Covid-19 pandemisi sadece dünya çapında sağlık sorunlarına neden olmakla kalmadı, aynı zamanda siber güvenlik sorunlarına ve veri ihlali sorunlarına neden oldu. Evden çalışmaya ani geçiş, ofis için tasarlanan güvenlik politikalarının artık kişisel cihazların artan kullanımı, güvensiz Wi-Fi, kimlik ve erişim yönetimi yaptırımı vb. tehdidini içermeye yetmediği anlamına geliyordu. 2020’de, kimlik avıyla ilgili siber suçlarda %667’lik bir artış olduğu bildirildi. 2021’de aşağıdakiler de dahil olmak üzere birkaç önemli siber güvenlik olayı meydana geldi:
1. Mimecast
Ocak 2021’de, güvenliği ihlal edilmiş bir Mimecast dijital sertifikası, bir veri ihlali fırtınasının merkezi haline geldi. Mimecast Sync ve Recover Continuity Monitor ve IEP to Microsoft 365 Exchange Web Services’in kimlik doğrulamasında kullanılan dijital sertifika, 2020’nin sonlarında SolarWinds saldırılarının, diğer adıyla Nobelium’un arkasındaki bilgisayar korsanlığı grubu tarafından saldırıya uğradı. Mimecast araştırmacıları, saldırının belirli türdeki organizasyonların büyük ölçekli hedeflenmesinin bir parçası olduğuna inanıyor. Saldırının ayrıca çalınan ayrıcalıklı kimlik bilgilerini de içerdiğine inanılıyordu:
Mimecast’in hissesi, müşteri tabanının yaklaşık %10’unu etkileyen ihlalden sonra %5 düştü. Mimecast, hizmetlerini kullanan 60.000’den fazla şirkete sahiptir; ihlal edilen potansiyel veri kayıtlarının kesin sayısı bilinmiyor.
2. Acer
Mart 2021’de elektronik üreticisi Acer, fidye yazılımının kurbanı oldu ve tarihin en büyük fidyesine yol açtı: 50 milyon dolar. Sodinokibi olarak da bilinen hack grubu ReEvil’in, Acer’a yapılan fidye yazılımı saldırısının faili olduğu düşünülüyor. Enfeksiyon, verileri şifreleyerek işlemleri imkansız hale getirdi ve büyük miktarda hassas veri (banka hesap bilgileri dahil) çalındı. İkinci taktik, fidye yazılımı saldırıları sırasında fidyenin ödenmesini sağlamak için kaldıraç olarak kullanmak için giderek daha yaygın hale geliyor. ReEvil, genellikle kimlik avı kullanır ve bulaşma sürecini başlatmak için daha önceki veri ihlallerinde çalınan kimlik bilgilerini kullanarak uzak masaüstünde oturum açmaya çalışır.
3. Microsoft Exchange
Mart 2021, Çin devlet destekli bilgisayar korsanlığı grubu Hafnium’un Microsoft Exchange sunucusundaki dört sıfırıncı gün güvenlik açığından yararlandığını da gördü. Siber saldırının arkasındaki üç aşamalı süreç, başlangıçta çalınan kimlik bilgileri kullanılarak veya Exchange Server güvenlik açıklarından yararlanılarak gerçekleştirildi. Erişim sağlandıktan sonra, Hafnium sunucu üzerinde uzaktan kontrol sağlamak için bir web kabuğu kullandı. Bu uzak bağlantı, verileri sızdırmak için kullanılır. Özellikle, web kabuğu saldırıları 2021’de ikiye katlandı.
Bu siber saldırının yaklaşık 30.000 ABD kuruluşunu etkilediği düşünülüyor. Microsoft, Exchange Server güvenlik açıkları için hızlı bir şekilde yamalar yayınladı, ancak Hafnium, internet taramaları gerçekleştirerek yararlanmak için yama uygulanmamış Microsoft Exchange sunucuları bulmaya devam etti.
4. Facebook
Facebook, Nisan 2021’de yine bir veri ihlalinin kurbanı oldu. İhlal, 106 ülkeden 530 milyon Facebook kullanıcısını etkiledi. Ortaya çıkan kişisel veriler arasında Facebook kimlik numaraları, isimler, telefon numaraları, doğum tarihleri ve yer yer alıyor. Ekran kazıma saldırısı, Facebook’ta izin verilen bir güvenlik açığı haline gelen, kişi içe aktarıcı olarak bilinen bir özellik nedeniyle gerçekleşti; Herkese açık olarak ayarlanan veya arkadaşlarla paylaşılan veya bir telefon numarası kullanılarak yapılan aramayı etkinleştiren tüm profiller, bu istismarın gerçekleşmesine izin verdi.
Kişisel ayrıntıları yakalamak için ekran kazıma kullanımı, Nisan ve Temmuz 2021’de LinkedIn kullanıcılarının %92’sinin kişisel ve profesyonel verilerini ihlal etmek için de kullanıldı.
5. Koloni Boru Hattı
Colonial Pipeline, doğu kıyısında tüketilen tüm yakıtın %45’inden sorumlu büyük bir ABD şirketidir. Mayıs 2021’de Colonial Pipeline, yaklaşık 50 milyon müşteriyi etkileyen bir fidye yazılımı saldırısıyla etkin bir şekilde kapatıldı. Hacking grubu DarkSide, saldırıyı gerçekleştirdi. Yine saldırganlar, verileri şifreleyerek ve yaklaşık 100 gigabayt veriyi çalarak çift yönlü bir yaklaşım kullandılar. Çalınan veriler, şirkete 4.4 milyon dolarlık fidye ödemesi için baskı yapmak için kullanıldı. Saldırıyı, güvenliği ihlal edilmiş bir parolanın başlattığına inanılıyor; uzmanlar, parolanın dark web’de bulunan bir grup güvenliği ihlal edilmiş kimlik bilgilerinin parçası olduğunu belirtti. Darkside, saldırıları daha erişilebilir ve daha kolay başlatmayı sağlayan bir Hizmet Olarak Fidye Yazılımı paketi (RaaS) sunması ile ünlüdür.
6. Electronic Arts
Hassas veriler, biri Fikri Mülkiyet (IP) olmak üzere birçok biçim alır. Haziran 2021’de Electronic Arts’a karşı bir siber saldırı olması durumunda, 780 gigabayt kaynak kodu çalındı. Tüketici oyunları için kullanılan kaynak koduna sınırsız erişime sahip olmak, saldırganların istismar edilebilecek güvenlik açıklarını bulmasına ve böylece müşterinin kişisel verilerini riske atmasına izin verdi. Saldırı fidye talebiyle geldi, bilgisayar korsanları Electronic Arts’a ödeme yapması için baskı yapmak amacıyla kaynak kod parçacıklarını çevrimiçi olarak yerleştirdi. Siber suçluların, bir şirketin Slack hesabına ilk erişim elde etmek için dark web’de10 dolara satılan çalıntı çerezleri kullandıklarına inanılıyor. Daha sonra BT desteğini, verilere ayrıcalıklı erişime izin vermek için geçici bir çok faktörlü kimlik doğrulama belirteci yayınlaması için sosyal mühendislik kullanarak kandırdı.
7. Kaseya
Temmuz, bu sefer yönetilen hizmet sağlayıcılar (MSP’ler) aracılığıyla sağlanan bir BT ağ yönetimi yazılımı sağlayıcısı olan Kaseya’ya karşı bir başka büyük fidye yazılımı saldırısı getirdi. Saldırganlar yine hack grubu ReEvil’di. Grup, yaklaşık 1.500 KOBİ’nin uç noktalarına fidye yazılımı sağlamak için Kaseya Sanal Sistem Yöneticisi bileşeninde sıfır gün güvenlik açığı kullandı. Şimdi, Brian Krebs’in 2015’ten beri var olabileceğini bildirmesiyle birlikte, sıfırıncı günün vahşi doğada ne kadar sürdüğü konusunda bir anlaşmazlık var.
Kaseya istismarı, bilgisayar korsanlarının SolarWinds yazılımının müşterilerine virüslü güncellemeleri göndermek için güvenlik açıklarını kullandığı 2020 mega SolarWinds hack’ini andırıyordu. Kaseya saldırısında, uzaktan kod yürütülmesine izin veren açık kapı olan bir “kimlik doğrulama atlama güvenlik açığı”, kimlik doğrulama koruma katmanlarının atlanmasına izin veren kusurdu.
2021 siber saldırılarından dersler
Siber suçlunun işi, korumayı atlatmanın yollarını bulmaktır. Bu, yazılım güvenlik açıkları şeklinde olabilir veya kimlik bilgisi hırsızlığına yol açan ve genellikle birden fazla teknik kullanan insan hatası yoluyla olabilir. Yukarıda açıklanan saldırıların çoğu, siber saldırıyı gerçekleştirmek için genellikle çalışanların sosyal mühendisliğini de içeren bir açıklar zinciri kullanır.
Her bir ardışık koruma katmanını aşmak, özveri ve kaynak gerektirir; hack çeteleri ve RaaS, 2FA kimlik doğrulamasını bile atlatmaya yardımcı oluyor. Bahis artırıldı ve siber savaş hız kesmeden devam ediyor. Ancak hiçbir kuruluşun siber suçların gerçekleşmesine izin verme ve darbeyi yeme lüksü yoktur. Sizler de kuruluşunuzu güvence altına almak için Ozztech Bilgi Güvenliği Teknolojilerine ulaşın !