Google, farklı sektörlerden büyük ölçekli kurumların üst düzey yöneticilerini hedef alan ve Oracle’ın E-Business Suite platformu üzerinden kritik verilerin sızdırıldığı iddiasıyla şantaj yapılan organize bir kampanya tespit ettiğini duyurdu. Google raporuna göre, 29 Eylül’den bu yana süren bu saldırılarda, yöneticilere finansal ve operasyonel nitelikte verilerin ele geçirildiğini öne süren tehdit içerikli e-postalar gönderiliyor. Oracle ise henüz konuya dair resmi bir açıklama yapmadı.
On Milyonlarca Dolarlık Fidye Talebi
Siber güvenlik firması Halcyon, ele geçirdiği bazı şantaj e-postalarında talep edilen fidye miktarlarının on milyonlarca doları bulduğunu açıkladı. Saldırganlar, hedef alınan yöneticilerin panik ortamında hızlı tepki vermesini amaçlayarak e-postalarda genellikle “verilerinizi sızdırmadan önce son uyarı” gibi ifadeler kullanıyor. Tehdit mesajları, hassas kurumsal verilerin ellerinde olduğu iddiasıyla yöneticileri yasa dışı ödeme yapmaya zorluyor.
Bu durum, Oracle’ın E-Business Suite yazılımının mali işlemlerden insan kaynakları yönetimine kadar çok geniş bir alanda kullanılması nedeniyle olası bir güvenlik ihlalinin küresel ölçekte büyük kurumsal sonuçlar doğurabileceği uyarısını beraberinde getiriyor.
Saldırıların Arkasında FIN11 Hacker Grubu Olabilir
Google’ın güvenlik birimi Mandiant ve Google Tehdit İstihbaratı Grubu (TAG) tarafından yapılan incelemeler, söz konusu şantaj kampanyasının arkasında FIN11 isimli hacker grubunun bulunabileceğine işaret ediyor. Daha önce finansal kazanç odaklı saldırılarla tanınan bu grup, özellikle Clop fidye yazılımı ile bağlantılı olmasıyla biliniyor.
Mandiant, saldırılarda kullanılan bazı e-posta adreslerinin Clop’a ait veri sızıntısı sitesinde de listelendiğini tespit etti. Ancak Google, şu ana kadar saldırganların gerçekten Oracle sistemlerinden veri sızdırdığına dair kesin bir kanıtın bulunmadığını özellikle vurguladı. Ayrıca Google TAG, saldırılarda kullanılan kötü amaçlı yazılımın türünü veya kaynağını henüz belirleyemediklerini ve kampanyanın en güçlü göstergesinin şantaj içerikli e-posta trafiği olduğunu ifade etti.
Kurumlar İçin Güvenlik Uyarıları
Google, şantaj içerikli e-posta alan kurumları derhal harekete geçmeye çağırdı. Alınması gereken acil önlemler şunlardır:
- Sistem İncelemesi: Kurumsal sistemlerin, özellikle Oracle E-Business Suite altyapısının derhal kapsamlı bir güvenlik incelemesine alınması.
- Hesap Denetimi: Yöneticilerin ve kritik pozisyondaki tüm kullanıcı hesaplarının kapsamlı bir güvenlik denetiminden geçirilmesi ve şifrelerin güncellenmesi.
- Genel Tehdit Farkındalığı: Bu tür saldırıların yalnızca Oracle altyapısıyla sınırlı olmadığı, benzer yöntemlerin başka kurumsal platformlarda da denenebileceği konusunda kurum içi farkındalığın artırılması.
Şantaj e-postası alan kurumlar, iddiaları doğrulamak için IT ve siber güvenlik ekipleriyle birlikte detaylı bir araştırma yapmalı ve fidye ödemekten kesinlikle kaçınmalıdır.
