Aralık Ayı Siber Güvenlik Bülteni

Bitter Grubu Türkiye’de Yüksek Değerli Hedefleri MiyaRAT ile Hedef Alıyor

Türkiye’deki savunma sanayi kuruluşları, “Bitter” isimli siber casusluk grubunun yeni bir tehdit saldırısına maruz kaldı. Bu saldırıda, daha önce benzer tehditlerde kullanılan WmRAT yazılımı ile birlikte, MiyaRAT adlı kötü amaçlı yazılım ailesinin kullanıldığı tespit edildi. Siber güvenlik uzmanları, MiyaRAT’ın özellikle yüksek değerli hedefleri hedef alacak şekilde tasarlandığını ve yalnızca sınırlı sayıda dağıtıldığını belirtiyor.

Siber güvenlik şirketi Proofpoint, MiyaRAT’ın son derece sofistike bir yazılım olduğunu ve siber casusluk saldırılarında etkin bir şekilde kullanıldığını duyurdu. MiyaRAT, özellikle veri şifreleme, etkileşimli ters kabuk bağlantıları ve dosya yönetimi gibi gelişmiş özelliklere sahip. WmRAT ile birlikte kullanılan bu yazılım, bilgisayar sistemlerine izinsiz erişim sağlamak, veri sızdırmak ve hedeflerin faaliyetlerini izlemek amacıyla tasarlandı.

Haberin devamı için tıklayınız.

Cyberwise Yorumu: Siber güvenlik analistleri, Bitter grubunun saldırılarında daha seçici bir yaklaşım sergilediğini belirtiyor. MiyaRAT yazılımının yalnızca yüksek değerli hedeflere yönelik olarak kullanıldığı, grubun siber güvenlik uzmanlarının dikkatinden kaçma amacıyla saldırılarını sınırlı sayıda hedefe yönelttiği ifade ediliyor. Bu da grubun siber güvenlik önlemleri ve izleme süreçlerinden kaçmak için dikkatli bir şekilde hareket ettiğini gösteriyor.

Bu gelişmeler, Türkiye’deki savunma sanayi kuruluşlarının siber güvenlik önlemlerini gözden geçirmesinin önemini bir kez daha ortaya koyuyor. Uzmanlar, özellikle devlet ve savunma sektöründeki kurumların, olası siber tehditlere karşı daha güçlü ve etkili güvenlik protokolleri geliştirmeleri gerektiğini vurguluyor. MiyaRAT ve WmRAT gibi gelişmiş kötü amaçlı yazılımlara karşı korunmak için, siber savunma stratejilerinin sürekli olarak güncellenmesi gerektiği belirtiliyor.

Korunma Yöntemleri

• E-posta eklerini dikkatlice inceleyin: E-posta eklerini açmadan önce dikkatli bir şekilde inceleyin. Özellikle RAR, EXE ve LNK dosyalarına dikkat edin bunlar kötü amaçlı yazılımlar taşıyabilir.
• Kimlik avı saldırılarına karşı uyanık olun: E-posta içeriklerini dikkatlice inceleyin ve tanımadığınız kişilerden gelen istekleri sorgulayın.
• ADS’yi tespit edin ve engelleyin: Alternatif veri akışları (ADS) kullanılarak gizlenen zararlı yazılımlara karşı sistemlerinizi tarayın. ADS içeren dosyaların tespiti için güvenlik yazılımlarınızı güncel tutun.
• IDS/IPS sistemleri kullanın: Intrusion Detection Systems (IDS) veya Intrusion Prevention Systems (IPS) kullanarak şüpheli aktiviteleri tespit edip engelleyin.
• Otomatik güncellemeleri etkinleştirin: Yazılım ve güvenlik güncellemelerinin otomatik olarak yüklenmesini sağlayarak, yeni keşfedilen güvenlik açıklarından korunma sağlanabilir.
• Kullanıcı haklarını düzenleyin: Kullanıcılara sadece ihtiyaç duydukları erişim seviyelerini verin ve gereksiz yönetici haklarını sınırlayın.
• Sürekli izleme yapın: Güvenlik olaylarını ve anormal davranışları sürekli izleyen bir siber güvenlik izleme sistemi kullanın.
• Tehdit istihbaratına katılın: Yeni tehditler hakkında bilgi edinmek ve erken uyarı almak için siber güvenlik tehdit istihbarat hizmetlerinden faydalanın.
• Ağ trafiğini izleyin: Şüpheli ağ trafiği ve olağan dışı bağlantı girişimleri için düzenli izlemeler yapın.
• Çift katmanlı güvenlik kullanın: Antivirüs ve antimalware programlarını kombinleyerek, daha kapsamlı bir koruma sağlayın.
• Çalışanlara eğitim verin: Çalışanlarınıza siber güvenlik farkındalığı eğitimi verin. E-posta şüpheliliği, kimlik avı (phishing) ve kötü amaçlı yazılım tehditlerine karşı eğitimler düzenleyin.
• Farkındalık testleri yapın: Periyodik olarak çalışanlarınıza siber saldırı simülasyonları yaparak güvenlik bilincini artırın.

Texas Tech Üniversitesi Sağlık Bilimleri Merkezi’ne Siber Saldırı: 1,4 Milyon Hastanın Verisi Tehlikede

Texas Tech Üniversitesi Sağlık Bilimleri Merkezi (HSC) ve El Paso’daki benzeri bir merkez, büyük bir siber saldırıya uğradı. Saldırı, 1,4 milyon hastanın kişisel ve sağlık bilgilerini ifşa etme potansiyeli taşıyor. Kuruluş, Eylül 2024’te bilgisayar sistemlerinde yaşanan kesintilerin ardından bir güvenlik ihlali tespit etti. Bu olayın ardından yapılan araştırmalarda, 17 Eylül ile 29 Eylül 2024 tarihleri arasında belirli dosyaların veya klasörlerin HSC ağından çalındığı veya silindiği doğrulandı.

Texas Tech Üniversitesi Sağlık Bilimleri Merkezi, sağlık profesyonelleri yetiştiren, tıbbi araştırmalar yapan ve hasta bakım hizmetleri sunan önemli bir kamu kuruluşudur. Bu saldırı, siber güvenlik açısından ciddi bir tehdit oluşturuyor ve söz konusu verilerin çalınmış olabileceği uyarısını da beraberinde getiriyor.

Saldırıdan etkilenen 1,4 milyon hasta için Texas Tech Üniversitesi Sağlık Bilimleri Merkezi, bireylere ücretsiz kredi izleme hizmetleri sunmayı taahhüt etti. Kuruluş, aynı zamanda hastaları, kimlik avı saldırılarına ve sosyal mühendislik taktiklerine karşı dikkatli olmaları konusunda uyardı. Etkilenen kişilerin kredi raporlarını ve sağlık sigortası ekstrelerini düzenli olarak takip etmeleri gerektiği belirtildi.

Haberin devamı için tıklayınız.

Cyberwise Yorumu: Texas Tech Üniversitesi Sağlık Bilimleri Merkezi, sağlık hizmetleri sağlayan ve tıbbi araştırmalar yapan önemli bir akademik kurum. Kuruluş, saldırı sonrası yaptığı açıklamada siber güvenlik ihlalinin sonuçlarının ciddi olduğunu vurguladı. Saldırganların eline geçmiş olabilecek veriler arasında; hastaların adı, soyadı, doğum tarihi, sosyal güvenlik numarası, sürücü belgesi bilgileri, sağlık sigortası bilgileri, tıbbi geçmiş ve tanı bilgileri bulunuyor. Bu veriler, kişisel kimlik hırsızlığından, mali dolandırıcılığa kadar çeşitli riskler taşıyor.

Texas Tech Üniversitesi Sağlık Bilimleri Merkezi’ne yapılan saldırının arkasında “Interlock” adlı fidye yazılımı grubu olduğu bildirildi. 27 Ekim 2024’te Interlock, çalınan verilerin 2,6 TB büyüklüğünde olduğunu ve bu verileri karanlık web üzerinden yayınladığını açıkladı. Fidye yazılımı grubu, sağlık kurumlarının sistemlerine sızarak toplamda 2,1 milyon dosyayı ele geçirdi. Saldırganlar, fidye talebinde bulunarak, kurumu ödeme yapmaya zorladı. Talep edilen fidye miktarının, kuruluşun büyüklüğüne bağlı olarak yüz binlerce dolardan milyonlarca dolara kadar değişebileceği bildirildi.

Korunma Yöntemleri

• Güçlü Şifreler Kullanmak: Tüm sistemlerde karmaşık ve benzersiz şifreler oluşturun. Ayrıca, çok faktörlü kimlik doğrulama (MFA) kullanmayı ihmal etmeyin.
• Düzenli Yazılım Güncellemeleri: Tüm yazılım ve sistemlerinizi düzenli olarak güncelleyerek bilinen güvenlik açıklarına karşı korunma sağlayın.
• Veri Şifreleme: Hassas verilerinizi, hem depolama hem de aktarım sırasında güçlü şifreleme yöntemleriyle koruyun.
• Kimlik Avı Farkındalığı Eğitimi: Çalışanlara, kimlik avı ve sosyal mühendislik saldırıları hakkında eğitim verin ve şüpheli e-posta veya bağlantılara karşı dikkatli olmalarını sağlayın.
• Ağ Güvenliğini Sağlamak: Güçlü bir güvenlik duvarı ve ağ izleme sistemleri kullanarak ağınıza izinsiz girişleri engelleyin.
• Veri Yedekleme: Kritik verilerinizi düzenli olarak yedekleyin ve yedeklenen verileri güvenli bir yerde saklayın.
• Erişim Kontrolü: Yalnızca gerekli çalışanlara erişim izni verin ve her kullanıcı için en düşük erişim düzeyini sağlamak üzere erişim politikaları oluşturun.

SonicWall Cihazlarındaki Kritik Güvenlik Açıkları Kurumlar İçin Tehdit Oluşturuyor

Siber güvenlik firması Bishop Fox tarafından yapılan bir araştırma, 25.000'den fazla SonicWall SSLVPN cihazının, kritik güvenlik açıklarına karşı savunmasız olduğunu ve büyük bir tehdit oluşturduğunu ortaya koydu. Veriler, bu cihazların önemli bir kısmının, artık desteklenmeyen eski yazılım sürümleri ile çalıştığını ve güncel güvenlik yamalarının uygulanmadığını gösteriyor. Bu savunmasız cihazlar, kurumsal ağlara ilk erişimi elde etmeyi hedefleyen fidye yazılımı grupları için cazip hedefler haline geldi.

Bishop Fox’un Shodan ve BinaryEdge gibi araçlarla yaptığı taramalarda, 430.363 adet kamuya açık SonicWall güvenlik duvarı tespit edildi. Kamuya açık cihazlar, saldırganların bu güvenlik açıklarını ve zayıf noktaları kullanarak sisteme girmelerine olanak tanıyor. Bu durum, özellikle güvenlik duvarlarının yönetim arayüzleri ve SSL VPN bağlantılarının internet üzerinden erişilebilir olmasıyla daha da tehlikeli hale geliyor.

Bishop Fox araştırmacıları, “Güvenlik duvarı yönetim arayüzlerinin kamuya açık olması, çok büyük bir güvenlik riski yaratır. SSL VPN, dış istemcilere erişim sağlamak için tasarlanmış olsa da, kaynak IP adresi kısıtlamaları ile korunmalıdır,” açıklamasında bulundu.

Haberin devamı için tıklayınız.

Cyberwise Yorumu: Bishop Fox, bu cihazlarda tespit edilen 25.485 kritik güvenlik açığının yanı sıra, 94.018 cihazın yüksek önemdeki hatalara karşı savunmasız olduğunu belirtti. Bu veriler, kurumlar için büyük bir tehdit oluşturuyor ve daha fazla saldırı riski taşıyor.

Siber güvenlik uzmanları, SonicWall cihazlarını kullanan kurumları bir an önce eski yazılım sürümlerini güncellemeye ve yamaları uygulamaya çağırıyor. Ayrıca, SSL VPN ve yönetim arayüzlerinin internetten erişilebilir olmasının ciddi bir güvenlik riski yarattığına dikkat çekiliyor. IP adresi kısıtlamaları ile ek güvenlik önlemleri alınması gerektiği vurgulanıyor.

Bu durum, yama sürecindeki yavaşlık ve eski yazılım kullanımı nedeniyle kurumların daha büyük tehditlerle karşılaşabileceğini gösteriyor. Güvenlik açıklarını gidermek ve saldırılara karşı daha dirençli hale gelmek için gerekli adımların atılması büyük önem taşıyor.

Korunma Yöntemleri

• Yazılım ve Donanım Güncellemeleri: Cihazlarınızda kullanılan yazılım sürümlerinin en son güncel ve desteklenen sürümlerle güncellenmesi gereklidir. Özellikle eski yazılım sürümlerinin (EOL) kullanılmaması önemlidir.
• Kullanılmayan Arayüzlerin Kapatılması: Yönetim arayüzleri ve SSL VPN bağlantıları, sadece belirli IP adresleri üzerinden erişilebilir olmalıdır. İnternetten erişilebilir arayüzler, saldırganlar için büyük bir risk oluşturur.
• Güçlü Parola Politikaları ve Çok Faktörlü Kimlik Doğrulama (MFA): Parola zayıflıklarına karşı savunma sağlamak için güçlü parolalar kullanılmalı ve mümkünse çok faktörlü kimlik doğrulama (MFA) etkinleştirilmelidir.
• Güvenlik Duvarı Yapılandırması: Cihazlardaki güvenlik duvarı yapılandırmalarının, yalnızca gerekli erişim noktalarına izin verecek şekilde dikkatlice yapılandırılması gerekir. Gereksiz erişim yolları kapatılmalıdır.
• Ağ Segmentasyonu: Kurumsal ağda segmentasyon yaparak, her bir ağın yalnızca gerekli olan diğer ağlarla iletişim kurmasına izin verilmelidir. Bu, bir saldırganın ağda ilerlemesini engellemeye yardımcı olabilir.
• Düzenli Güvenlik Tarama ve Denetim: Tüm ağ altyapısı, düzenli olarak güvenlik açıkları açısından taranmalı ve denetlenmelidir. Bu tür denetimler, olası savunmasız noktaları erkenden tespit etmeye yardımcı olur.
• Erişim Kısıtlamaları ve İzleme: Yalnızca yetkilendirilmiş kullanıcıların kritik sistemlere erişimine izin verilmelidir. Ayrıca, tüm ağ aktiviteleri ve erişim girişimleri sürekli olarak izlenmeli ve şüpheli aktiviteler rapor edilmelidir.
• Fidye Yazılımı Savunması: Özellikle fidye yazılımı gibi tehditlere karşı koruma sağlamak için, yedekleme stratejileri oluşturulmalı ve düzenli olarak yedekleme yapılmalıdır. Ayrıca, ağda sık sık güncellenen virüs tarayıcıları kullanılmalıdır.

Onlarca Chrome Uzantısı Hacklendi Milyonlarca Kullanıcı Verisi Tehdit Altında

Chrome tarayıcısının uzantılarını hedef alan geniş çaplı bir siber saldırı, milyonlarca kullanıcının kişisel bilgilerini tehlikeye attı. En az 35 popüler uzantının güvenliği ihlal edilirken, yaklaşık 2,6 milyon kullanıcı verilerinin çalınmasıyla karşı karşıya kaldı. Bu saldırı, kimlik avı kampanyası yoluyla uzantıların geliştiricilerinin hesaplarını ele geçirerek, uzantıların meşru sürümlerine kötü amaçlı kodlar yerleştirilmesine olanak sağladı.

Saldırı, Chrome Web Mağazası’ndaki uzantı geliştiricilerini hedef alan kimlik avı mesajlarıyla başladı. Geliştiricilere gönderilen e-postalar, uzantılarının mağazadan kaldırılma riskiyle karşı karşıya olduğu uyarısı yaparak, onları yanlış bir aciliyet duygusuna sevk etti. E-postalar, bir bağlantıya tıklanarak politikaları kabul etmeye yönlendirdi ve bu bağlantı, aslında kullanıcıları kötü amaçlı bir OAuth uygulamasına yönlendirdi. Bu sayede saldırganlar, Chrome Web Mağazası’na kötü amaçlı uzantılar yüklemeyi başardı.

Haberin devamı için tıklayınız.

Cyberwise Yorumu: Son dönemde, Chrome tarayıcısındaki uzantılara yönelik gerçekleştirilen siber saldırılar, çevrimiçi güvenlik açısından önemli bir tehdit oluşturuyor. Kullanıcılar, tarayıcılarında bulunan çeşitli uzantılara güvenerek günlük işlemlerini kolaylaştırıyorlar; ancak kötü amaçlı yazılımlar, uzantılar aracılığıyla sistemlere sızarak kişisel verilere ulaşabiliyor. Bu durum, yalnızca bireysel kullanıcılar için değil, kurumlar için de ciddi güvenlik açıklarına neden olabiliyor. Tarayıcı uzantıları, web deneyimini geliştiren ve kullanıcıların işlerini hızlandıran araçlar olsa da, yanlış ellerde potansiyel birer güvenlik riski haline gelebilirler. Tarayıcı uzantılarının sunduğu avantajların yanı sıra, kullanıcıların çevrimiçi güvenliklerini korumak için çeşitli önlemler almaları oldukça önemlidir.

Alınabilecek Güvenlik Önlemleri

• Yalnızca Güvenilir Kaynaklardan Uzantı İndirin: Chrome Web Mağazası dışında, şüpheli kaynaklardan uzantı yüklemekten kaçının. Resmi mağaza, uzantıların güvenliğini kontrol etmek için bir güvenlik inceleme sürecinden geçirir.
• Uzantıların İzinlerini Sıkı Takip Edin: Yüklediğiniz her uzantının erişim izinlerini dikkatle gözden geçirin. Uzantılar, sadece işlevlerini yerine getirebilmesi için gerekli izinlere sahip olmalıdır.
• Güncellemeleri Yapın: Tarayıcı ve uzantıların her zaman güncel sürümlerini kullanarak, yazılım hatalarından ve güvenlik açıklarından korunmaya çalışın. Güncel yazılımlar, yeni tehditlere karşı daha sağlam savunmalar sunar.
• Çift Faktörlü Kimlik Doğrulama (2FA) Kullanın: Özellikle önemli hesaplarda, yalnızca şifre ile değil, ikinci bir güvenlik katmanı ekleyerek (örneğin, telefon numaranızla gelen doğrulama kodu) hesap güvenliğini artırın.
• Uzantıların Veri İletişimlerini Denetleyin: Kötü amaçlı yazılımlar, uzantılar üzerinden kullanıcı verilerini sızdırabilir. Bu nedenle, uzantıların veri göndermediğinden ve sadece gerekli verileri topladığından emin olun.
• Düzenli Güvenlik Taramaları Yapın: Kullanıcı verilerinin korunması için, bilgisayarınızı ve uzantıları düzenli olarak antivirüs yazılımlarıyla tarayın. Ayrıca, kötü amaçlı uzantılar bulmak için tarayıcı uzantıları güvenlik araçları kullanabilirsiniz.

Operasyon PowerOFF: 27 DDoS Platformu Çökertildi Yüzlerce Müşteri Tespit Edildi

15 ülkeden kolluk kuvvetlerinin katılımıyla gerçekleştirilen “Operasyon PowerOFF”, 27 yasa dışı DDoS (Dağıtık Hizmet Engelleme) platformunun çökertilmesini sağladı. Europol öncülüğünde düzenlenen operasyon, DDoS saldırıları için kiralık hizmet veren bu platformların yöneticilerinin tutuklanmasına ve yüzlerce müşterisinin tespit edilmesine yol açtı. Bu platformlar, kullanıcıların ücret karşılığında hedeflere büyük ölçekli internet trafiği göndererek hizmet kesintileri yaratmasına olanak tanıyor. Yapılan tutuklamaların yanı sıra, yaklaşık 300 platform kullanıcısı tespit edilerek bazılarına uyarılar yapılırken, daha büyük suçlar işleyenler hakkında cezai işlem başlatıldı. Yetkililer, bu tür hizmetlerin siber tehditleri artırdığını ve kurumların savunma önlemleri alarak, ağlarını korumaları gerektiğini vurguladı.

Haberin devamı için tıklayınız.

Cyberwise Yorumu: DDoS saldırıları, hedef alınan bir ağ, sunucu veya servisi aşırı miktarda sahte trafik ile bombardımana tutarak hizmeti kesintiye uğratmayı amaçlayan siber saldırılardır. Bu tür saldırılar, çevrimiçi hizmetlerin çökmesine ve büyük iş kesintilerine yol açarak birçok büyük işletme ve devlet kurumu için önemli güvenlik tehditleri oluşturur. “Operasyon PowerOFF”, uluslararası işbirliğinin gücünü ve siber suçlarla mücadeledeki kararlılığı gözler önüne seriyor. 27 kiralık DDoS platformunun çökertilmesi ve çok sayıda suçlunun tutuklanması, siber suçlulara karşı önemli bir zaferdir. Ancak, siber suçluların gelişen teknikleri ve hızla değişen stratejileri göz önüne alındığında, bu tür operasyonların devam etmesi ve siber güvenlik önlemlerinin sürekli olarak güçlendirilmesi gelecekteki güvenlik ihlallerini önlemede kritik bir rol oynayacaktır.

DDoS saldırılarına karşı alınabilecek önlemler şunlardır:

• Gelişmiş Trafik İzleme ve Analiz Araçları Kullanmak: Web sitesi trafiğinizi sürekli izleyerek, olağan dışı anormal aktiviteleri hızlı bir şekilde tespit edip müdahale edebilirsiniz.
• DDoS Koruma Hizmetlerinden Yararlanmak: Cloudflare, Akamai gibi profesyonel DDoS koruma hizmetleri, saldırıları filtreleyerek ve trafiği yönlendirerek etkili bir koruma sağlar.
• IP Adresi Engellemeleri ve Trafik Sınırlamaları: Saldırganlardan gelen şüpheli IP adreslerini engelleyerek, zararlı trafik akışını kesebilirsiniz. Ayrıca, aşırı trafik girişini engellemek için IP tabanlı sınırlamalar uygulamak da faydalı olacaktır.
• İnternet Servis Sağlayıcıları (ISP) ile İşbirliği Yapmak: ISP’nizle iş birliği yaparak, DDoS saldırıları öncesi ve sırasında müdahale edebilir, saldırıyı kaynağında engellemeye çalışabilirsiniz.
• Sistem Yedekleme ve Felaket Kurtarma Planları Hazırlamak: Saldırı sonrası sisteminize hızlıca yeniden kavuşmak için verilerinizi düzenli olarak yedekleyin ve bir felaket kurtarma planı oluşturun.
• Tehlikeli Web Sitelerinden Uzak Durmak: DDoS saldırılarını kiralık olarak sağlayan şüpheli platformlara erişimden kaçının. Bu tür sitelerden gelen risklere karşı dikkatli olun.
• Çalışanlara Eğitim ve Farkındalık Sağlamak: Tüm çalışanlarınıza DDoS saldırıları hakkında eğitim vererek, olası bir saldırıya karşı nasıl hareket edeceklerini ve güvenlik önlemleri alacaklarını öğretebilirsiniz.