Fintech, Log4j Saldırısı İçin 5 Milyon Dolarlık Fidye Ödemesini Reddetti

Vietnam’ın en büyük kripto ticaret platformlarından biri olan ONUS, yakın zamanda savunmasız bir Log4j sürümünü çalıştıran ödeme sistemine yönelik bir siber saldırıya uğradı.

Çok geçmeden, tehdit aktörleri ONUS’a 5 milyon dolarlık fidye teklifinde bulundu ve ONUS’un fidyeyi reddetmesine karşılık müşteri verilerini yayınlamakla tehdit etti.

Şirketin fidye ödemeyi reddetmesinin ardından, tehdit aktörleri, forumlarda satışa sunulan yaklaşık 2 milyon ONUS müşterisinin verilerini yayınladı.

Ödeme Yazılımı, Güvenlik Açığı Bulunan Bir Log4j Sürümünü Çalıştırdı

9 Aralık’ta Log4j güvenlik açığı için PoC açığı GitHub’a sızdırıldı. Ve bu, savunmasız sunucular için interneti toplu olarak taramaya başlayan fırsatçı saldırganların dikkatini çekti.

11-13 Aralık arasında, tehdit aktörleri ONUS’un Cyclos sunucusundaki Log4Shell güvenlik açığından başarıyla yararlandı ve sürekli erişim için arka kapılar yerleştirildi.

Cyclos 13’ünde bir tavsiye yayınlamış ve bildirdiğine göre ONUS’a sistemlerini düzeltmesi için bilgi vermiş olsa da, artık çok geçti.

Sızdırılan veri tabanları , E-KYC(Müşterilerinizi Tanıyın) verileri, kişisel bilgiler ve hashlenmiş şifreler dahil olmak üzere yaklaşık 2 milyon müşteri kaydını içeriyordu.

İlginç bir şekilde, Log4Shell güvenlik açığı” yalnızca programlama amacıyla” kullanılan bir sanal alan sunucusunda mevcuttu, ancak sistemde bir yanlış yapılandırma nedeniyle saldırganların üretim verileriyle hassas veri depolama konumlarına(Amazon S3 buckets) daha fazla erişmesine izin verdi.

ONUS, daha sonra fidyeyi reddettikleri bildirdi. Bunun yerine şirket, saldırıyı özel bir facebook grubu ile müşterilerine açıklamayı seçti. ONUS CEO’su Chien Tran,” Güvenliği ilk sıraya koyan bir şirket olarak , müşterilerimize ticari operasyonlarda şeffaflık ve dürüstlük sağlamayı taahhüt ediyoruz. Bu nedenle, dikkatli bir şekilde değerlendirdikten sonra, yapılacak en doğru şey , tüm ONUS topluluğunu bu konu hakkında bilgilendirmek.”

Yanlış Yapılandırılmış Amazon S3 Paketleri

Hack’in kendisi, tek başına bir Log4j sorunundan biraz daha fazlasıdır. Log4j, saldırganların giriş noktası olabilir, ancak ONUS’un Amazon S3 kovanlarındaki uygunsuz erişim kontrolü, saldırganların gereksiz erişimine izin verdi.

ONUS, “Bilgisayar korsanı, korumalı alan sunucusuna girmek için ONUS sistemindeki bir dizi kitaplıktaki bir güvenlik açığından yararlandı(yalnızca programlama amacıyla). Ancak bir yapılandırma sorunu nedeniyle bu sunucu, kötü adamların veri depolama sistemimize (Amazon S3) erişmesine izin veren ve bazı önemli verileri çalan bilgiler içeriyor. Bu, çok sayıda kullanıcının kişisel bilgilerinin sızdırılmasına yol açıyor.

Tehdit aktörleri tarafından alınan müşteri bilgileri şunları içeriyor:

ONUS’a hizmet veren siber güvenlik firması CyStack, kapsamlı bir soruşturma yürüttü. Saldırganların yerleştirdiği saldırı mekanikleri ve arka kapıyla ilgili bulguları yayınladı.

2 Milyona Yakın Müşteri Kaydı Satışa Çıktı

25 Aralık’a kadar, ONUS’tan fidyeyi almayı başaramayan tehdit aktörleri, BleepingComputer tarafından görüldüğü gibi müşteri verilerini bir veri ihlali pazarında satışa çıkardı:

Yaklaşık 2 Milyon ONUS Müşterisinin Verileri

Saldırganlar, müşterilerin kişisel bilgileri ve şifreleri ile 395 ONUS veritabanı tablosunun kopyalarına sahip olduklarını iddia ediyor.

Örnekler ayrıca müşterilerin kimlik kartlarının, pasaportlarının ve KYC süreci sırasında temin edilen müşteri tarafından gönderilen video selfie kliplerinin resimlerini de içeriyor.

Saldırganların Sahip olduğunu İdda Ettiği Müşteri Verilerinden Alıntılar

ONUS, “İçtenlikle özür diliyor ve anlayışınızı umuyoruz. Bu aynı zamanda , özellikle VNDC’den ONUS’ geçis sırasında kullanıcılarımızın güvenliğini sağlamak için kendimizi gözden geçirme , sistemi yükseltme ve daha da mükemmelleştirme fırsatıdır.”

Conti fidye yazılım çetesinin, istismar için savunmasız VMWare vCenter sunucularını izlediği de görüldü.

Log4j kullanıcıları, dün yayınlanan en son sürüm2.17.1’e (Java 8 için) hemen yükseltme yapmalıdır. Düzeltmeyi içeren backported 2.12.4(Java 7) ve 2.3.2 (Java 6) sürümleri kısa süre içerisinde yayınlanması bekleniyor.

Kaynak : bleepingcomputer.com

Exit mobile version