Black Basta fidye yazılımı çetesi kısa süre önce Almanya’nın Maklersoftware GmbH şirketini kurban listesine ekledi.
Maklersoftware, bağımsız bir Uygulama Servis Sağlayıcısı (ASP) sağlayıcısıdır. Sızan gönderide veri miktarı, talep edilen fidye veya fidye ödemesi için son tarih hakkında ayrıntılar açıklanmadı.
Finans ve sigorta şirketlerine veri merkezi çözümleri sunan Maklersoftware, 10 Ocak 2017 tarihinde online finansal hizmet sağlayıcısı olan Hypoport AG tarafından satın alındı.
Cyber Express, ihlalin teyidi için Hypoport’a ulaştı ve henüz bir yanıt almadı.
Araştırmacılara göre, ihlal üçüncü taraf bir Maklersfotware satıcısı tarafından gerçekleştirilmiş olabilir. Bu olaydan sonra üçüncü taraf siber güvenlik tartışması da ilgi odağı haline geldi.
Tedarik zinciri saldırıları, sağladığı müşterilerin veri güvenliğini etkileyerek büyük bir veri kaybına yol açabilir. Bir satıcıya erişim sağlamanın tek bir örneği, düzinelerce müşteri şirketin ayrıntılarını verebilir.
Tek bir tedarik zinciri saldırısının sonuçları
147 milyondan fazla müşteriyi etkileyen Equifax tedarik zinciri saldırısı (2017) ve Target USA’ya yapılan Target tedarik zinciri saldırısı (2014), kullanıcıların yaklaşık 40 milyon banka ve kredi kartı detayını ele geçirdi. Her iki olay da, bu veri ihlallerinden çalınan bilgilerden kaynaklanan ve giderek artan siber saldırılara yol açıyor.
IBM ve Ponemon Institute tarafından hazırlanan bir rapora göre, 2020 yılında bir veri ihlalinin çeşitli sorumluluklarından kaynaklanan ortalama maliyetin yaklaşık 3,86 milyon dolar olduğu tahmin ediliyor. Ayrıca bir siber saldırıyı durdurmanın 9 aydan fazla, yani yaklaşık 280 gün sürdüğünü de belirtti.
İşte bir tedarik zinciri saldırısının dökümü.
Bir güvenlik güncellemesi olarak kamufle etmek, bilgisayar korsanlarının çeşitli sistem ve uygulamalara ulaşmak için kullandığı en kolay yollardan biridir. Diğer durumlarda, bilgisayar korsanları kimlik avı bağlantıları gönderme eğilimindedir.
Tedarik zinciri saldırısı, kötü amaçlı yazılımı yerleştirmek ve satıcının dijital imzası altına gizlemek için güvenliği ihlal edilmiş bir satıcı sistemini kullanır. Bu, ana bilgisayarın kimlik bilgilerini gösterirken doğrulama ve algılama riskini büyük ölçüde azaltacaktır.
İmza, kötü amaçlı yazılımı orijinal hale getirir ve onunla birlikte yazılımlar arasında kısıtlama olmadan dolaşmasına izin verir. SolarWinds Orion yazılımının aşağıda gösterilen dijital imzasının güvenliği siber suçlular tarafından ele geçirildi.
Bilgisayar korsanları, SolarWind istemcilerinin sistemlerini tehlikeye atmak için Dinamik Bağlantı Kitaplığı dosyasına (.dll) kötü amaçlı bir yük yerleştirdi.
Benzer durumlarda, payload meşru bir dosyada beklerken, bir güvenlik açığı için bir yama kullanıma sunulduğunda veya bir güncelleme yapıldığında sıklıkla etkinleşir ve bilgisayar korsanının C2 sunucusundan komut alır.
Kötü amaçlı kod, arka planda birkaç kullanıcının sisteminde çalışırken, ön planda güncellemenin satıcıların yazılımından olduğu görülüyor.
Tedarik zinciri saldırılarından kaynaklanan tehditleri tespit etmek, banka hesabında fazla harcama görmeyi veya hassas hesap verilerini isteyen bir satıcı e-postasını veya aramayı içerir.
Bu tür talepleri dikkate almamak, hesaplardaki oturum açma kimlik bilgilerini uygun şekilde değiştirmek ve bunu iletişim yoluyla sağlanan bağlantılar yerine yalnızca resmi uygulamalar ve web siteleri aracılığıyla yapmak zorunludur. Ayrıca, yer imlerine eklenmiş eski bağlantıların yenileriyle değiştirilmesi de iyi bir siber güvenlik hijyenidir.
Dünyanın dört bir yanından gelen tüm fidye yazılımı haberleriyle güncel kalın. The Cyber Express’e abone olun.