TEKNOVYA

Teknoloji, İnovasyon ve Yapay Zeka Haberleri

Ana Sayfa/Siber Güvenlik
Siber Güvenlik6 dakika

FortiBleed Kimlik Avı Kampanyası, INC ve Lynx Fidye Yazılımı Çeteleriyle Bağlantılı Çıktı

T
Teknovya
Siber Güvenlik Editörü
12 gün önce
FortiGate Güvenlik Duvarı - FortiBleed Saldırısı

FortiGate Güvenlik Duvarı - FortiBleed Saldırısı

FortiBleed Kimlik Avı Kampanyasının Arkasındaki Fidye Yazılımı Bağlantısı Ortaya Çıktı

Siber güvenlik dünyasında önemli bir istihbarat raporu yayımlandı. SOCRadar'ın yürüttüğü kapsamlı araştırma, FortiBleed adıyla bilinen kimlik avı kampanyasının doğrudan INC ve Lynx fidye yazılımı çeteleriyle organik bir bağlantı içinde olduğunu gözler önüne serdi. Söz konusu kampanyanın 430.000'den fazla FortiGate güvenlik duvarını hedef aldığı ve VPN kimlik bilgilerini sistematik olarak ele geçirdiği belirlendi.

Araştırmacıların elde ettiği bulgulara göre, saldırganlar "FortiGate Sniffer" adını verdikleri özel bir paket koklama aracı geliştirmiş durumda. Bu özelleştirilmiş zararlı yazılım, ele geçirilen FortiGate cihazları üzerinden geçen VPN trafiğini gerçek zamanlı olarak analiz ederek kullanıcı kimlik bilgilerini, oturum anahtarlarını ve hassas kurumsal verileri sızdırıyor. Aracın geleneksel ağ izleme araçlarından farklı olarak FortiGate'in kendi protokol yapısına özgü optimize edildiği ifade ediliyor.

Nextcloud Sıfırıncı Gün Açığıyla Erişim Genişletiliyor

Kampanyanın teknik boyutunu daha da endişe verici kılan bir diğer detay, saldırganların daha önce kamuoyuna açıklanmamış bir Nextcloud sıfırıncı gün (zero-day) açığından faydalandığının tespit edilmesi. SOCRadar analistlerine göre bu güvenlik açığı, ilk erişimi elde eden saldırganların ağ içinde yatay hareket kabiliyetini önemli ölçüde artırmasına olanak tanıyor. Nextcloud platformunun birçok kurumsal ortamda dosya paylaşımı ve işbirliği amacıyla kullanılması, açığın potansiyel etki alanını genişletiyor.

INC ve Lynx fidye yazılımı operasyonlarının FortiBleed kampanyasıyla entegrasyonu, siber suç ekosisteminde giderek artan hizmet olarak saldırı (Cybercrime-as-a-Service) modelinin yeni bir örneği olarak değerlendiriliyor. İlk erişim aracıları (Initial Access Brokers) tarafından elde edilen VPN kimlik bilgilerinin, fidye yazılımı çetelerine doğrudan satıldığı veya operasyonel ortaklık çerçevesinde paylaşıldığı düşünülüyor. Bu durum, tek bir güvenlik açığının zincirleme saldırı senaryolarına nasıl dönüştüğünü çarpıcı biçimde ortaya koyuyor.

11.000 Cihaz Hâlâ Tehdit Altında

SOCRadar'ın raporunda en dikkat çekici istatistiklerden biri, kampanyanın aktif etkisinin devam ettiğini gösteriyor. Şu anda yaklaşık 11.000 FortiGate cihazının hâlâ ele geçirilmiş durumda olduğu ve bu cihazların VPN kimlik bilgilerini sızdırmaya devam ettiği bildiriliyor. 430.000'lik hedef kitlesinin bu kadar geniş olması, saldırının endüstriyel ölçekte yürütüldüğünü ve otomasyon araçlarının yoğun biçimde kullanıldığını gösteriyor.

Fortinet yönetimindeki güvenlik duvarlarını kullanan kuruluşların acil olarak aşağıdaki adımları değerlendirmesi öneriliyor:

Siber güvenlik uzmanları, FortiBleed kampanyasının kurumsal ağ güvenliği için ciddi bir uyarı niteliği taşıdığını vurguluyor. Tek bir güvenlik duvarı güvenlik açığının, fidye yazılımı operasyonlarına kadar uzanan çok katmanlı bir saldırı zincirine dönüşebileceğini gösteren bu olay, savunma stratejilerinin yalnızca çevresel güvenliğe değil, iç ağ segmentasyonuna ve sürekli izlemeye de odaklanması gerektiğini bir kez daha hatırlatıyor.

Kaynaklar

#FortiGate#Ransomware#INC Ransom#Lynx#Siber Güvenlik#FortiBleed

Yorumlar (0)

Henüz yorum yapılmamış.

Daha Fazlası: Siber Güvenlik