Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Olay ve İhlallere Müdahale
Ayrıca: Hacker, Snowflake Saldırısı Yoluyla Elde Edilen Verileri Satıyor
Anviksha Daha Fazla (AnvikshaDevamı) •
6 Haziran 2024
Bilgi Güvenliği Medya Grubu her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini bir araya getiriyor. Bu hafta Microsoft NTLM kimlik doğrulamasını kaldırdı, bir bilgisayar korsanı görünüşe göre çalınmış Snowflake verilerini satışa çıkardı, Ticketmaster ihlalini doğruladı, Cisco Webex güvenlik açıklarını düzeltti, Rusya yanlısı bilgisayar korsanları İspanya’da bir DDoS saldırısı olduğunu iddia etti ve Kaspersky Linux için ücretsiz bir virüs temizleme aracı başlattı.
Ayrıca bakınız: Çoklu Bulut Güvenliğinin Altı Temel Gereksinimi
Microsoft, NTLM Kimlik Doğrulamasını Kullanımdan Kaldırıyor
Microsoft Pazartesi günü, piyasaya sürülmesinden 30 yıl sonra, Windows’ta NTLM kimlik doğrulama protokolünü resmen kullanımdan kaldırdı. Redmond, NTLM’nin “bir sonraki Windows Server’da ve Windows’un bir sonraki yıllık sürümünde çalışmaya devam edeceğini” söyledi.
Microsoft, geliştiricilere Kerberos veya Negotiate gibi daha güvenli alternatiflere geçmelerini tavsiye etti.
Yeni Teknoloji LAN Manager kimlik doğrulama protokolü, eski LAN Manager protokolünün yerine geçmek üzere 1993 yılında tanıtılan bir Microsoft güvenlik protokolleri paketidir. Microsoft başlangıçta Ekim ayında NTLM’yi aşamalı olarak kaldırma planlarını duyurdu.
NTLM’yi kullanımdan kaldırma kararı, bilgisayar korsanlarının Windows etki alanı denetleyicilerini kimlik doğrulaması için kandırdıkları NTLM geçiş saldırıları da dahil olmak üzere, siber saldırılardaki yaygın suiistimalden kaynaklanmaktadır. SMB güvenlik imzalaması gibi savunma önlemlerine rağmen NTLM, “karmayı geçirme” gibi saldırılara karşı savunmasız kalır.
Bilgisayar korsanları, Snowflake Saldırısında Çalınan Verileri Satacaklarını İddia Ediyor
Bir tehdit aktörü, yapay zeka veri platformu sağlayıcısı Snowflake’e yönelik bir dizi saldırının parçası olarak Advance Auto Parts’tan çalınan 380 milyon müşteri profili olduğunu iddia ettiği verileri 1,5 milyon dolara satıyor (bkz: Kimlik Bilgisi Saldırılarıyla Hedeflenen Snowflake İstemcileri). BreachForums takma adı “Sp1d3r” olan bir bilgisayar korsanı, çalınan verilerin sosyal güvenlik çalışan adaylarının numaralarını ve diğer verileri içerdiğini söyledi. “200’den fazla veri tablosu!” dedi hacker.
Çevrimiçi suç izleme firması Hackmanac, sosyal medyada Sp1d3r’den alınan bir veri örneğinin Snowflake’e çok sayıda referans gösterdiğini söyledi. Montana şirketi, saldırganların çok faktörlü kimlik doğrulamanın etkinleştirilmediği hesapları hedeflediğini ve teknolojisinde herhangi bir güvenlik açığı veya yanlış yapılandırma bulamadığını söyledi. İspanyol çokuluslu bankası Santander ve Ticketmaster’ın da aralarında bulunduğu kuruluşlarda yakın zamanda gerçekleşen büyük sızıntıların (aşağıya bakınız) Snowflake ihlalleriyle bağlantısı olabilir. Güvenlik firması Mandiant Pazartesi günü yaptığı açıklamada, saldırıların kurumsal bilgisayarlardaki bilgi hırsızlarının Snowflake kimlik bilgilerini ele geçirmesinden kaynaklandığını söyledi.
Bleeping Computer, saldırıya uğrayan bazı Snowflake müşterilerinin verilerini geri almak için suçlulara para ödediğini söyleyen Sp1d3r ile konuştuğunu bildirdi.
Ticketmaster İhlali Doğruladı
ABD bilet platformu Ticketmaster’ın ana şirketi Live Nation, geçen Cuma günü 560 milyon müşterinin bilgilerini tehlikeye atan bir veri ihlalini doğruladı. ShinyHunters hacker grubu, yarım milyardan fazla Ticketmaster müşterisinin verilerinin BreachForums yer altı pazarında satışa sunulduğunu iddia etti (bkz: Çalınan Ticketmaster Verileri Yeniden Başlatılan BreachForum’larda İlan Edildi)
Live Nation’ın ABD Menkul Kıymetler ve Borsa Komisyonu ile yaptığı veri ihlali açıklaması, 20 Mayıs’tan itibaren “şirket verilerini içeren üçüncü taraf bulut veritabanı ortamında yetkisiz faaliyet” olduğunu ortaya çıkardı. Bir hafta sonra, 27 Mayıs’ta bir “kriminal tehdit aktörü” ortaya çıktı. Şirkete “şirket kullanıcı verileri olduğu iddia edilen verileri karanlık ağ üzerinden satışa sunduğunu” belirtti.
Cisco, Toplantı Verilerini Açığa Çıkaran Kusurları Düzeltiyor
Cisco, Alman hükümetinin Webex toplantıları uygulamasındaki güvenlik açıklarının potansiyel olarak son derece hassas bilgileri açığa çıkarabileceğini söyleyen raporların ortaya çıkmasının ardından bir güvenlik tavsiyesi yayınladı.
Rus Hackerlar İspanyol Savunma Yüklenicisine Siber Saldırı İddiasında Bulundu
Rusya yanlısı hacktivistler Noname, İspanya’daki General Dynamics yan kuruluşu olan Santa Barbara Systems’a yapılan DDoS saldırısının sorumluluğunu üstlendi. Şirket Ukrayna’ya yenilenmiş Leopard tankları gönderiyor. İspanyol medyası Çarşamba günü Salı günü gerçekleşen saldırının hassas veriler üzerinde hiçbir etkisinin olmadığını ve İspanyol istihbarat teşkilatı CNI’nin (İngilizce Ulusal İstihbarat Merkezi) soruşturma yaptığını bildirdi.
Kaspersky, Linux için Ücretsiz Virüs Temizleme Aracını Başlattı
Rus antivirüs şirketi Kaspersky, Linux platformlarını taramak için tasarlanmış ücretsiz bir virüs temizleme aracını tanıttı. Tarayıcı, Linux ortamlarını hedef alan kötü amaçlı yazılımlara ilişkin artan endişeyi yansıtıyor.
Kaspersky Virüs Temizleme Aracı, Linux tabanlı işletim sistemlerini çalıştıran bilgisayarları tarar ve saldırılar için kullanılabilecek kötü amaçlı yazılımları, reklam yazılımlarını ve yasal programları tespit edebilir. Gelen saldırıların gerçek zamanlı izlenmesini sunmaz.
KVRT taşınabilir bir uygulamadır ve kurulum gerektirmez; bu, bir USB sürücüsü aracılığıyla birden fazla bilgisayarı taramasına olanak tanır.
Geçen Haftanın Diğer Haberleri
Bilgi Güvenliği Medya Grubu’ndan Washington DC’deki David Perera’nın raporuyla