Darknet, siber suçluların bir araya gelerek hikayeleri, taktikleri, başarı hikayelerini ve başarısızlıkları özgürce paylaştıkları birçok yeraltı hackleme forumuna ev sahipliği yapıyor. Onların tedbirsiz tartışmaları, ekibimizin son zamanlardaki düşmanca faaliyetlerin ardındaki politika ve etikleri incelemesine olanak tanıyor. Topladığımız tehdit istihbaratından, Cynet ortakları ve müşterileri için korumaları sürekli olarak geliştirmek amacıyla yararlanılmaktadır.
Bu yazıda, kötü şöhretli bir fidye yazılımı çetesi olan ShinyHunters'ı inceleyerek siber suç teşviklerine ve onların izledikleri hedeflerin yanı sıra kurbanlar üzerindeki etkilerine ve ekibinizin riski azaltmak için atabileceği adımlara ışık tutacağız.
Mevcut riskinizi hızlı bir şekilde değerlendirmek için “Fidye Yazılımına Hazırlık Değerlendirme Kılavuzunu” da kullanabilirsiniz.
Bir siber suçlunun cezası
10 Ocak'ta bir Fransız vatandaşı 3 yıl hapis ve 5 milyon dolar para cezasına çarptırıldı. Elektronik dolandırıcılık ve ağırlaştırılmış kimlik hırsızlığı yapmak için komplo kurma suçunu kabul etmişti. 22 yaşındaki oyuncu başlangıçta 29 yıl parmaklıklar ardında kalmıştı.
Suçlamalar, onun 2020 yılında kurulduğuna inanılan ShinyHunters adlı karanlık bir hacker grubuyla olan ilişkisinden kaynaklanıyor. ShinyHunters, 60'tan fazla kuruluştan veri çalmaktan sorumludur. Genellikle PII (Kişisel Tanımlanabilir Bilgiler) ve mali kimlik bilgileri olan çalınan veriler daha sonra fidye için tutulur. ShinyHunters'ın ödeme talepleri karşılanmazsa kurbanın verileri çeşitli karanlık web pazarlarında satılır veya sızdırılır. Bu davranış finansal motivasyona işaret eder; faaliyetlerinin siyasi veya aktivist bir gündemle bağlantısız görünüyor.
ShinyHunters'taki rolü, çalışanları kimlik bilgilerini girmeye ikna etmek için hedef şirketin giriş portalı gibi görünen özel kimlik avı sayfaları oluşturmaktı. Grup, çalınan bu kimlik bilgileriyle şirket ağlarına sızdı ve daha sonra gasp amacıyla kullanılabilecek tüm varlıklardan veri çaldı.
Fidye yazılımı saldırısı
ShinyHunters, Endonezya'nın en büyük e-ticaret şirketi Tokopedia'dan büyük miktarda hesap verisi sızdırarak olay yerine geldi. ShinyHunters, 2 Mayıs 2020'de 15 milyon Tokopedia hesabının bilgilerini 2,13 € karşılığında satışa sundu. Daha sonra 91 milyon Tokopedia hesabının tam veritabanı 5.000 $ karşılığında teklif edildi.
Hesap verileri arasında e-posta adresleri, tam adlar ve doğum tarihlerinin yanı sıra diğer tehdit aktörlerinin halka açık olarak paylaşmadan önce hashettiği veya kırdığı karma kullanıcı şifreleri de yer alıyordu.
ShinyHunters'a atfedilen bir diğer önemli ihlal, Express, Inc.'in bir yan kuruluşu olan giyim şirketi Bonobos'u hedef aldı. 17 Ocak 2021'de, 70 GB SQL dosyası biçimindeki bir Bonobos veritabanı, RaidForums hacker forumu üzerinden ücretsiz olarak indirilmeye sunuldu. Veritabanı milyonlarca e-posta adresini, telefon numarasını, kredi kartı numaralarının son dört hanesini, karma şifreleri ve kullanıcı şifre geçmişini içeriyordu. Tokopedia sızıntısında olduğu gibi, tehdit aktörleri kimlik bilgisi doldurma saldırılarında kullanılmak üzere şifreleri çözdü veya kırdı.
Bonobos, grubun Ağustos 2020'de şirketin dahili ağı dışında, harici bir bulut ortamında barındırılan bir yedekleme dosyasına erişimden yararlanarak verileri sızdırdığına inanıyor.
En son doğrulanan ShinyHunters kurbanı, dünyanın en büyük moda perakende şirketlerinden biri olan Hindistan merkezli Aditya Birla Fashion and Retail (ABFRL)'dir.
11 Ocak 2022'de, açıklanmayan bir meblağ için fidye müzakerelerinin başarısızlıkla sonuçlanmasının ardından ShinyHunters, RaidForums'ta büyük bir sızıntıyı ücretsiz olarak yayınladı. 700 GB çalınan veri şunları içeriyordu:
- Hassas ABFRL çalışanı ve müşteri verileri (tam ad, e-posta, doğum tarihi, fiziksel adres, cinsiyet, yaş, medeni durum, maaş, din ve daha fazlası).
- Buna, uzun süredir kullanımdan kaldırılan MD5 karma algoritmasıyla karma haline getirilen yaklaşık 5,4 milyon benzersiz e-posta adresi ve şifre dahildir.
- Hassas müşteri ödeme ayrıntılarını içeren 21 GB ABFRL faturası.
- ABFRL'nin web sitesi kaynak kodu ve sunucu raporları.
ABFRL, saldırı devam ederken ShinyHunter'ları tespit etse de, bilgisayar korsanlığı grubu şirketin hassas verilerine hâlâ kesintisiz erişime sahip olduklarını söylüyor.
ShinyHunters teknikleri
ShinyHunters'ın temel öğelerinden biri, kimlik avı e-postalarının ve sahte oturum açma sayfalarının belirli şirketleri hedeflemek ve kurbanın ağından ve ortamlarından veri (genellikle hassas müşteri veya çalışan bilgileri) sızdırmak için daha sonra kullanılmak üzere kimlik bilgileri toplamak amacıyla hazırlanmış hedef odaklı kimlik avıdır. Sızma sonrasında bulunan diğer kimlik bilgileri, kurbanın ağına veya üçüncü taraf hizmetlerine erişimi genişletmek için kullanılıyor. Grup daha sonra fidye için sızdırılan verileri elinde tutuyor ve kurbanı, verileri çeşitli darknet forumlarında ve pazar yerlerinde satılırken, hatta ücretsiz olarak halka açıklanırken kurbanı ödeme yapmaya veya izlemeye teşvik ediyor.
Ayrıca, bazı durumlarda grubun şirketlerin bulut bilişim sağlayıcılarını ihlal ettiği ve onları kripto para madenciliği yapmak üzere ele geçirdiği, bunun da kurban şirketlerin faturaya takılıp kalmasına neden olduğu da bildirildi.
Araları açılmak
ShinyHunters'ın saldırılarının etkileri, kaynak kodunun sızması gibi yollarla kurbanların iç operasyonlarına verilen teknik hasarın ötesine geçiyor. ShinyHunters, yeterli güvenlik önlemlerine sahip olmayan şirketlerin müşteri veritabanlarını tehlikeye atarak mağdurların itibarına zarar verdi ve ciddi durumlarda onları yasal işlemlere maruz bıraktı. Gerçekten de, birçok ShinyHunters kurbanı şu anda tehdit aktörleri arasında dağıtılan hassas müşterilerin çalınmasından kaynaklanan toplu davalarla karşı karşıya.
Çözüm
Yukarıda bahsedilen cezanın ShinyHunters'taki işbirlikçilerini daha fazla yasa dışı faaliyetten caydırıp caydıramayacağını zaman gösterecek. Yaşam kararları ne olursa olsun, kesin olarak bildiğimiz şey, küresel bir sorumluluk olarak fidye yazılımı riskinin hızla arttığıdır.
2023 yılında saldırı hacminin %50 artmasının ardından güvenlik ekiplerinin fidye yazılımı riskini azaltmak için harekete geçmesi gerekiyor. Bu özellikle yalın güvenlik ekiplerine sahip küçük ve orta ölçekli işletmeler (KOBİ'ler) için geçerlidir. Fidye yazılımı saldırılarının %82'si KOBİ'leri hedef alıyor.
Cynet'in hepsi bir arada siber güvenlik çözümü, küçük ekiplerin mücadele etmesine yardımcı olmak için özel olarak tasarlanmıştır. Uygun fiyatlıdır, kullanımı kolaydır ve Cynet'in yerleşik MDR hizmeti olan CyOps tarafından desteklenmektedir. Ortamınızı izlemek, olaylara müdahaleyi hızlandırmak veya yalnızca sorularınızı yanıtlamak için 7/24 hizmetinizdeyiz.