Royal Ransomware Grubu Bir Gasp Saldırısında

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı ve FBI’ın bir raporuna göre, eskiden Royal olarak bilinen BlackSuit fidye yazılımı grubu, Eylül 2022’de ortaya çıkmasından bu yana kurbanlarından 500 milyon dolardan fazla gasp etti. Çarşamba günü yayınlanan raporda, grubun faaliyetleri ayrıntılı olarak açıklanıyor ve genellikle Bitcoin ile talep edilen 1 milyon ila 10 milyon dolar arasında değişen fidye talepleri de yer alıyor.

BlackSuit, geçen yıl Dallas Şehri’ne yönelik kamu hizmetlerini aksatan saldırı da dahil olmak üzere, dikkat çeken saldırıların ardından kötü bir ün kazandı.

Grup, ilk erişimi elde etmek için kimlik avı e-postaları kullanır ve fidye yazılımını dağıtmadan önce antivirüs yazılımını devre dışı bırakır ve verileri sızdırır. BlackSuit’in en büyük tek fidye talebi 60 milyon dolara ulaştı, ancak grubun daha düşük ödemeler için pazarlık yaptığı biliniyor.

Yerel medyada pazartesi günü yer alan habere göre, hafta sonu Louvre, Versay Sarayı ve Orsay gibi önemli kurumların da aralarında bulunduğu yaklaşık 40 Fransız müzesinin kullandığı merkezi finans sistemini hedef alan bir fidye yazılımı saldırısı gerçekleştirildi.

Saldırı ilk olarak Olimpik eskrim ve dövüş sanatları etkinliklerine ev sahipliği yapan Grand Palais müzesinde tespit edildi. Olay, Grand Palais sunucularının kesilmesiyle sonuçlandı ve ilgili müzelerin 36 kitapçı ve butiğini etkiledi, ancak müze operasyonları aksamadı.

Kimliği belirsiz bir hacker grubu kripto para fidye talebinde bulundu ve şifrelenmiş verileri 48 saat içinde yayınlamakla tehdit etti. Fransız güvenlik ajansı ANSSI, hackleme hakkında bir uyarı aldığını doğruladı ancak hacklenen sistemlerin Paris Olimpiyatları’yla ilgisi olmadığını vurguladı.

National Public Data olarak faaliyet gösteren arka plan kontrol şirketi Jerico Pictures, yaklaşık 3 milyar kişinin kişisel bilgilerini ifşa eden bir veri ihlali sonrasında önerilen bir toplu dava ile karşı karşıya. Siber suç grubu USDoD, 8 Nisan’da bir suç forumunda “National Public Data” başlıklı bir veri tabanı yayınladı ve 2,9 milyar kişinin kişisel verilerine sahip olduğunu iddia etti. Suç forumunun diğer üyeleri o zamandan beri dosyanın tamamını yayınladı.

Florida Güney Bölgesi ABD Bölge Mahkemesi’nde açılan davada, National Public Data’nın başvuru tarihi itibarıyla etkilenen bireyleri bilgilendirmediği veya uyarıda bulunmadığı iddia ediliyor.

Ulusal Kamu Verileri, kamuya açık olmayan kaynakları tarayarak kişisel bilgileri topluyor ve bildirildiğine göre Sosyal Güvenlik numaraları, tam adlar, adresler ve bazıları onlarca yıl önce ölmüş olan akrabaların ayrıntıları ifşa ediliyor.

Kimlik hırsızlığı koruma hizmeti aracılığıyla ihlali öğrenen Christopher Hofmann adlı davacı, National Public Data’yı ihmal, haksız kazanç ve diğer yasal ihlallerle suçluyor. Parasal tazminat talep ediyor ve şirketin etkilenen tüm verileri temizlemesini, gelecekteki koleksiyonları şifrelemesini ve yıllık üçüncü taraf değerlendirmeleri de dahil olmak üzere sıkı siber güvenlik önlemleri uygulamasını talep ediyor.

Singapur Eğitim Bakanlığı, 26 ortaokulda 13.000 öğrenciyi etkileyen küresel bir siber güvenlik ihlalinin ardından öğrencilerin öğrenme cihazlarından Mobile Guardian uygulamasını kaldırdı. 4 Ağustos’ta keşfedilen ihlal, ekran süresini ve belirli içeriklere erişimi kısıtlayarak cihaz kullanımını yöneten uygulamaya yetkisiz erişime izin verdi. Etkilenen cihazlar uzaktan silindi ancak bakanlık hiçbir öğrenci dosyasına erişilmediğini söyledi.

Bakanlık, 5 Ağustos’ta öğrencileri korumak amacıyla uygulamanın tüm iPad ve Chromebook’lardan kaldırılacağını duyurdu.

Bu olay, Temmuz ayından beri bildirilen alakasız teknik sorunların ardından geldi. Mobile Guardian’ın yapılandırmasındaki insan hatasına atfedilen sorunlar, cihaz işlevselliğinde sorunlara yol açtı. Mobile Guardian, Amerika Birleşik Devletleri ve Avrupa’daki kullanıcıları da etkileyen ihlali araştırıyor.

Bilgisayar korsanları eski Cisco Smart Install özelliğini kötüye kullanıyor, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, protokolün devre dışı bırakılmasını öneren bir Perşembe günü yaptığı duyuruda uyardı. Bilgisayar korsanlarının SMI’yi kötüye kullanması yeni bir sorun değil: Cisco, 2017’nin başlarında kullanıcıları, bilgisayar korsanlarının yönlendiricileri hacklemek için “‘tak ve çalıştır’ yapılandırma ve görüntü yönetimi özelliğini” kullandığı konusunda uyardı. Ulusal Güvenlik, 2017’de “Kötü amaçlı Smart Install protokol mesajları, kimliği doğrulanmamış, uzak bir saldırganın startupconfig dosyasını değiştirmesine, cihazın yeniden yüklenmesini zorlamasına, cihaza yeni bir IOS görüntüsü yüklemesine ve Cisco IOS ve IOS XE Yazılımını çalıştıran anahtarlarda yüksek ayrıcalıklı CLI komutları yürütmesine olanak tanıyabilir” uyarısında da bulundu. NSA kılavuzuna başvurmanın yanı sıra CISA, ağ altyapısı güvenliği konusunda Ekim 2023’ten itibaren NSA kılavuzuna başvurulmasını önerdi.

Siber güvenlik savunma ajansı ayrıca, bir sistem yapılandırma dosyasındaki cihaz parolalarını korumak için zayıf parola türlerini tespit etmeye devam ettiği konusunda uyardı. “Zayıf parola türlerinin kullanımı parola kırma saldırılarına olanak tanır. Erişim sağlandığında bir tehdit aktörü sistem yapılandırma dosyalarına kolayca erişebilir,” bu da bilgisayar korsanının ağda açıkça kötü şeyler yapmasına olanak tanır.

Yeni yetme suç grubu Hunters International, ağ yöneticilerini hedef alan yeni bir kötü amaçlı yazılım türü olan SharpRhino’yu serbest bıraktı. Popüler Angry IP Scanner aracı kılığına giren SharpRhino, kurbanları kötü amaçlı kod indirmeye kandırmak için tasarlanmış, yazım yanlışı yapılmış URL’ler olan yazım yanlışı yapılmış web siteleri aracılığıyla dağıtılıyor.

Kötü amaçlı yazılım haziran ortasından beri aktif ve IP tarayıcı aracının sahte bir sürümüne yerleştirilmiş durumda. ipscan-3.9.1-setup.exeQuorum Cyber’ı keşfetti. Yükleyici, açıldığında adında bir uygulama ortaya çıkaran parola korumalı bir arşiv içeriyor Microsoft.AnyKey.exe. SharpRhino, RunUpdateWindowsKey Bu uygulamayı çalıştırmak için Microsoft Visual Studio 2019 Node JS aracından türetilen kayıt defteri.

Kötü amaçlı yazılım iki komuta ve kontrol sistemiyle iletişim kurar: biri ilk yük teslimi için, diğeri ise devam eden erişim ve kalıcılık için. SharpRhino kurulduktan sonra, dosyaları kilitlemek için Rust tabanlı bir şifreleyici kullanır ve kurbanları bir Tor ödeme sayfasına yönlendiren bir fidye notu bırakır.

SharpRhino’nun, Ekim 2023’te ortaya çıkan bir fidye yazılımı hizmeti grubu olan Hunters International’ın işi olduğu düşünülüyor.

Siber güvenlik araştırmacısı Jeremiah Fowler’ın VPNMentor ile paylaştığı bulgulara göre, Sosyal Güvenlik numaraları ve ehliyet verileri de dahil olmak üzere hassas kişisel bilgiler içeren yaklaşık 4,6 milyon Illinois seçmen ve seçim belgesi, herkesin erişebildiği, parola koruması olmayan veri tabanlarında ifşa edildi.

Fowler, ifşa edilen veritabanlarının, siyasi adayların fiziksel adresleri ve kişisel cep telefonu numaraları ve milyonlarca seçmenin tam Sosyal Güvenlik numaraları da dahil olmak üzere, hassas belgelerle dolu olduğunu ve sonunda üçüncü taraf bir yüklenici tarafından kısıtlandığını söyledi. Bazı seçmen kayıt bilgilerine çevrimiçi olarak kolayca erişilebilmesine rağmen, ifşa kimlik hırsızlığı ve diğer dolandırıcılık riskleri konusunda endişelere yol açıyor.

“Belgelerin ne kadar süreyle ifşa edildiği veya başka birinin erişim sağlayıp sağlamadığı bilinmiyor,” dedi Fowler. “Sadece dahili bir adli denetim ek erişimi veya şüpheli faaliyeti belirleyebilir.”

Geçtiğimiz Haftadan Diğer Hikayeler

Washington, DC’deki Information Security Media Group’tan Chris Riotta ve Washington, DC’deki David Perera’nın raporlarıyla