ABD’li enerji hizmetleri firması BHI Energy, nadir görülen bir şeffaflık örneği göstererek, Akira fidye yazılımı operasyonunun saldırı sırasında ağlarına nasıl ihlal ettiğini ve verileri nasıl çaldığını ayrıntılarıyla anlatıyor.
Westinghouse Electric Company’nin bir parçası olan BHI Energy, özel ve devlet tarafından işletilen petrol ve gaz, nükleer, rüzgar, güneş ve fosil enerji üretim üniteleri ile elektrik iletim ve dağıtım tesislerini destekleyen özel bir mühendislik hizmetleri ve personel çözümleri sağlayıcısıdır.
BHI Energy tarafından etkilenen kişilere gönderilen bir veri ihlali bildiriminde şirket, Akira fidye yazılımı çetesinin 30 Mayıs 2023’te ağını nasıl ihlal ettiğine dair ayrıntılı bilgi sağlıyor.
Saldırı ilk olarak Akira tehdit aktörünün BGI Energy’nin dahili ağına erişmek için üçüncü taraf bir yüklenicinin çalınan VPN kimlik bilgilerini kullanması tarafından başlatıldı.
Veri ihlali bildiriminde “TA (tehdit aktörü) üçüncü taraf yüklenicinin hesabını kullanarak bir VPN bağlantısı aracılığıyla dahili BHI ağına ulaştı” ifadesi yer alıyor.
“İlk erişimi takip eden haftada, Teknik Destek aynı ele geçirilen hesabı iç ağda keşif yapmak için kullandı.”
Akira operatörleri, çalınacak verileri numaralandırmak için 16 Haziran 2023’te ağı yeniden ziyaret etti. 20-29 Haziran tarihleri arasında tehdit aktörleri, BHI’nın Windows Active Directory veritabanı da dahil olmak üzere 690 GB veri içeren 767 bin dosyayı çaldı.
Son olarak, 29 Haziran 2023’te BHI’nın ağından çalabildikleri tüm verileri çalan tehdit aktörleri, dosyaları şifrelemek için tüm cihazlara Akira fidye yazılımını yerleştirdi. Bu, BHI’nın BT ekibinin şirketin güvenliğinin ihlal edildiğini fark ettiği zamandı.
Firma, derhal kolluk kuvvetlerine bilgi verdiklerini ve etkilenen sistemleri kurtarmalarına yardımcı olmak için harici uzmanlarla iletişime geçtiklerini söyledi. Tehdit aktörünün BHI ağındaki varlığı 7 Temmuz 2023’te kaldırıldı.
Şirket, fidye yazılımı saldırısından etkilenmeyen bir bulut yedekleme çözümünden veri kurtarabildiğini, böylece sistemlerini fidye ödemeden geri yükleyebildiklerini söyledi.
Ek olarak BHI, VPN erişimine çok faktörlü kimlik doğrulama uygulayarak, küresel parola sıfırlama gerçekleştirerek, EDR ve AV araçlarının dağıtımını ortamının tüm bölümlerini kapsayacak şekilde genişleterek ve eski sistemleri kullanımdan kaldırarak güvenlik önlemlerini güçlendirdi.
Saldırıda açığa çıkan veriler
BHI sistemlerini kurtarmayı başarırken, tehdit aktörleri çalışanların kişisel bilgilerini içeren verileri çalabiliyordu.
1 Eylül 2023’te sonuçlanan soruşturma, aşağıdaki verilerin çalındığını gösteriyor:
- Ad Soyad
- Doğum tarihi
- Sosyal Güvenlik Numarası (SSN)
- Sağlık Bilgisi
Bunu yazdığım sırada Akira fidye yazılımı, karanlık ağdaki gasp portalında BHI’ya ait herhangi bir veriyi sızdırmadı ve siber suçlular da yaklaşan veri sızıntılarında BHI’yı duyurmadı.
Veri ihlali bildirimleri, Experian aracılığıyla iki yıllık kimlik hırsızlığı koruma hizmetine kaydolmaya ilişkin talimatları içermektedir.