Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Olay ve İhlallere Müdahale
Ayrıca: Başka bir Ivanti Sıfır Gün mü? Ve FBI, DMARC Politikalarının Güçlendirilmesi Çağrısında Bulundu
Anviksha Daha Fazla (AnvikshaDevamı) •
2 Mayıs 2024
Bilgi Güvenliği Medya Grubu her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini bir araya getiriyor. Bu hafta bir REvil hacker’ı cezaya çarptırıldı; araştırmacılar olası yeni bir Ivanti sıfır gününü gördüler; FBI, DMARC politikalarının güçlendirilmesini söyledi; Okta, kimlik bilgileri doldurma saldırılarında bir artış gördü; bir Fransız hastanesi fidye ödemeyi reddetti; Bir borç tahsilat kurumu olan JPMorgan ve bir sağlık şirketi ihlal edildi; ve eski bir NSA çalışanı mahkum edildi.
Ayrıca bakınız: Fidye Yazılımına Müdahale Esası: İlk Erişim Vektörünü Düzeltme
REvil Hacker’a 13 Yıl 7 Ay Ceza
24 yaşındaki Ukrayna uyruklu Yaroslav Vasinskyi, Çarşamba günü Dallas federal mahkemesinde 13 yıl yedi ay hapis cezasına çarptırıldı. “Rabotnik” olarak da bilinen Vasinskyi, REvil hizmet olarak fidye yazılımı operasyonunun bir üyesi olarak 2.500’den fazla fidye yazılımı saldırısına katıldı. Savcılar, grubun bu saldırılar için 700 milyon dolardan fazla haraç talep ettiğini, ancak fiili ödemelerin toplamının yaklaşık 2,3 milyon dolar olduğunu söyledi. Mahkeme ayrıca Vasinskyi’nin 16 milyon dolar tazminat ödemesine de karar verdi.
Vasinskyi, geçen yıl Polonya’da tutuklanmasının ardından Mart 2022’den beri ABD’de gözaltında tutuluyor (bkz: REvil Fidye Yazılımı Şüphelileri Küresel Polis Baskınına Yakalandı). Ağustos 2022’de 11 maddelik suç duyurusunda suçunu kabul etti.
Sodinokibi olarak da bilinen REvil, bağlı kuruluşların 2021’de BT yönetim hizmeti Kaseya’yı ve 2019’da neredeyse iki düzine Teksas kasabasını hacklemesinin ardından ABD yetkililerinin öfkesini çekti. Çok uluslu bir kolluk kuvvetleri operasyonu, Ekim 2021’de REvil sunucularını çevrimdışına aldı.
Suçunu itiraf ettiğine göre Vasinskyi, Kaseya saldırısında yer aldı ancak Teksas belediyelerine yönelik saldırıda yer almadı. Başsavcı Baş Yardımcısı Nicole Argentieri, “Komplocular kurbanlardan gelen ödemeleri aklayarak izlerini silmeye çalışsalar da Vasinskyi kolluk kuvvetlerinden saklanamadı” dedi. Savcılar ayrıca 2023 yılında REvil’e yapılan yaklaşık 40 Bitcoin ve 6,1 milyon dolarlık gasp ödemelerini geri aldıklarını söyledi.
Başka bir Ivanti Sıfır Gün mü?
“Sıfır Gün Girişimi araştırmacıları tarafından keşfedilen ve henüz kamuya açıklanmayan güvenlik açıklarının” yeni listelenmesi, isimsiz Ivanti ürünleri için bir kusurdur. ZDI, ZDI-CAN-23850 olarak takip edilen ve Çarşamba günü yayınlanan kusurun CVSS ölçeğinde 10 üzerinden 9,8 puan almayı hak ettiğini söyledi.
Utah ağ geçidi cihazları üreticisi Ivanti, yorum talebine hemen yanıt vermedi. Şirket müşterileri, muhtemelen Çinli ulus-devlet bilgisayar korsanlarının Aralık ayında bir bilgisayar korsanlığı kampanyası başlatmasının ardından bu yılın büyük bir bölümünde acil durum azaltma ve yama uygulama modundaydı (bkz.: Hackerlar CISA Tarafından Kullanılan Ivanti Cihazlarını Ele Geçirdi) Ivanti cihazlarına yönelik bir araştırma dalgası başlattı ve ek kusurları ortaya çıkardı. Şirketin Pulse Secure VPN cihazına tersine mühendislik uygulayan bir tedarik zinciri güvenlik firması, cihazın 11 yıllık bir Linux sürümünde çalıştığını ve birçok eski yazılım paketi kullandığını tespit etti (bkz: Ivanti, Kullanım Ömrü Sonu İşletim Sistemleri ve Yazılım Paketlerini Kullanıyor).
Şirket CEO’su Jeff Abbott, güvenlik uygulamalarında bir geri dönüş sözü verdi.
ABD Fed’leri Zayıf DMARC Politikaları Konusunda Uyardı
Perşembe günü FBI, ABD Dışişleri Bakanlığı ve Ulusal Güvenlik Ajansı, Kuzey Koreli bilgisayar korsanlarının istenmeyen posta önleme korumasını atlama konusunda daha akıllı hale geldiğine dair kanıtlar karşısında, kuruluşlara hoşgörülü DMARC politikalarını güçlendirmeleri çağrısında bulundu (bkz: Kimsuky, E-postaları Sahtekarlık Etmek İçin İzin Veren DMARC Politikalarını Kullanıyor).
Halk arasında Kimsuky olarak bilinen Pyongyang hack grubu (aynı zamanda Emerald Sleet, APT43, Velvet Chollima ve Black Banshee olarak da takip ediliyor), üniversitelerden, düşünce kuruluşlarından ve gazetecilerden geldiği iddia edilen sahte e-postalar da dahil olmak üzere sosyal mühendislik teknikleriyle ünlü. Grup, Kuzey Kore istihbaratının jeopolitiğin yönünü ölçmek için kullandığı Hermit Kingdom lideri Kim Jong Un’un dünyaya açılan penceresidir.
E-posta güvenliği uzmanları yıllardır kuruluşlara, e-posta başlıklarını güvenilir bir kaynaktan geliyormuş gibi göstermek için manipüle eden spam gönderenlere karşı Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uygunluk’u benimsemeleri konusunda çağrıda bulunuyor. DMARC’nin etkin olduğu e-posta etki alanları, e-postalara dijital bir imza ekler ve hangi IP adreslerinin yasal olarak posta gönderebileceğini belirtir. DMARC ayrıca alan sahiplerinin, kimlik doğrulama saldırılarında başarısız olan e-postalar için standart bir politika önermesine de olanak tanır. Seçenekler şunlardır: Reddet, karantinaya al veya hiçbir şey yapma.
Kuzey Koreli bilgisayar korsanları da dahil olmak üzere e-posta sahtecileri, alıcılara hiçbir şey yapmamalarını söyleyen alan adlarını sever; çünkü bu, sahte e-postanın muhtemelen alıcının gelen kutusuna düşeceği anlamına gelir. “Kuruluşların politikalarını daha katı hale getirmeleri ve e-posta sunucularına, kimliği doğrulanmamış e-postaları spam olarak değerlendirmeleri yönünde sinyal vermeleri için, yazar kurumlar, kuruluşunuzun DMARC politikasını reddederek veya karantinaya alarak bu tehdidin azaltılmasını önermektedir.”
Okta, Kimlik Bilgisi Doldurma Saldırılarında Artış Görüyor
Kimlik devi Okta, konut proxy hizmetlerinden ve Tor anonimlik ağından kaynaklanan kimlik bilgisi doldurma saldırılarında dikkate değer bir artış olduğu konusunda uyardı. Uyarı, Cisco Talos’un VPN’lere, web kimlik doğrulama arayüzlerine ve Secure Shell hizmetlerine yönelik “kaba kuvvet saldırılarında küresel bir artış” tespit ettiğini belirten daha önceki bir tavsiyesine dayanıyor.
Okta, anonim hizmetlerden ve şüpheli IP’lerden gelen isteklerin engellenmesini, güçlü parola politikaları uygulanmasını, çok faktörlü kimlik doğrulamanın etkinleştirilmesini, parolasız kimlik doğrulamanın benimsenmesini ve anormal davranışların izlenmesini önerir.
Fransız Hastanesi Fidye Talebini Reddetti
Bir Fransız hastanesi reddedildi LockBit 3.0 kripto kilitleme yazılımını kullanan bilgisayar korsanlarından gelen şantaj talebini ödemek için. Fransız Rivera’ya hizmet veren Hôpital de Cannes Simone Veil, söz konusu Perşembe günü fidye yazılımı korsanları hastaneden çalınan verileri yayınladı.
16 Nisan saldırısı operasyonel aksamalara neden oldu ve acil olmayan prosedürlerin ve randevuların yeniden planlanmasına yol açtı. Hastanede operasyonlar neredeyse normale döndü söz konusu Perşembe.
Bu yılın başlarında uluslararası bir operasyon Rusça konuşan suç grubuna sızdı ve sunuculara el koydu, ancak liderleri yeniden bir araya gelerek faaliyetlerini yeniden başlatmaya çalıştı (bkz: Fidye Yazılımı Operasyonu LockBit, Dark Web Sızıntı Sitesini Yeniden Başlatıyor).
JPMorgan Veri İhlali 450.000 Müşteriyi Açığa Çıkardı
Küresel ABD finans şirketi JPMorgan Chase Bank, satıcı tarafından sağlanan bir sistemdeki yazılım sorunu nedeniyle 451.000’den fazla kişiyi etkileyen bir veri ihlalini açıkladı. Üç yetkili kullanıcı, 26 Ağustos 2021 ile 23 Şubat 2024 tarihleri arasında emeklilik planı katılımcılarının kayıtlarına erişerek hassas veriler içeren 12 raporu indirdi. Banka, erişim sorunu tespitini düzeltti ve bir yazılım güncellemesi uyguladı. Verilerin kötüye kullanıldığına veya siber saldırıya ilişkin herhangi bir kanıt olmamasına rağmen JPMorgan, etkilenen kişilere Experian aracılığıyla iki yıllık kimlik hırsızlığı koruma hizmetleri sunuyor.
Borç Toplama Kurumunda Veri İhlali
Borç tahsilatı ajansı Financial Business and Consumer Solutions, potansiyel olarak 1.955.385 kişiyi etkileyen bir veri ihlali ortaya çıkardı. Şirket, bilgisayar korsanlarını 26 Şubat’ta tespit etti ve daha sonra bunların 10 günden fazla bir süre önce, yani 14 Şubat’ta erişim sağladıklarını belirledi. Etkilenen veriler arasında isimler, Sosyal Güvenlik numaraları ve doğum tarihleri yer alıyor.
Tasarlanan Alacak Çözümlerinde Veri İhlali
Sağlık hizmetleri alacak yönetimi şirketi Design Receivable Solutions, Ocak ayı veri ihlalinden etkilenen kişi sayısını 129.000’den 498.686’ya güncelledi. İhlal, isimler, adresler ve Sosyal Güvenlik numaraları dahil olmak üzere hassas bilgileri açığa çıkardı.
Eski NSA Çalışanı Casusluğa Teşebbüs Etmekten Mahkûm Edildi
Ulusal Güvenlik Ajansı siber uzmanı Jareh Sebastian Dalke (32), Rusya adına casusluk yapmaya çalışmaktan yaklaşık 22 yıl hapis cezasına çarptırıldı. NSA’da bir aydan az zaman geçiren Dalke, şifreli bir e-posta hesabı kullanarak “Çok Gizli//Hassas Bölmeli Bilgiler” olarak işaretlenmiş üç belgeden alıntıları Rus ajanı olduğuna inandığı bir kişiye, gizli görevde olan bir kişiyle uğraştığından habersiz olarak iletti. FBI ajanı. Ordu gazisi Dalke, 16.499 dolarlık kripto para aldı ve geri kalan belgeleri 85.000 dolara satmayı teklif etti. Sözde Rus ajanıyla Denver şehir merkezindeki Union İstasyonunda buluşmayı ayarladı ve burada gizli ulusal savunma bilgilerini içeren dört dosyayı aktardı. Dosyaları gönderdikten hemen sonra federal ajanlar onu tutukladı.
Colorado Springs’ten Dalke, Ekim ayında gizli ulusal savunma bilgilerini yabancı bir hükümetin temsilcisine iletmeye teşebbüsten altı kez suçunu kabul etti (bkz: İhlal Özeti: Eski NSA Çalışanı Sırları Satmak Suçunu İtiraf Ediyor).
Geçen Haftanın Diğer Haberleri
Bilgi Güvenliği Medya Grubu’ndan David Perera’nın Washington DC’deki raporuyla