Yeni Fenomen: Mandiant ve Google’ın Takip Ettiği Şantaj Kampanyası
Son zamanlarda Mandiant ve Google, çok sayıda şirketin yöneticilerine yönelik yeni bir şantaj kampanyası takip ettiklerini duyurdu. Bu kampanya kapsamında yöneticilere gönderilen e-postalarda, Oracle E-Business Suite sistemlerinden hassas verilerin çalındığı iddiası öne sürülüyor. Genevieve Stark, GTIG Cybercrime ve Bilgi Operasyonları İstihbarat Analiz Bölümü Başkanı, kampanyanın Eylül ayının sonlarına doğru başladığını belirtti.
Kampanyanın Detayları
Stark, “Bu faaliyet 29 Eylül 2025’ten önce veya o tarihte başlamıştır. Ancak Mandiant’ın uzmanları, bu grubun yaptığı iddiaları henüz doğrulamış değildir,” dedi. Charles Carmakal, Mandiant’ın teknoloji sorumlusuna göre, gönderilen şantaj e-postaları, çok sayıda ele geçirilmiş e-posta hesabı üzerinden gönderilmektedir. “Şu anda yüzlerce ele geçirilmiş hesap üzerinden yüksek hacimli bir e-posta kampanyası gözlemliyoruz. İlk analizimiz, bu hesaplardan en az birinin, fidye yazılımı dağıtımı ve extorsiyon ile tanınan FIN11 olarak bilinen uzun süreli mali motive bir tehdit grubuyla ilişkili olduğunu doğrulamaktadır,” ifadesinde bulundu.
Mandiant ve GTIG, e-postaların Clop fidye yazılımı çetesi tarafından veri sızıntısı site üzerinde listelenen iletişim adreslerini içerdiğini raporladılar. Bu durum, şantaj grubuyla olası bir bağlantıyı gündeme getiriyor. Ancak, Carmakal, taktiklerin Clop’un önceki şantaj kampanyalarıyla benzerlik gösterdiği ve e-posta adreslerinin potansiyel bir bağlantı sağladığını belirtmesine rağmen, verilerin gerçekten çalınıp çalınmadığını belirlemek adına yeterli kanıt bulunmadığını vurguladı.
Örgütlerin Alması Gereken Tedbirler
Mandiant ve GTIG, bu tür e-postalar alan organizasyonların, Oracle E-Business Suite platformlarında olağandışı erişim veya bir komprmasyon olup olmadığını araştırmaları gerektiğini öneriyor. Şirketlerin bu tehdidi değerlendirme ve önleme adına atması gereken adımlar oldukça kritiktir. Örneğin, sistem güncellemelerinin, güvenlik yamalarının zamanında uygulanması ve kullanıcı eğitimlerinin yapılması, bu tür saldırılara karşı alınacak en etkili önlemler arasında yer alıyor.
Clop Şantaj Çetesi Nedir?
Clop fidye yazılımı operasyonu, TA505, Cl0p ve FIN11 olarak da takip edilmektedir. Bu çete, 2019 Mart ayında CryptoMix fidye yazılımı varyantını kullanarak işletme ağlarını hedef almaya başladı. Fidye yazılımı çeteleri gibi Clop üyeleri de, şirket ağlarına sızıp veri çalmakta ve ardından sistemleri şifreleyerek fidye talebinde bulunmaktadır. Çalınan veri ve şifrelenmiş dosyalar, şirketleri şantaja zorlamak için kullanılmaktadır.
Clop grubu, 2020 yılından itibaren güvenli dosya transfer platformlarındaki sıfır gün zafiyetlerini istismar ederek veri çalmaya yöneldi. Grubun dikkat çeken bazı saldırıları arasında, Ekim 2024’te iki tane Cleo dosya transfer sıfır gün (CVE-2024-50623 ve CVE-2024-55956) kullanarak veri çalması yer almakta. Bu tür saldırılar, giderek artan bir tehdit olarak öne çıkıyor.
Sonuç Olarak Taktikler ve Önlemler
Bu tür fidye yazılımı ve şantaj kampanyaları, gibisi görülmemiş bir hızla artarken, organizasyonların güvenlik stratejilerini güçlendirmesi kritik önem taşıyor. Mandiant ve GTIG gibi güvenlik firmalarının sağladığı bilgiler, saldırılar karşısında daha donanımlı hale gelinmesine yardımcı olabilir. Kuruluşların, şantaj ve fidye yazılımı ile ilgili riskleri yakından takip etmeleri ve gerekli önlemleri almaları bir zorunluluk haline gelmiştir. Oracle gibi önde gelen firmalar ile iletişime geçerek verilerinizi korumanız, olası tehditlerle baş edebilmeniz için önemli bir adımdır. Bu tür olaylar karşısında daha temkinli yaklaşarak, siber güvenlik risklerini minumum düzeye indirmek mümkündür.
