Breach Roundup: FBI hayalet uyarısı yayınlıyor

Siber suç, sahtekarlık yönetimi ve siber suç, olay ve ihlal yanıtı

Ayrıca: Lee Enterprises fidye yazılımı saldırısından kurtuldu, bir Ivanti POC

Anviksha More (Anvikshamore) •
20 Şubat 2025

ISMG her hafta dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini tamamlıyor. Bu hafta, hayalet fidye yazılımı hakkında bir FBI uyarısı olan Lee Enterprises, fidye yazılımı saldırısını, Ivanti EPM kusurları için bir kavram kanıtı ve bir Xerox makinesinde siber güvenlik kusurunu doğruladı. Ayrıca, bir Çin siberlik hacker görünüşe göre fidye yazılımı saldırgan ve Niocorp siber bir soygun tarafından vuruldu.

Ayrıca bakınız: Fidye Yazılımı ve Gasp Saldırılarını Azaltma Uzman Kılavuzu

FBI ve ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı Çarşamba günü, Ghost Fidyeware’in 70’den fazla ülkedeki kuruluşları tehlikeye attığı ve sağlık, hükümet, eğitim ve kritik altyapı dahil olmak üzere endüstrileri etkilediği konusunda uyardı.

2021’in başından beri aktif olan hayalet operatörleri, erişim elde etmek için Fortinet, ColdFusion ve Microsoft Exchange’deki eski, açılmamış güvenlik açıklarından yararlanıyor. Cring, Crypt3R ve Phantom olarak da bilinen grup, sık sık kötü amaçlı yazılım varyantlarını ve fidye taktiklerini döndürür ve ilişkilendirmeyi karmaşıklaştırır.

Güvenlik araştırmacıları ilk olarak mimikatz ve kobaltstrike kullanarak hayalet gördü ve ardından algılamadan kaçmak için Windows certanil aracılığıyla fidye yazılımlarını dağıttı.

Hayalet aktörler Çin’de bulunuyor ve operasyonu Rusça egemen fidye yazılım operatörlerinin dünyasında bir aykırı hale getiriyor.

Google, uzaktan kod yürütme ve sistem devralmasını sağlayabilecek iki yüksek aralıklı krom güvenlik açıkları için yamalar yayınladı. Bu yığın tampon taşma kusurları, V8 JavaScript motorunu ve GPU bileşenlerini etkiler ve tam sistem uzlaşmasını riske atar.

Chrome’un ağ bileşeninde orta şiddetsiz bir kullanımdan arınmış güvenlik açığı olan üçüncü bir kusur olan CVE-2025-1006, saldırganların keyfi kod yürütmesini de sağlayabilir. Google, Windows, Mac ve Linux için Chrome’da düzeltmeler yayınladı.

Amerikan gazete zinciri Lee Enterprises, fidye yazılımı saldırısının geçen hafta düzinelerce gazete operasyonunu bozduğunu doğruladı. Esas olarak ikincil ve kırsal pazarlara hizmet veren medya şirketi, 25 eyalette 350 yayına sahiptir. Amerika Birleşik Devletleri’ndeki dördüncü en büyük gazete grubudur. Başlangıçta 3 Şubat’ta bir “siber olay” bildirdi. En az 75 gazete baskı, abonelik ve iç hizmet kesintileriyle karşılaştı.

Lee, bilgisayar korsanlarının ağına eriştiğini, şifrelemeli temel uygulamaları ve fidye yazılımlarının ayırt edici özelliklerini açıkladığını, ancak gazete zincirinin olayı tanımlamak için “fidye yazılımı” kelimesini kullanmadığını söyledi.

Operasyonlar kademeli olarak iyileşiyor, temel ürünler 12 Şubat’tan itibaren programa geri dönüyor, ancak haftalık yayınlar etkileniyor ve gelirin% 5’ini temsil ediyor. Lee önümüzdeki haftalarda aşamalı bir iyileşme bekliyor.

Finansal ücret belirsizdir, ancak şirket müdahale maliyetlerini, soruşturmaları, iş kesintilerini ve düzenleyici para cezalarını kapsayan siber güvenlik sigortasına sahiptir.

Siber güvenlik firması Horizon.ai Çarşamba günü, Utah şirketinin Ocak ayında yamaladığı Ivanti uç nokta yöneticisinde dört güvenlik açıkından yararlanan bir kavram kanıtı yayınladı.

Birlikte ele alındığında, güvenlik açıkları-CVE-2024-10811, CVE-2024-13161, CVE-2024-13160, CVE-2024-13159, “yetkisiz epm makine hesap kimlik bilgisinin röle saldırılarında kullanılmasını zorlaştırmasına izin verebilir. Horizon.ai araştırmacısı Zach Hanley yazdı.

Hanley, güvenlik açığı, EPM sunucusu tarafından uç nokta yönetimi için güvenlik açığı yönetimi ile ilgili açıkta olan API’lere dayanıyor. Sömürü mümkündür çünkü Ivanti bir fonksiyon çağrısının girdilerini sterilize etmedi ve bir kök yolunun uzak bir yol olarak adlandırılmasına izin verdi.

Xerox Versalink C7025 yazıcılarındaki şimdi paketlenmiş iki güvenlik açıkları, saldırganların Windows Active Directory kimlik bilgilerini yakalamasını ve bir kuruluşun sistemlerine tam erişim kazanmasını sağlayabilir. Rapid7, 57.69.91 ve önceki ürün yazılımı sürümünde bulunan iki kusuru, izlenen CVE-2024-12510 ve CVE-2024-12511’i ortaya çıkardı.

Saldırganlar, bu kusurlardan yararlanarak kötü amaçlı bir sunucuya kimlik doğrulama kimlik bilgileri göndermek için yazıcıyı yeniden yapılandırabilir. LDAP veya SMB ayarları etki alanı yönetici kimlik bilgileri içeriyorsa, saldırganlar dosya hizmetleri, veritabanları ve e -posta hesapları da dahil olmak üzere Windows ortamları üzerinde tam kontrolü ele geçirebilir.

Tehdit aktörlerinin yalnızca bir MFP’nin web arayüzüne erişmesi gerekir veya savunmasız cihazları tanımlamak için SNMP sorguları kullanır. Birçok kuruluş varsayılan yazıcı şifrelerini değişmeden bırakır.

Xerox geçen ay bir ürün yazılımı yaması yayınladı.

Symantec araştırmacıları, normalde “Güney Asya’daki orta ölçekli bir yazılım ve hizmetler şirketi” ni fidye yazılımı saldırısında konuşlandırılan Çin ulus-devlet siber yemekleriyle ilişkili araçlar kullanan bir hacker gözlemlediler.

Araştırmacılar yazdı en olası açıklama, tehdit oyuncusunun gündüz işinden itibaren ay ışığı olması, işvereninin araçlarını ekstra para kazanmak için kullanarak kullanmasıdır.

Saldırgan, CVE-2024-0012 olarak izlenen bir Palo Alto Networks güvenlik açığı aracılığıyla kurban Netgwoprk’a sızdığını iddia etti. Tehdit oyuncusu, belgelenmiş Çin siberlik saldırılarında görülen bir Plugx kötü amaçlı yazılım varyantı kullandı.

Symantec, bu tehdit oyuncunun bir süredir fidye yazılımlarında yer almış olabileceğine dair kanıtlar olduğunu söyledi. Araştırmacılar, fidye yazılımı saldırısının altta yatan bir casusluk saldırısını gizlemek için bir tuzak olma olasılığını attılar. Hacker, saldırıyı başlatmak için kullanılan araçları örtbas etmek için iyi bir iş yapmadı. Ayrıca, Güney Asya yazılım firması NTO stratejik olarak önemlidir.

“Son olarak, saldırgan kurbandan bir fidye toplama konusunda ciddi görünüyordu ve onlara karşılık gelen zaman geçirmiş gibi görünüyordu. Fidye yazılımı saldırısı sadece bir saptırma olsaydı bu genellikle böyle olmazdı.

Niocorp Developments Ltd., yanlış yönlendirilmiş satıcı ödemelerinde 500.000 dolar yol açan bir siber güvenlik ihlali açıkladı. Cuma günü tespit edilen saldırı, şirketin e -posta sistemlerine yetkisiz erişim içeriyordu. NIOCORP finansal kurumları ve kolluk kuvvetlerini uyardı, ancak fon kurtarmayı onaylamadı.

Geçen haftadan diğer hikayeler

Bilgi Güvenliği Medya Grubu’nun Güney İngiltere’deki Akshaya Asokan, Bengaluru, Hindistan’da Prajeet Nair ve Washington, DC’deki David Perera