Giriş:
CL0P ransomware grubunun son dönemlerde kritik altyapı sektörlerine yönelik saldırılarında büyük bir artış yaşanmaktadır. Özellikle, telekomünikasyon ve sağlık kuruluşları dünya genelinde veri ihlalleri ve sistem şifrelemeleri ile karşı karşıya kalmaktadır. Bu yazıda, CL0P’un kullandığı tekniklerin detayları, bu saldırıların nasıl gerçekleştiği ve alınması gereken önlemler ele alınacaktır.
Teknik Açıklamalar:
CL0P ransomware grubu, son saldırılarında Cleo entegrasyon yazılımındaki (CVE-2024-50623) sıfır günü güvenlik açığını kullanarak 2025 Şubat ayında 80’den fazla kurumu hedef aldı. Cleo’nun LexiCom, VLTrader ve Harmony platformlarındaki bu zafiyet, sağlık verisi entegrasyonu ve telekom faturalama sistemlerinde yaygın olarak kullanılmaktadır.
Saldırı zinciri genellikle şu adımları takip eder:
1. Cleo yazılımındaki güvenlik açığı kullanılarak sisteme sızma.
2. Kullanıcı kimlik bilgilerini toplama (credential harvesting).
3. 72-96 saat boyunca veri sızdırma işlemleri.
4. Hedefe özel RSA açık anahtarlarını içeren dosya şifreleme payload’larının dağıtılması.
Bu saldırıların amacı, hasta kayıtları, faturalama sistemleri ve ağ yapılandırma verileri gibi hassas bilgileri çalmak ve ardından hedeflerine veri şantajı yapmaktır.
Örnekler:
Saldırının bir örneği olarak, attacker’ların yedekleme süreçlerini durdurmak amacıyla kullandıkları bazı komutlar şunlardır:
! taskkill /IM powerpnt.exe /F
! net stop BackupExecAgentBrowser /y
! vssadmin delete shadows /all /quiet
Bu komutlar, saldırganların veri kurtarma süreçlerini engellemek için sistem üzerinde ciddi değişiklikler yapmasına olanak tanır.
Önlemler & En İyi Uygulamalar:
CISA, Cleo yazılımının 5.8.0.21 sürümüne hemen güncellenmesini önermektedir. Ancak, resmi düzeltmeler için geçici çözümlerin mevcut olduğu belirtilmektedir.
Ayrıca, sistem yöneticilerinin aşağıdaki önlemleri alması önemlidir:
– vssadmin resize shadowstorage komutlarını izlemek.
– hiperdhaus.com gibi bilinen CL0P komut ve kontrol alanlarına yönelik TLS trafiğini takip etmek.
– Yazılım güncellemelerini düzenli olarak kontrol etmek ve uygulamak.
– Verilerin yedeklenmesi ve yedekleme sistemlerinin güvenliğinin sağlanması.
Sonuç & Özet:
CL0P ransomware grubunun son saldırıları, kritik altyapı sektörlerinde karşılaşılan sistemik tehlikeleri gözler önüne sermektedir. Cleo yazılımındaki zafiyetler ve saldırganların benimsediği yeni taktikler, bu tür saldırıların nasıl yapıldığına dair önemli bir uyarı niteliği taşımaktadır. Sistem yöneticilerinin ve kuruluşların bu tür tehditlere karşı hazırlıklı olmaları, etkili güvenlik stratejileri benimsemeleri ve yazılımlarını güncel tutmaları zorunludur.
Kaynakça:
Cyber Security News – CL0P Ransomware Attacking Telecommunications & Healthcare Sectors In Large Scale [link](https://cybersecuritynews.com/cl0p-ransomware-attacking-telecommunications/)
About the Author
