2024’te siber saldırılar tüm sektörleri tehdit etmeye devam etti. Kuruluşlarda ve kritik hizmetlerde önemli aksamalara yol açtı. Önceki yıllarda olduğu gibi, bilgisayar korsanları tarafından büyük miktarda kişisel veri çalındı. Yayınlanan bilgi güvenliği haberlerinden veri kaybı, kurtarma maliyetleri, gerçek dünya etkileri ve daha geniş jeopolitik çıkarımlar gibi faktörlere dayanılarak 2024’ün en önemli siber saldırı seçilmiştir ve ilk bildirildiği tarihe göre sıralanmıştır.
LoanDepot Saldırısı
8 Ocak’ta, Amerika’nın en büyük ipotek kredisi verenlerinden olan LoanDepot, önemli bir fidye yazılımı saldırısına uğradığını ve bazı sistemlerini çevrimdışı bırakmak zorunda kaldığını açıkladı. Bu, bazı müşterilerin geçici olarak ipotek ödemelerini yapamamasına neden oldu. LoanDepot, 22 Ocak’ta yaptığı bir açıklamada olayda yaklaşık 16,6 milyon müşterisinin kişisel bilgilerinin çalındığını doğruladı. Bunlara Sosyal Güvenlik ve finansal hesap numaraları da dahildi. Şirketin ağustos ayında yayınladığı bir finansal raporda kurtarma maliyetleri, düzeltmeler, müşteri bildirimleri, anlaşmalar ve yasal ücretler içeren olayın 26,9 milyon dolar mal olduğunu ortaya konuldu.
Ivanti
2024’ün başlarında araştırmacılar, Ivanti ürünlerinde bulunan kritik sıfır gün güvenlik açıklarının kitlesel istismarını gözlemlediler. Hikaye, güvenlik satıcısının Ocak 2024’te Ivanti’nin Connect Secure ve Policy Secure ağ geçitlerinde iki sıfır gün güvenlik açığının istismar edildiğini doğrulamasıyla başladı. Daha fazla güvenlik açığı ve istismar raporları hızla ortaya çıktı ve hükümet, askeri, telekomünikasyon, teknoloji, finans, danışmanlık ve havacılık gibi çeşitli sektörlerdeki Ivanti müşterilerini etkiledi. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), ocak ayında hükümetin tüm sivil federal kurumlarının iki sıfır gün güvenlik açığının azaltması gerektiğini içeren bir acil durum direktifi yayınladı.
Volt Typhoon
ABD Adalet Bakanlığı, 31 Ocak’ta bir kolluk kuvveti operasyonunun Çin devlet destekli aktör Volt Typhoon tarafından yürütülen bir siber casusluk kampanyasını çökertmek amacıyla yüzlerce yönlendiriciyi devre dışı bıraktığını duyurdu. ABD Hükümeti ve müttefikleri tarafından şubat ayında yapılan bir uyarıda, Volt Typhoon’un kampanyayı iletişim, enerji, ulaşım ve su gibi kritik sektörlerde kendini konumlandırmak için kullandığı konusunda uyarıldı. Sızma, ABD ve müttefikleri tarafından Çin’in jeopolitik gerginliklerin veya onlarla askeri çatışmaların tırmanması durumunda kritik hizmetleri potansiyel olarak kesintiye uğratmak veya yok etmek için stratejik bir hamlesi olarak görüldü. ABD ve müttefik ülkelerdeki kritik altyapı kuruluşları, Volt Typhoon ve diğer Çin devlet destekli gruplar tarafından kullanılan kalıcılık tekniklerini belirlemeye ve azaltmaya çağrıldı.
Change Healthcare
Şubat ayında, ABD sağlık hizmetleri ödeme sağlayıcısı Change Healthcare’in bir fidye yazılımı saldırısına uğradığı yönünde haberler çıktı. Siber saldırı, ülke çapındaki hastalara reçetelerde ve diğer sağlık hizmetlerinde gecikmelere neden oldu. Change Healthcare’in ana şirketi UnitedHealth Group’un, sistemlerini geri yüklemek için ALPHV/BlackCat çetesine 22 milyon dolar fidye ödediği doğrulandı. BlackCat ödeme aldıktan sonra, iştiraklerine ödeme yapmadan dağılarak bir ‘çıkış dolandırıcılığı’ gerçekleştirmiş gibi göründü. UnitedHealth CEO’su Andrew Witty, saldırganların çalınan kimlik bilgileri aracılığıyla şirketin sistemlerine sızdığını açıkladı ve saldırıyı önlemek için çok faktörlü kimlik doğrulamanın (MFA) olmadığını kabul etti. Olayın etkileri devam ederken ABD Sağlık ve İnsan Hizmetleri Bakanlığı (HHS) Ekim 2024’te saldırıyla ilgili yaklaşık 100 milyon bireysel veri ihlali bildirimi gönderildiğini ve bunun ABD sağlık kayıtlarının bilinen en büyük veri ihlali olduğunu bildirdi.
MediSecure
Mayıs ayında Avustralyalı tıbbi reçete sağlayıcısı MediSecure’a yapılan bir fidye yazılımı saldırısı yaklaşık 13 milyon kişinin kişisel ve sağlık verilerinin tehlikeye atılmasına yol açtı. Buna, ilacın adı, miktarı, tekrarları ve reçete nedeni gibi hasta reçeteleriyle ilgili hassas sağlık bilgileri de dahildi. Bu rapor, kimliği belirsiz bir siber suç grubu tarafından karanlık bir web forumunda satışa sunulan MediSecure müşterilerinin kişisel ve sağlık verilerini içeren bir örnek veri kümesini takip etti. MediSecure, Avustralya Hükümeti’nin olaya müdahale masraflarına yardımcı olmak için yaptığı fon talebinin reddedildiğini açıkladıktan sonra Haziran 2024’te gönüllü yönetime geçtiğini duyurdu.
NHS Fidye Yazılımı
Birleşik Krallık NHS hastanelerine patoloji hizmetleri sağlayan kritik bir tedarikçi olan Synnovis’e yapılan bir fidye yazılımı saldırısı, yaz aylarında binlerce operasyonun ve randevunun iptal edilmesine neden oldu. 3 Haziran’daki olay, King’s College Hastanesi NHS Foundation Trust ve Guy’s ve St Thomas’ NHS Foundation Trust’daki kan nakli ve test sonuçları gibi hayati sağlık hizmetlerinin sunumunu birkaç ay boyunca önemli ölçüde etkiledi. NHS İngiltere, 11 Ekim 2024 itibarıyla tüm NHS sistemlerinin patoloji ve kan testi hizmetlerinde herhangi bir kesinti olmadan normal şekilde çalıştığını doğruladı. Saldırıyı, 20 Haziran’da Synnovis’ten çalınan 400 GB veriyi yayınladığı bildirilen fidye yazılımı çetesi Qilin üstlendi.
Snowflake Saldırısı
Haziran 2024’te Mandiant araştırmacıları, bir tehdit aktörünün çoklu bulut veri ambarı platformu Snowflake’ten önemli miktarda müşteri verisi çaldığı konusunda uyardı. Veriler siber suç forumlarında satışa sunulmuştu ve tehdit aktörü verileri kurbanların çoğundan gasp etmek için kullanıyordu. Mandiant, UNC5537 olarak izlenen tehdit aktörünün çalınan müşteri kimlik bilgilerini kullanarak Snowflake müşteri örneklerini ‘sistematik olarak’ tehlikeye attığını söyledi. Araştırmacılar, Snowflake kullanan 165 kuruluşa potansiyel olarak ifşa oldukları konusunda bildirim yapıldığını ekledi.
2024’teki bir dizi yüksek profilli veri ihlalinin, Nisan ayında başlayan Snowflake ihlali nedeniyle meydana geldiğine inanılıyordu. Buna, şirketin 560 milyon müşterisini etkileyen Ticketmaster’ın ana şirketi Live Nation’ın veri ihlali de dahildi. Mayıs ayında bankacılık devi Santander’in müşteri ve çalışan verilerinin ihlali de Snowflake saldırısıyla ilişkilendirildi. Ayrıca, telekomünikasyon devi AT&T’nin kullanıcı verilerine Snowflake’teki firmanın çalışma alanından erişildiği bildirildi.
Columbus Şehri Saldırısı
Ohio, Columbus Şehri, temmuz ayında bir fidye yazılımı saldırısına uğradığını ve bunun sonucunda bazı sakinlere yönelik BT hizmetlerinde kesintiler yaşandığını açıkladı. Şehirle başarısız müzakerelerin ardından, failler olan Rhysida fidye yazılımı grubu, saldırganlar tarafından sızdırılan 3,1 TB kişisel ve diğer hassas verileri yayınladığı iddia edildi. Yetkililer başlangıçta saldırganlar tarafından yalnızca kullanılamaz bozuk verilerin alındığını iddia etti. Ancak, güvenlik araştırmacısı David Leroy Ross bu iddiayı yalanladı ve yerel medyayı sakinlerin kişisel bilgilerinin karanlık ağa yüklendiği konusunda bilgilendirdi. Columbus Şehri, bu iddiayı yaptığı için ağustos ayının başlarında Ross’a dava açtı. Ross’un ifşasının ardından siber analistler çalınan verilerin örneklerini inceleyerek veri tabanları, parola günlükleri, bulut yönetim dosyaları, çalışan bordro kayıtları ve hatta şehir trafik kameralarından gelen görüntüler de dahil olmak üzere önemli miktarda hassas dosya buldular. Kasım ayında, Şehir yetkilileri 500.000 sakine kişisel verilerinin saldırganlar tarafından tehlikeye atılmış olabileceğini bildirdi. Saldırganların Sosyal Güvenlik numaraları, banka hesap bilgileri ve ehliyet bilgileri gibi son derece hassas verilere eriştiği bildirildi. Bu ifşanın yakın tarihteki en önemli kamu sektörü veri ihlallerinden biri olduğuna inanılıyor.
Seattle’da Siber Saldırı
Seattle limanına ve Seattle-Tacoma Uluslararası Havaalanı’na (SEA) nezaret eden yerel bir hükümet kurumu olan Seattle Limanı’na ağustos ayında yapılan bir siber saldırı, ABD İşçi Bayramı tatili öncesinde eyalete gidiş-dönüş seyahatleri büyük ölçüde aksattı. 24 Ağustos’ta başlayan BT kesintisi, SEA’daki check-in işlemlerinde önemli gecikmelere yol açtı, WiFi kullanılamadı ve ekranlar çalışmadı. Seattle Limanı, 13 Eylül’deki bir güncellemede, olayın Rhysida çetesinin fidye yazılımı saldırısından kaynaklandığını doğruladı. Saldırganlar, limanın bilgisayar sistemlerinin bazı kısımlarına erişebildi ve bazı verilere erişimi şifreledi. Sistemlerin çoğu bir hafta içinde tekrar çevrimiçi hale getirildi ve yolcu seyahatleri normal şekilde devam etti.
ABD Yetkililerinin Verileri
Çin bağlantılı tehdit aktörlerinin büyük bir casusluk kampanyası, telekomünikasyon sağlayıcılarına yönelik büyük ölçekli bir saldırı yoluyla ABD Hükümet yetkililerinin verilerini tehlikeye attı. Kampanya, Kasım ayında Salt Typhoon tehdit aktörünün müşteri arama kayıtlarını çaldığını, hükümet veya siyasi faaliyetlerde bulunan kişilerin özel iletişimlerini tehlikeye attığını ve mahkeme emirleri uyarınca ABD kolluk kuvvetlerinin taleplerine tabi bilgileri kopyaladığını ortaya koyan ABD Hükümet kurumları tarafından doğrulandı. Ekim ayında, Donald Trump’ın başkanlık kampanyasına hem Trump’ın hem de Başkan Yardımcısı seçilen JD Vance’in telefonlarının ve Kamala Harris’in 2024 başkanlık kampanyasındaki personelin telefonlarının saldırıda tehlikeye atılmış olabileceği bildirildi. Salt Typhoon’un hedef aldığı telekomünikasyon şirketleri arasında Verizon, AT&T, Lumen Technologies ve T-Mobile yer aldı.
