Yeni Bir Zorbalık Kampanyası: Mandiant ve Google’ın Uyarısı
Son dönemde, Mandiant ve Google, birçok şirketin yöneticilerine ulaşan bir zorbalık kampanyası hakkında bilgi paylaştı. Yöneticilere gönderilen e-postalarda, Oracle E-Business Suite sistemlerinden hassas verilerin çalındığı iddia ediliyor.
GTIG’nin Siber Suç ve Bilgi Operasyonları İstihbarat Analiz Başkanı Genevieve Stark, bu kampanyanın Eylül ayının sonlarına doğru başladığını belirtti. Stark, “Bu aktivite, 29 Eylül 2025’ten önce veya o tarihte başladı, ancak Mandiant’ın uzmanları hâlâ birden fazla soruşturmanın erken aşamalarındadır ve bu grubun yaptığı iddiaları henüz doğrulamış değiller,” dedi.
Gözlemler ve Uyarılar
Mandiant’in CTO’su Charles Carmakal, zorbalık e-postalarının, çok sayıda ele geçirilmiş e-posta hesabından gönderildiğini açıkladı. “Şu anda, yüzlerce ele geçirilmiş hesaptan başlatılan yüksek hacimli bir e-posta kampanyasını gözlemliyoruz ve ilk analizimiz, bu hesaplardan en az birinin daha önce FIN11 olarak bilinen, fidye yazılımı dağıtımında uzmanlaşmış bir tehditle ilişkilendirildiğini onaylıyor,” şeklinde konuştu.
Mandiant ve GTIG, gönderilen e-postaların içeriğinde, Clop fidye yazılımı çetesinin veri sızıntısı sitesinde yer alan iletişim adreslerinin bulunduğunu bildirdi. Bu durum, zorbalık grubuyla olası bir bağlantıyı işaret ediyor. Ancak, Carmakal, taktiklerin Clop’un önceki zorbalık kampanyalarıyla benzer olduğunu ve e-posta adreslerinin olası bir bağlantı gösterdiğini söylüyor; fakat verilerin gerçekten çalınıp çalınmadığını belirlemek için yeterli kanıt bulunmadığını da vurguladı.
Kuruluşların Alması Gereken Önlemler
Mandiant ve GTIG, bu e-postaları alan kuruluşların, Oracle E-Business Suite platformlarındaki olağandışı erişim veya kompromize durumları incelemelerini öneriyor. Bu tür durumlar, şirketlerin verilerini korumak adına ciddi bir risk oluşturuyor.
BleepingComputer, Clop fidye yazılımı çetesine bu zorbalık e-postalarının arkasında olup olmadıklarını doğrulamak için ulaştı, ancak şu ana kadar bir yanıt alınamadı. Ayrıca, Oracle’a, veri çalınmasına neden olabilecek herhangi bir sıfır gün güvenlik açığı hakkında bilgi sahibi olup olmadıklarını sormak üzere de iletişim kuruldu.
Clop Fidye Yazılımı Çetesi Kimdir?
Clop fidye yazılımı operasyonu, başka isimlerle de bilinir. Bunlar arasında TA505, Cl0p, ve FIN11 yer alır. Clop, 2019’un Mart ayında kurumsal ağları hedef alan CryptoMix fidye yazılımı versiyonuyla faaliyetlerine başladı.
Diğer fidye yazılımı çeteleri gibi, Clop üyeleri de kurumsal ağlara sızar, verileri çalar ve sistemleri şifrelemek amacıyla fidye yazılımı dağıtır. Çalınan veriler ve şifrelenen dosyalar, şirketleri fidye talebinde bulunarak iletişim sağlamaya zorlamak için kullanılır.
Bu grubun bilinen bazı saldırı örnekleri arasında, Ekim 2024’te iki adet Cleo dosya aktarımı sıfır gün güvenlik açığı (CVE-2024-50623 ve CVE-2024-55956) ile gerçekleştirdiği veri hırsızlığı ve zorbalık bulunuyor.
ABD Dışişleri Bakanlığı, Clop’un fidye yazılımı faaliyetlerini bir yabancı devletle ilişkilendiren bilgilere yönelik 10 milyon dolar ödül sunmaktadır.
Siber Güvenlikte Son Durum
Günümüzde, siber güvenlik tehditleri hızla artmaktadır. Kuruluşlar, bu tür kampanyalara karşı hazırlıklı olmalı ve güvenlik politikalarını sürekli olarak gözden geçirmelidir. Kullanıcıların, e-posta iletişimi sırasında herhangi bir şüpheli durumu fark ettiklerinde, derhal güvenlik ekipleriyle iletişime geçmesi büyük önem arz etmektedir.
Siber suçların giderek yaygınlaştığı günümüzde, veri güvenliği sağlamak adına bir dizi katmanlı güvenlik önlemi almak şarttır. Modern teknoloji ile birlikte gelişen tehditleri göz önünde bulundurursak, siber güvenlik stratejileri sürekli olarak güncellenmeli ve iyileştirilmelidir. Çeşitli güvenlik çözümleri kullanarak, şirketler bu tür tehditleri minimize edebilir ve iş sürekliliğini sağlayabilir.
Unutulmamalıdır ki, siber güvenlikte önleyici tedbir almak, bir krizin önlenmesinde sonsuz önem taşımaktadır. Kuruluşlar, çalışanlarını bu konuda eğiterek, bilinçli bir siber güvenlik ortamı yaratmalıdır.
