İtalya’nın ulusal siber güvenlik kurumu Agenzia per la Cybersicurezza Nazionale’nin (ACN) web sitesi, büyük bir fidye yazılımı saldırısı hakkında küresel bir uyarı yayınladıktan saatler sonra Pazartesi günü erişilemez hale geldi.
ACN, 5 Şubat Pazar günü bir uyarı yayınladı.
ACN genel müdürü Roberto Baldoni, saldırı bir yazılım güvenlik açığından yararlanmayı amaçladığından, kuruluşları sistemlerini güvence altına almak için önlemler almaları konusunda uyardı. bildirildi Reuters.
Saldırganlar, iki yıllık bir uzaktan kod yürütme güvenlik açığına karşı yama uygulanmamış VMware ESXi sunucularına odaklanıyor.
Amaç, ESXiArgs adlı yeni bir fidye yazılımı türünü yaymaktır. CVE-2021-21974 olarak bilinen bu güvenlik açığı, OpenSLP hizmetindeki bir yığın taşması sorunundan kaynaklanır ve kimliği doğrulanmamış saldırganlar tarafından düşük karmaşıklıktaki saldırılarda kolayca kullanılabilir.
İtalya’ya ek olarak, Fransa ve Finlandiya gibi diğer Avrupa ülkelerinin yanı sıra Amerika Birleşik Devletleri ve Kanada’daki sunucular da etkilendi.
Pek çok İtalyan kuruluşu etkilenmiş olabilir ve birkaçına sistemlerinden dışlanmayı önlemek için harekete geçmeleri tavsiye edilir.
İtalya, fidye yazılımı saldırıları ve VMware
Haber ajanslarına göre sorun, fidye yazılımı saldırılarının iki yıllık bir bilgisayar güvenlik açığını kullanmasıyla başladı ve İtalya, yayınlandığı tarihte en fazla zararla karşı karşıya kaldı.
İtalya Başbakanı’nın ofisi, ülkedeki bilgisayar sistemi saldırılarında, bulut teknolojisi sağlayıcısı VMware tarafından yapılan bir üründe hâlihazırda dolaşımda olan fidye yazılımının kullanıldığını doğruladı. bildirildi AP.
Bir Fransız siber güvenlik ajansının teknik bülten Cuma günü, saldırıların sanal makineleri izlemek için kullanılan VMware ESXi hipervizörlerini hedef aldığını belirtti.
CERT-FR uyarısı, “Mevcut araştırmalara göre, bu saldırı kampanyaları, 23 Şubat 2021’den beri bir yamanın mevcut olduğu CVE-2021-21974 güvenlik açığından yararlanıyor gibi görünüyor” dedi.
Şubat 2021’de VMware tarafından düzeltilen hataya rağmen, saldırılar ürünün eski, yama uygulanmamış sürümlerine odaklanıyor.
Şirket, müşterilerine henüz yapmamışlarsa yamayı uygulamalarını tavsiye etti ve fidye yazılım saldırılarını önlemede güvenlik hijyeninin çok önemli olduğunu vurguladı.
Gelen saldırıları önlemek için yöneticilerin, güncellenmemiş ESXi hipervizörlerinde savunmasız Hizmet Konum Protokolü (SLP) hizmetini devre dışı bırakması gerekir.
CERT-FR’ye göre yama mümkün olan en kısa sürede yapılmalı ve yama yapılmayan sistemler uzlaşma belirtileri açısından incelenmelidir.
Güvenlik açığı şu sistemleri etkiler: ESXi70U1c-17325551’den önceki ESXi sürümleri 7.x, ESXi670-202102401-SG’den önceki ESXi sürümleri 6.7.x ve ESXi650-202102101-SG’den önceki ESXi sürümleri 6.5.x.
ABD, İtalya alarmından sonra harekete geçti
Reuters’in bildirdiğine göre, ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), İtalyan ACN tarafından uyarılan küresel bir bilgisayar korsanlığı saldırısı olaylarını araştırıyor.
CISA, bu olayların etkisini değerlendirmek ve gerektiğinde destek sunmak için hem kamu hem de özel sektör ortaklarıyla birlikte çalışıyor.
Ajans, bir siber güvenlik sorunuyla karşı karşıya kalan herhangi bir kuruluşun bunu FBI veya CISA’ya bildirmesi gerektiğini tavsiye etti.
Fidye yazılımı saldırısı, İtalya’daki yaygın internet kesintileriyle aynı zamana denk geldi. Ancak AP’nin bildirdiğine göre, internet kesintilerinin fidye yazılımı saldırılarıyla ilgili olup olmadığı belirsizdi.
Saldırganlar son aylarda özellikle İtalyan markalarını hedef alıyor. Kasım 2022’de İngiliz telekom şirketinin bir şubesi olan Vodafone İtalya, bayisi FourB SpA’nın bir siber saldırıya uğramasının ardından müşterilerini bir güvenlik ihlali konusunda uyardı.
Aynı dönemde, İtalyan devlet daireleri ve şirketleri birden fazla saldırıya maruz kaldı. bildirildi Siber Ekspres.
Ek olarak, İtalyan 3P’den karanlık web forumlarında yayınlanan son veri sızıntısı, müşteri adları, e-postalar, telefon numaraları, posta kodları ve ikamet ettikleri ülke dahil olmak üzere 25 TB’lık bilgilerden oluşuyordu.