Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Olay ve İhlal Müdahalesi
Ayrıca: Bir Kimlik Avı Ağının Kapatılması, Bir Başka Ivanti Kritik Kusuru ve Meta Yasakları RT
Anviksha Daha Fazla (AnvikshaDevamı) •
19 Eylül 2024
Information Security Media Group her hafta dünya çapında siber güvenlik olaylarını ve ihlallerini topluyor. Munich Re siber savaşı sigortalayamayacağını söyledi, Rhysida Seattle havaalanına saldırmaktan sorumlu oldu, Meta RT’yi yasakladı, Ivanti bir kusuru ifşa etti, bilgisayar korsanları inşaat yazılımını kullandı, AT&T FCC ile anlaştı, Londra Ulaşımı kullanıcıları kontrol ediyor, bir siber firma web sunucularının büyük bir risk oluşturduğunu söyledi ve polis bir kimlik avı ağını bozdu.
Ayrıca bakınız: Çoklu Bulut Güvenliğinin Altı Temel Gereksinimi
Munich Re Siber Savaşın Çok Riskli Olduğunu Söylüyor
Munich Re’de siber riskler için kıdemli risk yöneticisi olan Martin Kreuzer, Pazartesi günü reasürans şirketinin siber savaşı sigortalanamaz olarak gördüğünü söyledi. “Eğer tüm işletmeyi bırakmamız gerekirse, bunu yapmaya hazırız çünkü siber savaşı sigortalayamayacağımızı düşünüyoruz,” diye bildirdi The Insurer.
Sektörün en büyük siber sigortacısı Munich Re’nin, siber savaş senaryolarının ölçeğini karşılayamayacağını belirterek, şirketin sigorta poliçelerinde siber savaş istisnalarının daha net hale getirilmesi için çaba sarf ettiğini söyledi.
Siber sigortacılar, daha fazla şirket siber sigorta için çabalarken, ulus-devlet çatışmalarının sonucu olduğunu söyledikleri olayları hariç tutmada agresif davrandılar. Sistemsel ve ölçülmesi zor riskler yıllardır poliçe maliyetlerini yükseltti, ancak Moody’s’in bu ayın başlarında yaptığı derecelendirmeler, yeni pazar katılımcılarının sigorta primlerinde “orta” bir düşüşe yol açabileceğini söyledi (bkz: Moody’s Derecelendirmeleri: Siber Sigorta Rekabeti Arttı, Fiyatlar Düştü).
Pahalı siber politikalar için para harcayan şirketler bile, politikalarının bir olayın tüm maliyetini karşılamadığını göreceklerdir (bkz: İhlal Özeti: Siber Sigorta İhlal Maliyetlerini Karşılamıyor).
Birçok hükümet, felaket boyutunda siber saldırılara karşı bir önlem alma olasılığını araştırdı ancak henüz bir çözüm bulamadı.
Seattle Limanı Rhysida Fidye Yazılımı Saldırısını Doğruladı
Seattle Limanı, Rhysida fidye yazılımı grubunun sistemlerini üç hafta boyunca bozan siber saldırının arkasında olduğunu doğruladı. İlk olarak 24 Ağustos’ta açıklanan ihlal, kurumu önemli sistemleri izole etmeye zorladı ve Seattle-Tacoma Uluslararası Havaalanı’ndaki hizmetleri etkileyen BT kesintilerine neden oldu. Bu kesintiler uçuş check-in’lerini, bagaj taşımayı, biletlemeyi, Wi-Fi’yi ve yolcu gösterge panolarını içeriyordu (bkz: Seattle-Tacoma Havaalanı BT Kesintileri 3. Güne Kadar Devam Ediyor).
Siber saldırı limanın sistemlerinin bazı kısımlarını şifreledi ve deniz tesislerini ve flySEA uygulamasını etkileyen kesintilere yol açtı. Çoğu sistem bir hafta içinde geri yüklendi, ancak liman hala SEA Ziyaretçi Kartı, TSA bekleme süresi bilgileri ve web sitesine ve uygulamasına tam erişim gibi hizmetleri geri getirmek için çalışıyor.
Rhysida, grubun sızıntı sitesinde yer alan bilgiye göre çalınan bilgiler için 100 bitcoin (yaklaşık 6,4 milyon dolar) talep ediyor. Grup, bu bilgilerin 3 terabayt “veritabanları, çalışanların dahili oturum açma bilgileri ve şifreleri, acil servis uygulamalarına ait sunucuların tam dökümü, Seattle Limanı ve Seattle-Tacoma Uluslararası Havalimanı (SEA), personel ve müşterilerin kişisel verileri” içerdiğini söylüyor.
Liman fidye ödemeyi reddetti.
Meta, Etki Operasyonları Nedeniyle RT ve Rus Devlet Medyasını Yasakladı
Meta, RT ve Rossiya Segodnya dahil olmak üzere Rus devlet medya kuruluşlarını Facebook, Instagram ve WhatsApp’tan “yabancı müdahale faaliyeti” nedeniyle yasakladı. Salı günü alınan karar, ABD’nin iki RT çalışanını 2024 seçimlerini etkilemek için bir plan kapsamında kara para aklama suçlamasıyla suçlamasından sadece birkaç gün sonra geldi. ABD Dışişleri Bakanı Antony Blinken, RT’yi Rus istihbaratının bir kolu olarak işlev görmekle, yanlış bilgi yaymakla, Rus askerlerine fon sağlamakla ve Moldova’daki Ekim 2024 seçimleri de dahil olmak üzere küresel seçimleri hedef almakla suçladı (bkz: ABD, Ukrayna Savaşını Gizlice Finanse Ettiği İçin Rus Medyasına Yaptırımlar Uyguluyor).
Ivanti Başka Bir Bulut Hizmetleri Aygıtı Kusurunu Açıkladı
İnternet cihazı üreticisi Ivanti, müşterilerini bilgisayar korsanlarının uzaktan kod yürütme açığını istismar ettiği konusunda uyardıktan sadece birkaç gün sonra, Bulut Hizmet Cihazında aktif olarak istismar edilen bir başka kritik açığı daha açıkladı (bkz: Ivanti Güvenlik Açığı Tekrar Acil Durum Yamalarını Zorunlu Kılıyor).
Utah şirketi, önceki kritik açığı araştırırken CVE-2024-8963 olarak izlenen yeni yol geçiş açığını keşfettiğini söyledi. Her ikisi de kuruluşların güvenlik duvarlarının ardındaki cihazları yönetmesine ve proxy ağ erişimi olarak hizmet verebilmesine olanak tanıyan Cloud Services Appliance’ın 4.9 sürümünü etkiliyor. 10 Eylül yamasını zaten uygulayan kullanıcıların yeni bir yama uygulaması gerekmiyor çünkü yol geçiş açığı yamada “tesadüfen ele alındı”. ABD Siber Güvenlik ve Altyapı Ajansı, açığı bilinen istismar edilen açıkların listesine ekledi ve federal kurumlara bunu ele almaları için üç hafta süre verdi.
Bilgisayar korsanları, yönetici kimlik doğrulamasını atlatmak ve RCE elde etmek için iki açığı birleştirdi. CSA 4.6 kullanım ömrünün sonuna geldi, bu da Ivanti’nin kullanıcıların 5.0 sürümüne yükseltmesini önerdiği anlamına geliyor. Ayrıca, çift ana bilgisayara sahip CSA yapılandırmalarının, etho0 dahili bir ağ olarak yapılandırılmıştır.
Geçtiğimiz dokuz ayda Ivanti, istikrarlı sayıda güvenlik açığını ifşa etti ve müşterilerini aktif istismar konusunda uyardı; bu, siber güvenlik firması Volexity’nin Ivanti ağ geçidi cihazlarındaki sıfır günlük açıkları istismar eden muhtemelen Çin devletine ait bir saldırı kampanyasını tespit etmesinin ardından Ocak ayında başlatılan bir uyarıydı (bkz: Ivanti, İstismar Edilen Ek Sıfır Gün’ü Açıkladı).
Hackerlar Temel Yazılımı Aracılığıyla İnşaat Şirketlerini Hedef Alıyor
Siber güvenlik firması Huntress’e göre kimliği belirsiz bilgisayar korsanları, inşaat sektörünün kullandığı muhasebe yazılımı Foundation’daki güvenlik açıklarından yararlandı. Saldırganlar, yönetici erişimi elde etmek için varsayılan kullanıcı adları ve parolaları kullanarak herkese açık kurulumları aradı ve tesisat, beton ve HVAC sektörlerindeki şirketleri etkiledi.
Huntress, yazılım tarafından kullanılan Microsoft SQL Server’larda yaklaşık 35.000 kaba kuvvet girişimi tespit etti ve 500 kurulumdan 33’ü değiştirilmeyen varsayılan kimlik bilgileri nedeniyle kamuya açık hale getirildi.
AT&T, 2023 Veri İhlali Üzerindeki FCC Soruşturmasını Çözdü
AT&T, yaklaşık 9 milyon müşterinin müşteriye ait özel ağ bilgilerini ifşa eden 2023 veri ihlalinin ardından ABD Federal İletişim Komisyonu ile 13 milyon dolarlık bir anlaşmayı kabul etti. Üçüncü taraf bir satıcı tarafından meydana getirilen ihlal, Sosyal Güvenlik numaraları veya finansal bilgiler gibi hassas kişisel verileri tehlikeye atmadı.
FCC’nin soruşturması, AT&T’nin tedarikçisinin müşteri verilerini uygun şekilde korumasını sağlamada başarısız olduğunu ve bu verilerin sözleşmeli imha tarihinden yıllar sonra bile tedarikçinin bulut ortamında kaldığını ortaya koydu. Anlaşmanın bir parçası olarak AT&T, tedarikçinin müşteri bilgilerine erişimini sınırlamak, güvenlik önlemlerini geliştirmek ve yıllık uyumluluk denetimleri yapmak da dahil olmak üzere veri yönetimi uygulamalarını güçlendirmeyi taahhüt etti.
Londra Ulaşımı Şahsen Kimlik Kontrolü Gerektiriyor
Londra Ulaşımı, kentsel ulaşım otoritesinde yaşanan bir siber güvenlik olayının ardından 30.000 çalışanın kimliklerini doğrulamak ve parolalarını sıfırlamak için şahsen randevulara katılmasını zorunlu kıldı. 2 Eylül olayı, dahili sistemleri bozdu ve bazı müşteri hizmetlerini etkiledi.
TfL başlangıçta tehlikeye atılmış verilere dair bir kanıt bildirmese de, bu haftaki bir güncelleme adlar, iletişim bilgileri ve adresler de dahil olmak üzere müşteri verilerinin ifşa edildiğini ortaya koydu. Banka bilgileri ve ev adresleri gibi hassas bilgiler ifşa edilmedi. TfL etkilenen müşterilerle iletişime geçiyor ve onlara ağının güvenliği konusunda güvence veriyor.
İngiltere Ulusal Suç Ajansı, saldırıyla bağlantılı olarak Batı Midlands’dan 17 yaşında bir genci tutukladı. Şüpheli kefaletle serbest bırakıldı.
Web Sunucuları Büyük Siber Güvenlik Riskleri Oluşturuyor
Siber güvenlik firması Cycognito, web sunucularının diğer tüm platformlardan daha fazla ciddi siber güvenlik sorunlarının %34’ünü oluşturduğunu söyledi. Ankete katılan web arayüzlerinin yalnızca %15’i TLS veya HTTPS gibi güvenli protokoller kullanıyordu ve kişisel olarak tanımlanabilir bilgileri işleyenlerin yarısından azı bir web uygulaması güvenlik duvarı tarafından korunuyordu. PII’yi ifşa eden arayüzlerin %60’ından fazlasında WAF koruması yoktu.
Cycognito, birçok kuruluşun yanlış siber güvenlik sorunlarına odaklandığını ve siber suçluların genellikle yazılım tedarik zincirleri yerine web sunucularını hedef aldığını söyledi. Bu tehlikeye atılmış sunucular, saldırganlara üzerlerine yerleştirilen uygulamalara erişim sağlıyor ve ardından saldırılarını artırabiliyorlar.
Önceki bir Cycognito anketi, kuruluşların %60’ının web uygulamalarını haftalık olarak güncellerken, %75’inin bunları yalnızca aylık veya daha az aralıklarla test ettiğini söylüyor. Birçok şirket güvenlik açıklarını gidermekte zorlanıyor ve katılımcıların %53’ü web uygulaması testleri sorunları ortaya çıkardıktan sonra bile zorluklar bildiriyor. Ayrıca, kuruluşların %35’i haftada en az bir kez web uygulamasıyla ilgili önemli bir güvenlik olayı yaşıyor.
İspanyol ve Latin Amerika Polisi Kimlik Avı Ağını Çökertiyor
İspanyol ve Latin Amerika polisi, kimlik avı platformu kullanarak 1,2 milyondan fazla çalıntı cep telefonunun kilidini hileyle açan bir suç şebekesini çökertti.
Perşembe günü Europol tarafından duyurulan operasyon, İspanya, Arjantin, Şili, Kolombiya, Ekvador ve Peru’daki yetkililer tarafından yönetildi. Operasyon Kaerb olarak adlandırılan operasyon, çalınan telefonların sahiplerine kayıp cihazlarını kurtarma bahanesiyle kötü amaçlı bağlantılar göndermek için iServer kimlik avı hizmeti platformunu kullanan 17 kişinin tutuklanmasıyla sonuçlandı.
Tutuklananlar arasında Arjantin’de polis tarafından gözaltına alınan iddia edilen kimlik avı platformu yöneticisi de var. Europol, artık faaliyette olmayan iServer platformunun, kurbanları mobil kilit açma kodlarını girmeye kandırmak için meşru şirketleri taklit eden özelleştirilmiş bağlantılar ürettiğini söyledi. Europol, suçlanan yöneticinin 2018’den beri kimlik avı hizmetleri geliştirip yönettiğini ve son beş yıldır mobil telefon kilidi açma işinde olduğunu söyledi.
Yetkililer, “Suçlu, web sitesine erişimi sattı ve kimlik avı, SMS, e-posta veya arama gerçekleştirmek için ek maliyetler talep etti. Platformun suçlu kullanıcıları veya ‘kilidini açanlar’, çalıntı telefonlara sahip diğer suçlulara telefon kilidini açma hizmetleri sağladı” dedi.
SMS kimlik avına ek olarak, iServer kullanıcıları zaman zaman kurbanlarla doğrudan iletişime geçerek sahte mesajları ve sahte web sayfalarını kişiselleştirmek için aramalar yaptı. Araştırmacılar dünya çapında 483.000 kurban olduğunu bildirdi, bunların çoğu İspanyolca konuşuyordu. ).
Operasyon kapsamında 2 binden fazla kayıtlı iServer kullanıcısı tespit edildi.
Soruşturmacılara yardımcı olan siber güvenlik firması Group-IB, iServer’ın çalıntı telefonların kilidini açmak için kimlik bilgilerini toplamaya odaklanmasıyla otomatik bir kimlik avı platformu olarak öne çıktığını söyledi.
Geçtiğimiz Haftadan Diğer Kapsamlar
Bengaluru, Hindistan’dan Information Security Media Group’tan Prajeet Nair, Güney İngiltere’den Akshaya Asokan ve Washington, DC’den David Perera’nın haberleriyle