ISMG her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini topluyor. Bu hafta, uluslararası bir polis operasyonu LabHost’un hizmet olarak kimlik avı sitesini çökertiyor, Omni Hotels hack’inde müşteri verileri ele geçiriliyor, Ivanti iki kritik güvenlik açığını ele alıyor: Moldova uyruklu bir kişi ABD’de botnet çalıştırmakla suçlanıyor; Cisco, Duo’daki veri ihlali konusunda uyarıyor; İspanyol Guardia İnşaat yüklenicisi, kişisel verileri açığa çıkaran fidye yazılımı saldırısına maruz kalıyor.
LabHost Hizmet Olarak Kimlik Avı Sitesi Bozuldu
Adalet Bakanlığı yetkilileri, ABD federal yetkililerinin, siber suçlular tarafından büyük bankaların ve çevrimiçi sağlayıcıların web sitelerini yanıltmak için kullanılan Rus internet altyapısına yönelik dört alan adını ele geçirdiğini söyledi.
Ele geçirme, hizmet olarak kimlik avı operasyonunun orijinal geliştiricisi olduğu iddia edilen kişinin Birleşik Krallık’ta tutuklanması da dahil olmak üzere 37 kişinin tutuklanmasıyla sonuçlanan uluslararası kolluk kuvvetleri operasyonunun bir parçasıydı. Yetkililer, LabHost olarak bilinen hizmetin dünya çapında 100.000’den fazla kullanıcıya sahip olduğunu ve 40.000’den fazla kimlik avı web sitesi oluşturduğunu söyledi. Açık internet üzerinden çalışıyordu LabHost.ru ve .ru üst düzey alan adı Rus internet altyapı şirketi DDoS-Guard’a çözümlendi.
Savcılar, alanlara el konulmasına izin veren bir emir aldı. İngiltere Büyükşehir Polis Teşkilatı tarafından yapılan paralel bir soruşturmada LabHost altyapısında bir milyondan fazla kullanıcı kimlik bilgisi ve yaklaşık 500.000 çalıntı ödeme kartı tespit edildi.
Avustralya Federal Polisi, LabHost tarafından oluşturulan sahte kimlik avı web sitelerini barındırmak için kullanılan 207 sunucuya el konulduğunu bildirdi.
Fortra, Şubat ayında LabHost’un 2021’in son üç ayında faaliyete geçtiğini ve 2023’ün büyük bölümünde tercih edilen kimlik avı web sayfaları sağlayıcısı olarak rakip Frappo’yu geride bıraktığını bildirdi. LabHost, Ekim ayında gizemli bir kesinti yaşadı, ancak Aralık ayı başlarında yeniden hizmete girdi.
Omni Hotels hack’inde Müşteri Verileri Ele Geçirildi
Lüks otel zinciri Omni Hotels & Resorts Cuma günü siber suçluların müşterilerinin isimleri, e-posta adresleri, posta adresleri ve sadakat programı ayrıntıları dahil olmak üzere kişisel bilgilerini çaldığını söyledi. Şirket bu ayın başlarında siber saldırıyı kabul etti.
Bilgisayar korsanları mali bilgilerden veya Sosyal Güvenlik numaralarından ödün vermedi. Saldırı, Omni’yi 29 Mart’ta sistemleri kapatmaya zorladı ve telefon ve Wi-Fi sorunları ile anahtar kartı arızaları da dahil olmak üzere mülklerinde sistem kesintilerine neden oldu.
Ivanti, Avalanche MDM Çözümündeki Kritik Güvenlik Açıklarını Ele Alıyor
Olabilir mi? Neden evet – Ivanti ürünlerinde daha fazla güvenlik açığı var, ancak şirket Çarşamba günü Avalanche mobil cihaz yönetimi çözümündeki 27 güvenlik açığından hiçbirinin aktif olarak istismar edilmediğini söyledi. Utahlı üretici bu ayın başında, Çin devleti hackerlarından şüphelenilenler de dahil olmak üzere tehdit aktörlerinin, ağ geçidi cihazlarını aylar süren bir hackleme çılgınlığının nesnelerine dönüştürmesinin ardından şirketin siber güvenliğe yaklaşımında kapsamlı değişiklikler yapma sözü verdi. Ivanti’nin Uç Nokta Yöneticisi Mobil ürünü, Temmuz 2023’te Norveç hükümetini hacklemek için kullanılan sıfır günü içeren bir olayda da yıldız dönüşü yaşadı (bkz: Ivanti Zero-Day Norveç Hükümeti İhlalinde Kullanıldı).
Avalanche düzeltmeleri arasında ikisi, CVE-2024-24996 ve CVE-2024-29204 olarak takip edilen kritik yığın taşması kusurlarıdır. Kusurlar ciddi riskler oluşturarak uzaktaki saldırganların kullanıcı etkileşimi olmadan rastgele komutlar yürütmesine olanak tanıyor. Ivanti ayrıca hizmet reddi saldırılarını, keyfi komut yürütmeyi ve veri hırsızlığını kolaylaştıranlar da dahil olmak üzere orta ve yüksek önemde 25 hatayı daha düzeltti.
Moldova vatandaşı ABD’de Botnet Dolandırıcılığı nedeniyle suçlandı
ABD federal savcıları, Alipako, Uptime ve Alipatime olarak da bilinen Moldova uyruklu Alexander Lefterov’u ağır kimlik hırsızlığı, bilgisayar dolandırıcılığı ve elektronik dolandırıcılıkla suçladı. 2021 yılına ait yeni mühürlenen dokuz maddelik iddianame, Lefterov’u, kullanıcı kimlik bilgilerini toplamak ve bu kimlik bilgilerinin satışına ve ayrıca bilgisayarlara karaborsalarda erişim sağlamak amacıyla bilgisayarlara virüs bulaştırmakla suçluyor.
Lefterov’un ayrıca kötü amaçlı yazılım dağıtımını ve fidye yazılımı saldırılarını kolaylaştırdığı iddia ediliyor. Kendisi ABD yargı sisteminden kaçan ve FBI tarafından aranan bir kişidir.
Cisco Duo Veri İhlaline Karşı Uyardı
Cisco’nun sahibi olduğu Duo Security, çok faktörlü SMS mesajları göndermek için kullanılan isimsiz bir ağ sağlayıcısında bir ihlal olduğunu ortaya çıkardı. 1 Nisan’da meydana gelen ihlal, bir sağlayıcı çalışanının kimlik bilgilerini hedef alan bir kimlik avı saldırısından kaynaklandı. Bilgisayar korsanları, Mart ayının tamamına ait MFA SMS mesaj kayıtlarına erişip indirerek etkilenen Duo hesaplarının telefon numaralarını, operatörlerini ve meta verilerini açığa çıkardı.
Cisco, Duo Security’yi 2018 yılında 2,35 milyar dolarlık bir işlemle satın almıştı.
Şirket, bilgisayar korsanlarının mesaj içeriğine erişmediğini veya çalınan verileri kullanarak yetkisiz mesajlar göndermediğini söyledi. Etkilenen Duo hesap sahipleri, güvenliği ihlal edilmiş mesaj günlüklerinin kopyalarını Cisco’dan talep edebilir. E-postayla gönderilen bir bildiride Cisco sözcüsü, saldırının “Duo müşterilerinin yaklaşık %1’ini etkilediğini” söyledi. Araştırmamız devam ediyor ve etkilenen müşterilerimizi uygun şekilde yerleşik kanallarımız aracılığıyla bilgilendiriyoruz.”
İspanyol Guardia İnşaat Yüklenicisi Fidye Yazılımı Saldırısına Maruz Kaldı
Çevrimiçi The Objective gazetesinin çarşamba günü “soruşturmaya yakın kaynaklara” dayandırdığı haberine göre, Mart ayında İspanya’nın Guardia Civil’e, ulusal jandarma kuvvetine ve Savunma Bakanlığı’na hizmet veren bir tıbbi şirkete yapılan fidye yazılımı saldırısı, hassas tıbbi verileri yakalamakta neredeyse başarısız oldu.
LockBit fidye yazılımı kötü amaçlı yazılımının sızdırılmış bir sürümünü kullanan bilgisayar korsanları, bu hafta gün ışığına çıkan bir olayda 22 Mart’ta Medios de Prevención Externos Sur SL’ye saldırdı (bkz.: Ücretsiz Fidye Yazılımları: LockBit Sahtekarlıkları ve Sahtekarlar Çoğalıyor).
Tıbbi incelemeler yapan şirket, yerel basına, yedeklenen veriler sayesinde saldırıdan hızla kurtulabildiğini söyledi. Bilgisayar korsanları, kimlik kartı numaraları, cep telefonu numaraları, e-posta adresleri, doğum günü ve tıbbi muayene sonuçları dahil olmak üzere potansiyel olarak verileri tehlikeye attı.
El Independient, Guardia Civil ajanlarının kimlik avı e-postalarında artış bildirdiğini bildirdi.
Geçen Haftadan Diğer Hikayeler
Bilgi Güvenliği Medya Grubu’ndan Washington DC’deki David Perera’nın raporuyla