Blog
Veriler, ilk defa bu ay sosyal medyada ve hacker formlarında yer alan yeni bir hacker grubu olan "Belsen Group" tarafından sızdırıldı. Grup, kendilerini tanıtmak için bir Tor Web sitesi oluşturdu. Oluşturulan site üzerinden FortiGate cihazlarına ait verileri diğer tehdit aktörleri tarafından kullanılmak üzere ücretsiz olarak yayınladı.
Grup, siber suç forumlarının birinde FortiGate cihazlarına ait verileri kendilerini tanımak amacıyla ücretsiz yayınladıklarını belirten bir post paylaştı.
"Bu yılın başında bizim için olumlu bir başlangıç olarak ve grubumuzun adını hafızanızda sağlamlaştırmak adına ilk resmi operasyonumuzu duyurmaktan gurur duyuyoruz:
15.000'den fazla hedefe ait hassas veriler yayınlanacak dünya çapında (hem devlet hem de özel sektör) saldırıya uğrayan ve verileri çıkarılan kişiler"
Sızdırılan FortiGate verileri, ülkeye göre sınıflandırılmış klasörleri içeren 1,6 GB'lık büyük bir arşivden oluşuyor. Zira, arşivin içinde bulunan dosyaların genelinin text dosyası olaması 1,6 GB'lık bir büyüklüğün aslında ne kadar fazla veri barındırdığın ürkütücü bir delilidir. Ülkelere ait bu klasörlerin içinde ise, o ülkeye ait FortiGate cihazlarının IP adreslerine göre alt klasörler bulunuyor. Belsen Group, tehdit aktörleri için oldukça kolaylaştırcı bir çalışma yapmış gözüküyor.
Siber güvenlik uzmanı Kevin Beaumont'a göre, her IP adresine ilişkin klasörde “configuration.conf” (Fortigate yapılandırma dökümanı) ve “vpn-passwords.txt” dosyası bulunuyor. Bazı şifrelerin ise düz metin halinde olduğunu, yapılandırmalar için ayrıca özel anahtarlar (private keys) ve güvenlik duvarı (firewall) kuralları gibi hassas bilgileri de içeriyor.
Beaumont, "Kurban kuruluşundaki bir cihazda olay müdahalesi yaptım ve istismar gerçekten de cihazdaki yapılara dayalı olarak CVE-2022-40684 aracılığıyla gerçekleştirilmiş. Ayrıca dökümde görülen kullanıcı adlarının ve şifrenin eşleştiğini de doğrulayabildim. Verilerin Ekim 2022'de 0day güvenlik açığı olarak toplandığı görülüyor. Bazı nedenlerden dolayı, config'in veri dökümü 2 yıldan biraz daha uzun bir süre sonra bugün yayınlandı." diye açıklıyor.
2022'de Fortinet, tehdit aktörlerinin hedeflenen FortiGate cihazlarından yapılandırma dosyalarını indirmek ve ardından "fortigate-tech-support" adı verilen kötü amaçlı bir super_admin hesabı eklemek için CVE-2022-40684 olarak izlenen zero-day açığının kullandığı konusunda uyardı.
Beaumont, FortiGate yöneticilerinin sızıntının kendilerini etkileyip etkilemediğini bilmesi için sızıntıdaki IP adreslerinin bir listesini yayınlamayı planladığını belirtti.
Alman haber sitesi Heise, veri sızıntısını analiz etti. Analize göre sızıntıdaki bahsi geçen verilerin 2022'de toplandığını ve tüm cihazların FortiOS donanım yazılımı 7.0.0-7.0.6 veya 7.2.0-7.2.2'yi kullandığını söyledi.
“Tüm cihazlar FortiOS 7.0.0-7.0.6 veya 7.2.0-7.2.2 ile donatılmıştı, çoğu da 7.2.0 sürümüne sahipti. Bilgisi sızdırılan cihazların arsında 3 Ekim 2022 tarihinde yayınlanan 7.2.2 sürümünden daha yeni bir FortiOS sürümüne sahip cihaz bulamadık."
DrDisk Lab siber güvenlik uzmanları paylışan verilerin sahte mi yoksa gerçek bir sızıntı mı olduğu hakkkında yapılan analizler sonucunda verinin doğruluğunu belirlemiştir.
Sızıntıdaki verilerin ücretsiz bir şekilde yayınlanmış olmasıyla birlikte, verilere artık erşimin çok daha kolay olduğunu görebiliyoruz. Her ne kadar bu verilerin 2022 0day açığıyla toplanmış olması ve bahsi geçen zaafiyetin Fortinet tarafından yayınlanan yeni FortiOS sürümü ile giderilmesi siber güvenlik noktasında sorunların çözüldüğü anlamına gelmiyor. Zira kullanıcılar söz konusu güncellemenin yapılıp yapılmadığını takip etmemiş ve sistemlerini henüz güncelleme yapmamışlar ise, yazının konu aldığı muhtemel kurbanlardan birisi olmalarının an meselesi olduğunu söylemek, pek de abartılı bir ifade olmaz.
Yukarıda paylaştığımız ve DrDisk Lab Siber güvenlik uzmanlarının çalışmaları neticesinde elde edilen bilgiler, veri sızıntısında yer alan IP adreslerinde bulunan cihazlarda 2 yıl önce yapılan güncelleme ile bertaraf edilen zafiyetin bu güncellemeyi henüz almamış cihazlarda devam ettiğini gözler önüne sermektedir. Firewall cihazlarınız, sadece elektrik faturasına katkı sağlasın istemiyorsanız, onları güncel tutmak zorunda olduğunuz gerçeğini atlamamalısınız. 2 sene önceki VPN erişim bilgilerini ve Firewall kurallarını kullanmaya devam eden sistemlerin, sızdırılan bu verileri kullanacak olası tehdit aktörlerinin saldırılarına karşı savunmasız olduğunu belirtmek isteriz. Bu durum söz konusu cihazlardan sorumlu olan IT yöneticileri için önem arz etmektedir.
Kaynakça:
BleepingComputer. (2025). Hackers leak configs and VPN credentials for 15,000 FortiGate devices. -Lawrence Abrams Erişim adresi:
Fortinet. (2022). CVE-2022–40684 Güvenlik Duyurusu.
Heise. (2025). FortiGate Veri Sızıntısı Analizi.
2022 zero day was used to raid Fortigate firewall configs. Somebody just released them. - Kevin Beaumont Erişim Adresi:
HDD hata yönetimi, sabit disklerin uzun süre güvenilir bir şekilde çalışmasını sağlamak için kullanılan yöntemler bütünüdür. Bu yöntemler, disk üzerindeki hataları tespit edip düzeltmeyi veya yönetmeyi hedefler. HDD hata yönetimi kapsamında sıkça karşılaşılan iki önemli liste, P-List (Primary Defect List) ve G-List (Growth Defect List), diskteki hatalı sektörlerin yönetilmesinde kritik rol oynar
HDD Hata Yönetimi Teknikleri
P-List (Primary Defect List)
G-List (Growth Defect List)
P-List ve G-List Karşılaştırması
P-List, G-List ve Yedek Sektörlerin Önemi
Öneriler
P-List ve G-List yönetimi, HDD’nin güvenilirliğini ve kullanım ömrünü artırır. Kullanıcıların SMART raporlarını, yedek sektörlerin kullanımını ve G-List büyüklüğünü belli periyotlarla takip etmeleri veri bütünlüğü ve güvenliği açısından önemlidir. G-List büyümeye devam ederse veya yedek sektörler tükenmeye yaklaşırsa, diski değiştirmek veya kapsamlı bir yedekleme stratejisi uygulamak gerekecektir.
İş bu yazının hazırlanmasında " CYFIRMA tarfından hazırlanan "TRACKING RANSOMWARE : DECEMBER 2024" başlılı blog yazısından yararlanılmıştır.
Bilgi güvenliği ekosistemi, her geçen gün yeni tehditlerle ve saldırı teknikleriyle karşı karşıya kalmaktadır. Özellikle fidye yazılımları (ransomware) hem kurumsal hem de bireysel düzeyde önemli kayıplara yol açabilmektedir
Aralık 2024 dönemine dair yapılan bir incelemede; büyük çaplı saldırılar, yeni ortaya çıkan tehdit aktörleri ve saldırı tekniklerindeki dönüşüm dikkat çekici seviyelere ulaşmıştır. Bu blog yazısında, söz konusu dönemde tespit edilen eğilimler, yeni fidye yazılım gruplarının yöntemleri, etkilenen sektör ve ülkeler ile güvenlik önlemleri detaylı şekilde ele alınacaktır.
Aralık 2024’te önceki aya göre fidye yazılımı saldırılarında genel bir düşüş yaşansa da (yaklaşık %12,38 oranında), bu durum saldırıların nitelik ve kapsamındaki çeşitliliği azaltmamıştır Yapılan analizler, özellikle yıl sonu ve yeni yıla geçiş döneminde çevrimiçi alışveriş ve etkileşimlerin artmasıyla saldırı vektörlerinin daha farklı şekillerde kullanılabileceğini öngörmektedir
Bu raporda öne çıkan bir diğer husus ise çeşitli fidye yazılım gruplarının saldırı sayılarına yansıyan dalgalanmalardır. Örneğin “Cl0p” grubunun kurban sayısının 0’dan 68’e fırlaması, fidye yazılım saldırılarının potansiyel olarak ne kadar hızlı büyüyebileceğini gözler önüne sermektedir . Bununla birlikte “RansomHub” ve “Akira” gibi gruplarda dikkate değer bir düşüş kaydedilirken, “Funksec” adlı yeni bir oluşum 50 vakayla adeta sahneye hızlı bir giriş yapmıştır .
Aralık 2024 döneminde üretim (manufacturing) sektörü yine en yüksek saldırı oranına sahip olsa da (77 vaka), bir önceki aya göre %14,4’lük bir düşüşle dikkat çekmektedir. Sağlık, e-ticaret, hızlı tüketim ürünleri (FMCG) ile bankacılık ve finans sektörlerinde ise artışlar gözlenmiştir. Bu artışların, ilgili sektörlerin dijital dönüşüm hızının yüksek olması ve hassas veri barındırma oranının giderek yükselmesiyle bağlantılı olduğu düşünülmektedir.
Coğrafi açıdan bakıldığında, Aralık 2024’te en çok etkilenen ülke %53,30 oranla Amerika Birleşik Devletleri olmuştur. İkinci sırada Kanada (%5,65), üçüncü sırada ise Hindistan (%3,95) gelmektedir. Almanya ise Avrupa’daki endüstriyel faaliyetlerin yoğunluğu nedeniyle %2,64’lük payına rağmen dikkat çekici bir hedef konumundadır.
Raporda “Funksec” ve “Bleubox” isimli iki yeni grubun sahneye çıktığı vurgulanmaktadır (CYFIRMA, 2024, s. 8). Funksec, özellikle VMware ESXi hiper yönetici katmanlarını ve Windows sunucularını hedef alarak kısa sürede 50 kurban listelemiştir. Bleubox ise kurbanlarına ait verileri sızdırmakla tehdit eden bir veri sızıntı sitesi (data-leak site) üzerinden faaliyet göstermektedir.
Bunun yanı sıra, daha önce de bilinen ve aktifliğini koruyan “Cl0p” ransomware grubu; Cleo Harmony, VLTrader ve LexiCom gibi yazılımlar üzerinde tespit edilen (zero-day) açıklarını kullanarak veri hırsızlığı ve uzaktan kod çalıştırma senaryoları geliştirmektedir. Cl0p, daha önce MOVEit Transfer ve GoAnywhere MFT platformlarını hedef almasıyla da tanınmaktaydı. Aynı raporda, bu gibi saldırılarda “Malichus” adlı arka kapı (backdoor) yazılımı kullanıldığı ve bunun verileri çalma, komut yürütme gibi çok çeşitli kabiliyetlere sahip olduğu belirtilmektedir.
Bir diğer dikkat çekici nokta, “Black Basta” fidye yazılımının özellikle e-posta saldırısı (email bombing) ve sosyal mühendislik yöntemlerine odaklanmasıdır. Rapordan yer alan bilgilere göre saldırganlar, hedef kitlenin e-posta kutusunu aşırı derecede gelen mesajla doldurup, ardından Microsoft Teams gibi kurumsal haberleşme araçları üzerinden “IT destek” rolünde iletişime geçmektedir. Böylelikle kurbanı, “AnyDesk” ve “Quick Assist” gibi uzaktan erişim araçlarını kurmaya ikna etmekte ve güvenlik duvarının içinden sızma imkânı elde etmektedirler. Ardından “Zbot” ve “DarkGate” gibi kötü amaçlı yazılımlarla ağ keşfi, kimlik bilgisi toplama ve veri sızdırma süreçleri çok hızlı ve organize bir şekilde yürütülmektedir
Bu yaklaşım daha önce sıkça görülen botnet temelli klasik saldırı vektörlerine kıyasla daha “hibrit” bir model ortaya koymaktadır. Sosyal mühendislik marifetiyle kurulan güven ortamı, alışılagelmiş zararlı yazılımların hızlı etkisiyle birleşince saldırganların hedefleri üzerinde anlık ve geniş ölçekli başarı sağlamasını kolaylaşmaktadır.
Yapılan araştırmalara göre, fidye yazılım saldırılarına uğrayan işletmelerin yaklaşık %31’i, operasyonlarını en azından bir süreliğine durdurmak zorunda kalmaktadır. Bu durumun ardında yatan ana neden, kritik verilerin şifrelenmesi ve/veya sunucu altyapısının kullanılmaz hâle gelmesi olarak ifade edilmektedir. Aynı zamanda %40 oranında işletmenin personel azaltmaya gitmesi ve %35 seviyesinde yönetici kademelerinde istifaların yaşanması, saldırıların yalnızca teknik değil, kurumsal kültür ve iş gücü bakımından da ciddi sonuçlar doğurduğuna işaret etmektedir .
Özellikle küçük ve orta ölçekli işletmelerin (KOBİ) bu gibi ataklara karşı daha savunmasız olduğu, saldırı sonucunda **iflas etme **veya tamamen kapanma ihtimallerinin son derece yüksek olduğu da raporda dile getirilmiştir. Burada belirtilen %75’lik oran, siber suçluların KOBİ’lere dönük saldırılarını artırabileceğine dair ciddi bir uyarı niteliğindedir (CYFIRMA, 2024, s. 10).
Geleceğe Yönelik Öngörüler ve Temel Tavsiyeler • Yama Yönetimi (Patch Management) ve Zafiyet Takibi: Rapora göre fidye yazılım grupları, Apache ActiveMQ gibi yaygın kullanılan platformlardaki CVE-2023-46604 ve Cleo Harmony paketlerindeki CVE-2024-50623 gibi zafiyetleri son derece hızlı biçimde istismar etmektedir (CYFIRMA, 2024, s. 5, 7). Bu nedenle yazılımların güncel tutulması ve güvenlik yamalarının gecikmaksızın uygulanması kritik önem taşır. • Sosyal Mühendisliğe Karşı Farkındalık: Black Basta örneğinde görüldüğü gibi, saldırganlar kurbanların güvenini kazanmak için çok katmanlı sosyal mühendislik taktikleri uygulamaktadır. Kurum içi eğitimlerin düzenli yapılması, çalışanların beklenmedik istekler ya da kimlik doğrulama yöntemleri karşısında şüpheci olmaları gerektiğinin anlatılması önemlidir (CYFIRMA, 2024, s. 6). • Incident Response ve İş Sürekliliği Planlaması: Bir fidye yazılım saldırısı sırasında ve sonrasında işletmenin hızla toparlanabilmesi için olay müdahale planlarının (IRP) düzenli olarak test edilmesi, yedekleme politikalarının doğru kurgulanması ve yönetilmesi hayati rol oynamaktadır (CYFIRMA, 2024, s. 13). • Kurumsal Yönetişim ve Denetim Mekanizmaları: Özellikle büyük şirketlerde veri güvenliği, sadece BT ekiplerinin değil, aynı zamanda üst yönetimin de sorumluluğu altında olmalıdır. Yüksek seviyede güvenlik yönetişimi ve düzenli denetim raporlamaları, olası zayıf noktaların hızlı tespit ve giderilmesine destek olur (CYFIRMA, 2024, s. 12-13).
##Sonuç Aralık 2024 döneminde nispeten azalma eğilimi gözlemlense bile fidye yazılım saldırıları, hem taktiksel hem de stratejik boyutlarda ciddi tehdit oluşturmaya devam etmektedir. Cl0p’un sıfır gün açıklarını kullanarak gerçekleştirdiği saldırılar, Black Basta’nın sosyal mühendislikteki yenilikçi yöntemleri ve Funksec ile Bleubox gibi yeni aktörlerin süratle sahaya girmesi, fidye yazılım ekosisteminin hiç durmadan evrildiğini ortaya koymaktadır (CYFIRMA, 2024, s. 3, 6, 8).
Bu bağlamda, kuruluşların proaktif savunma politikalarına yönelmesi, zafiyet yönetimi süreçlerini aksatmadan yürütmesi ve siber farkındalığı sürekli güncel tutması önemli bir gereklilik haline gelmiştir.
Kaynakça; CYFIRMA. (2024). Tracking Ransomware – December 2024. (s. 1–14).