Web’de Satıldı
- Binlerce Dark Web Gönderisi ChatGPT’nin Kötüye Kullanım Planlarını Ortaya Çıkarıyor
- Telegram ve Dark Web’de Paylaşılan 360m WhatsApp Kayıtları
- Cloudflare, Devlet Aktörlerinin Okta İhlalinden Yararlanmasının Ardından Hacklendi
- TeamViewer Uzaktan Erişim Sağlamak ve Fidye Yazılımını Dağıtmak İçin Kullanıldı