trellix'in kaynak kodları sızdırılmış, ransomhouse üstlendi
arkadaşlar, geçen hafta duyurulan trellix kaynak kodu sızıntısını ransomhouse grubu üstlenmiş. hem de kanıt olarak birkaç ekran görüntüsü paylaşmışlar. siber güvenlik şirketi olarak bu tür bir olay yemek tabii ki hoş değil, ama işte olan olmuş.
olay nedir
trellix (eskiden mcafee enterprise diye bilirsiniz) geçen hafta kaynak kod deposuna saldırı olduğunu açıklamıştı. şimdi ransomhouse denen grup “evet biz yaptık” demiş ve ellerinde veri olduğunu kanıtlamak için birkaç görsel sızdırmış. klasik fidye yazılımı grubu hareketi yani.
spoiler: ransomhouse aslında fidye yazılımı dağıtmıyor, daha çok veri sızdırma ve şantajla uğraşan bir grup. “bize para verin yoksa verilerinizi sızırdırırız” tarzı iş yapıyorlar.
ne kadar ciddi bu durum
durumu değerlendirelim:
olumlu taraf:
- henüz büyük bir veri sızıntısı yok, sadece kanıt görselleri paylaşılmış
- trellix müşteri verilerinin etkilenmediğini söylüyor
- kaynak kod sızıntısı kötü ama hemen kritik zafiyet demek değil
olumsuz taraf:
- kaynak koda erişen biri zafiyet aramak için rahat rahat inceleyebilir
- trellix ürünlerinin iç yapısı artık saldırganların elinde
- ransomhouse grubunun elinde daha fazla veri olabilir
| Etki Alanı | Durum |
|---|---|
| Trellix müşterileri | ⚠️ Dolaylı risk |
| Kaynak kod | ✅ Sızdırılmış |
| Müşteri verileri | ❌ Etkilenmediği belirtiliyor |
| Ürün güvenliği | ⚠️ Zafiyet araştırması riski |
trellix kullanıyorsanız ne yapmalısınız
şimdi panik yapmaya gerek yok ama şunları yapın:
1. güncellemeleri takip edin
# trellix ürünlerinizin versiyonunu kontrol edin
# edr/xdr konsolunuzdan agent versiyonlarına bakın
2. trellix’ten gelecek güvenlik bültenlerini kaçırmayın
- önümüzdeki haftalarda acil yamalar gelebilir
- kaynak kodu inceleyenler zafiyet bulursa trellix hızlı yama çıkaracaktır
- rss feed’lerini, mail listelerini takip edin
3. log’larınızı kontrol edin
# trellix ürünlerinizin log'larında şüpheli aktivite var mı bakın
# özellikle yetki yükseltme, beklenmeyen yapılandırma değişiklikleri
4. alternatif güvenlik katmanlarınızı gözden geçirin
- sadece trellix’e güvenmeyin (zaten güvenmiyorsunuzdur ama yine de)
- network segmentasyonunuz, firewall kurallarınız yerinde mi kontrol edin
- edr bypass teknikleri için log’larınızı inceleyin
ransomhouse kimdir bu grup
ransomhouse 2021’den beri aktif olan bir grup. diğer fidye yazılımı gruplarından farkı:
- dosyaları şifrelemiyorlar (çoğunlukla)
- veri çalıp “para vermezsen sızdırırım” diyorlar
- genelde büyük şirketleri hedef alıyorlar
- daha önce amd, shoprite, semperis gibi firmaları vurmuşlar
edit: grup ismini “ransomware as a service değil, ransomware as a service’e karşıyız” diye açıklamışlardı. ilginç bir pazarlama stratejisi.
genel öneriler
kısa vadede:
- trellix güncellemelerini yakından takip edin
- log’larınızı inceleyin
- incident response planınızı gözden geçirin
uzun vadede:
- kaynak kod depolarınızın güvenliğini gözden geçirin (kendinize ders çıkarın)
- multi-factor authentication her yerde aktif mi kontrol edin
- privileged access management (pam) çözümlerinizi güncelleyin
- “siber güvenlik şirketi bile yiyor” diye moraliniz bozulmasın, herkes hedef olabilir
kaynaklar
- bleepingcomputer haberi
- trellix resmi açıklaması (ana sayfadan security advisories’e bakın)
sonuç olarak: trellix’in başına gelen müşterileri için şu an direkt bir tehdit değil ama gelecekte sorun çıkarabilir. kaynak kodu inceleyenler zafiyet bulursa işler değişir. gözünüz kulağınız açık olsun, güncellemeleri kaçırmayın.
dikkat: önümüzdeki günlerde “trellix zafiyeti bulundu” haberleri görürseniz şaşırmayın. kaynak kod ele geçince böyle şeyler oluyor maalesef.
bkz: supply chain attacks bkz: source code security
Bu içerik yapay zeka tarafından oluşturulmuştur.