Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Fidye Yazılımı
Ayrıca: Hackerlar The North Face’in Tatil Gönderilerini Scrooge Ediyor
Prajeet Nair (@prajeetspeaks) •
21 Aralık 2023
Bilgi Güvenliği Medya Grubu her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini bir araya getiriyor. Bu hafta: MongoDB, kurumsal ortamına izinsiz erişimin arkasında bir kimlik avı e-postası olduğunu söyledi, giyim üreticisi VF Corp. bilgisayar korsanlarının tatil nakliyesini kesintiye uğrattığını söyledi, Britanya elektrik şebekesi operatörü National Grid Çinli bir tedarikçiyi düşürdü, Alman yetkililer çevrimiçi bir suç pazarını çökertti, ABD yetkilileri Play fidye yazılımı grubu hakkında bir tavsiye yayınladı ve dünya çapındaki emniyet teşkilatları siber suçları engellemek için iş birliği yaparak 3.500 kişiyi tutukladı ve 300 milyon dolara el koydu.
MongoDB’deki Güvenlik Olayına İlişkin Güncelleme
Veritabanı yönetim sistemi üreticisi MongoDB Cumartesi günü belirli kurumsal sistemlere yetkisiz erişimi içeren ve müşteri hesabı meta verilerinin ve iletişim bilgilerinin açığa çıkmasına yol açan bir güvenlik olayıyla ilgili soruşturma başlatıldığını duyurdu.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Şirket, 13 Aralık’ta kurumsal sistemlere izinsiz erişim tespit edilmesinin ardından olaya müdahale sürecini derhal başlattığını söyledi. Şirket, izinsiz girişin “keşfedilmesinden önce bir süredir devam ettiğini” söyledi. Olay, müşteri hesabı meta verilerini ve iletişim bilgilerini açığa çıkardı.
Şirket defalarca MongoDB Atlas kümelerine veya Atlas küme kimlik doğrulama sistemine yetkisiz erişime dair kanıt bulamadığını söyledi. Çarşamba günü, bilgisayar korsanının kurumsal ortamına erişim sağlamak için bir kimlik avı saldırısı kullandığı belirtildi.
Bilgisayar Korsanlığı Olayı North Face ve Diğer Markaların Nakliyesini Engelledi
Kanvas ayakkabı ve dış giyim üreticisi VF Corp., Pazartesi günü yaptığı açıklamada, bir bilgisayar korsanlığı olayının tatil alışverişi siparişlerini yerine getirme kabiliyetini aksattığını açıkladı.
Aralarında Vans, Supreme, The North Face ve Timberland’in de bulunduğu Colorado’lu giyim ve ayakkabı üreticisi, Cuma günü ABD’li federal düzenleyicilere, 13 Aralık’ta dijital sistemlerine izinsiz giriş yapan bir kişi tespit ettiğini söyledi. Şirket, bilgisayar korsanının bazı BT sistemlerini şifreleyebildiğini ve kişisel veriler de dahil olmak üzere verileri çaldığını söyledi.
Şirketin perakende mağazalarının normal şekilde çalıştığı ve tüketicilerin şirketin çoğu markası için çevrimiçi sipariş verebileceği belirtildi. “Ancak şirketin siparişleri yerine getirme yeteneği şu anda etkileniyor.”
Bir sözcü, şirketin fidye yazılımı talebi alıp almadığını söylemedi. Başvuru haberi, hisse fiyatının bu haftanın ilk saatlerinde keskin bir düşüş yaşamasına neden oldu ve Pazartesi günü hisseler %7 düşüşle sona erdi, ancak hisse fiyatı hafta ortasına doğru bir miktar toparlandı.
Şirket olayı, ABD Menkul Kıymetler ve Borsa Komisyonu’nun büyük ve orta ölçekli halka açık şirketlere “önemli siber güvenlik olaylarını” önemliliğin belirlenmesinden sonraki dört iş günü içinde ifşa etmeleri yönündeki talimatının yürürlüğe girmesiyle aynı gün duyurdu. Küçük işletmelerin kurala uymaları gerekmeden önce ek 180 gün süreleri vardır (bkz: SEC, 4 Gün İçinde Önemli Olayların Açıklanması Gereksinimini Oyladı).
Denver merkezli şirket geçen yıl 11,6 milyar dolar gelir elde etti ve aralarında JanSport sırt çantaları ve Dickies dayanıklı giyimin de bulunduğu 12 markanın sahibi.
İngiltere’nin Ulusal Şebekesi Çinli Tedarikçiyi Geri Çekiyor
Financial Times’ın haberine göre, İngiliz elektrik şebekesi operatörü National Grid, Çin’in Nari Technology Co.’nun Birleşik Krallık’taki bir yan kuruluşu tarafından tedarik edilen bileşenleri iletim ağından çıkarmaya başladı.
Nisan ayında National Grid’in Ulusal Siber Güvenlik Merkezi’ne danışmasının ardından alınan karar, siber güvenlik kaygılarından kaynaklanıyordu; bu da Batı’nın, Çin teknolojisinin kritik altyapı açıklarına müdahalesi konusunda artan endişesinin altını çiziyordu.
Gazete, İngiltere hükümetinin 2022’de Çin şirketlerinin İngiltere’nin elektrik şebekesine katılımını kısıtlamak için müdahale ederek doğrudan yabancı yatırımı sınırlamaya izin veren yeni yetkilere iki kez başvurduğunu söyledi.
Birleşik Krallık, 2020’de Çinli üretici Huawei’nin ekipmanlarını, Shenzhen merkezli telekom ekipmanı üreticisini ulusal güvenlik kara listesine yerleştiren ABD’nin baskısından sonra yasakladı (bkz: FCC, Huawei’nin Ulusal Güvenlik Tehdidi Oluşturduğu Kararını Onadı).
Darknet Sitesi Kingdom Market Kapandı
Almanya Federal Kriminal Polis Ofisi ve Frankfurt Savcılığı, darknet pazar yeri Kingdom Market’i dağıttı. Alman yetkililer Çarşamba günü yaptığı açıklamada, kriminal pazarda 42.000’den fazla ürünün satışa sunulduğunu söyledi.
Mart 2021’den bu yana faaliyet gösteren İngilizce dilindeki yasa dışı merkez, narkotikler, kötü amaçlı yazılımlar ve sahte belgeler için bir takas odasıydı. Pazaryerine onbinlerce müşteri ve birkaç yüz satıcı hesabı kaydoldu.
ABD federal savcıları, “Vend0r” ve “Krallık Yetkilisi” olarak da bilinen Alan Bill adında bir Slovak uyrukluyu tutukladı ve onu Kingdom Market’in kurulmasına ve yönetilmesine yardım etmekle suçladı. Çarşamba günü açıklanan, düzeltilmiş iddianamede Bill’e, kontrollü maddelerin dağıtımı, kimlik hırsızlığı ve kara para aklama komplosu da dahil olmak üzere 10 suç duyurusu yöneltiliyor. Perşembe günü savcılar, Bratislava sakininin kaçma riski taşıdığını söyleyerek federal yargıçtan Bill’i duruşma öncesinde serbest bırakmamasını istedi.
On binlerce müşteri ve yüzlerce satıcı Bitcoin, Litecoin, Monero ve Zcash gibi kripto para birimlerini kullanarak işlem gerçekleştirdi. Operatörler, platformda yasa dışı malların satışını işlemek için %3 komisyon aldı.
Alman yetkililer, tesisin sökülmesi konusunda ABD, İsviçre, Moldova Cumhuriyeti ve Ukrayna’dan mevkidaşlarıyla işbirliği yaptıklarını söyledi.
Yaklaşık 300 Kuruluşu Hedefleyen Fidye Yazılımı Aktörlerini Oynayın
ABD ve Avustralya kolluk kuvvetleri ve siber kurumlardan Pazartesi günü yayınlanan bir tavsiyeye göre, Playcrypt olarak da bilinen Play fidye yazılımının arkasındaki tehdit aktörleri, Kuzey Amerika, Güney Amerika ve Avrupa’da yaklaşık 300 kuruluşu hedef aldı.
Kapalı bir grup olarak faaliyet gösteren Playcrypt’in taktikleri arasında, ilk erişim elde etmek için geçerli hesapların kötüye kullanılması ve mağdurların tehdit aktörleriyle e-posta yoluyla iletişim kurmaya zorlandığı ve saldırıya psikolojik bir boyut ekleyen çifte şantaj modeli yer alıyor.
Play fidye yazılımı grubu, Oakland şehrine yönelik siber saldırılardan, Arjantin’deki Córdoba Yargısına ve Alman H-Hotels zincirine yönelik saldırılardan sorumludur. TrendMicro, grubun faaliyetlerinin Hive ve Nokoyawa fidye yazılımı gruplarının faaliyetlerine çok benzediğini ve bunun da olası bir bağlantıya işaret ettiğini söyledi.
Grup ayrıca, CVE-2018-13379 ve CVE-2020-12812 olarak takip edilen FortiOS’taki bilinen zayıflıklar gibi halka açık uygulamalardaki güvenlik açıklarından da yararlanıyor. Ayrıca, CVE-2022-41040 ve CVE-2022-41082 olarak izlenen, ProxyNotShell olarak bilinen bir Microsoft Exchange güvenlik açığını da kullandı.
Grubun gelişmiş yöntemleri, Active Directory sorguları ve ağ numaralandırması için AdFind ve Grixba gibi araçlardan yararlanarak keşif ve tespitten kaçınmaya kadar uzanır.
Playcrypt aktörleri, antivirüs yazılımını devre dışı bırakmak, günlük dosyalarını kaldırmak ve Microsoft Defender’ı hedefleyen PowerShell komut dosyalarını tercih etmek için GMER ve IObit gibi çeşitli araçlar kullanıyor.
Interpol Liderliğindeki Haechi IV Operasyonu
34 ülkeden kolluk kuvvetleri, Haechi IV Operasyonu için güçlerini birleştirdi ve bunun sonucunda 3.500 kişi tutuklandı ve 300 milyon dolarlık çalıntı fon ele geçirildi. Altı ay süren operasyon, “sesli kimlik avı, aşk dolandırıcılığı, çevrimiçi seks şantajı, yatırım dolandırıcılığı, yasa dışı çevrimiçi kumarla ilişkili kara para aklama, iş e-postası uzlaşma dolandırıcılığı ve e-ticaret dolandırıcılığı” dahil olmak üzere yedi siber tehdidi hedef aldı.
Filipinli ve Koreli yetkililer arasındaki işbirliği, iki yıllık bir insan avının ardından Manila’da yüksek profilli bir çevrimiçi kumar suçlusunun tutuklanmasına yol açtı. Interpol, operasyonun 82.112 şüpheli banka hesabını bloke ettiğini ve bunun 199 milyon dolarlık dövize ve 101 milyon dolarlık sanal varlığa el konulduğunu belirtiyor.
Interpol, uluslararası organize suçla bağlantılı 367 sanal varlık hesabının belirlenmesine yardımcı olan çeşitli sanal varlık hizmet sağlayıcılarıyla birlikte çalıştı. Kolluk kuvvetlerinin bu varlıkları küresel olarak dondurması nedeniyle soruşturmalar sürüyor.
Hindistan’ın Mumbai kentinde bulunan Bilgi Güvenliği Medya Grubu’ndan Mihir Bagwe’nin raporuyla.