Akira fidye yazılımı çetesi, İngiltere merkezli kozmetik üreticisi ve perakendecisi Lush’un sistemlerine düzenlenen ve ilk kez bu ayın başlarında açıklanan siber saldırının sorumluluğunu üstlendi.
Lush, 11 Ocak 2024’te canlı bir siber güvenlik olayını araştırdığını doğrulayarak, dış yardımla kapsamlı bir soruşturma yürüttüğünü ve sistemlerini taramak ve güvenliğini sağlamak için zaten adımlar attığını söyledi.
Lush’un web sitesinin ve fiziksel mağazalarının tamamında erişilebilir kalması, siber saldırının etkisinin oldukça sınırlı olduğunu ya da kuruluşun etkili hafifletme önlemleri aldığını gösteriyor.
Blogları, sızıntı sitelerini ve diğer bilgi kaynaklarını izleyen RansomLock açık kaynaklı fidye yazılımı izleme projesine göre çete, bugün erken saatlerde (26 Ocak Cuma) izinsiz girişin ayrıntılarını yayınladı.
Lush’un sistemlerinden kişisel belgeler, pasaport verileri, muhasebe ve mali bilgiler, devam eden projeler ve müşteri verileri de dahil olmak üzere 110 GB veri elde ettiği belirtildi. Bu iddianın meşruluğunu doğrulamak mümkün olmadı. Computer Weekly, Lush’la temasa geçti ancak yayın sırasında herhangi bir geri dönüş olmadı.
Sophos’un direktörü ve küresel saha baş teknoloji sorumlusu Chester Wisniewski şunları söyledi: “Sophos Olay Müdahale Hizmetleri bu ekibin kurbanlarıyla ilgili faaliyetlerden herhangi birini veya her ikisini birden yaptığını gözlemlediği için bunun bir fidye yazılımı saldırısı mı yoksa basit bir gasp mı olduğu belirsiz. Eğer bu, şifreleme bileşeni olmayan bir gaspsa, Lush’un operasyonlarında görünür bir dış kesinti olmamasının nedeni bu olabilir.
“Akira dikkate alınması gereken bir güce dönüşüyor” diye ekledi. “Biz… artan sayıda mağdurun olay müdahale servisimize başvurduğunu gördük. MFA dağıtılmadan savunmasız Cisco VPN ürünlerine ve uzaktan erişim araçlarına saldırmayı tercih ediyorlar gibi görünüyor. Lush’un iddia edilen ihlalinin nedenini bilmiyor olsak da bu, tüm harici ağ bileşenlerine uygun şekilde yama uygulanmasının ve tüm uzaktan erişim teknolojileri için çok faktörlü kimlik doğrulama gerekliliğinin önemini hatırlatıyor.”
Adını distopik bir gelecek Tokyo’daki motorcu çetelerini tasvir eden kült 1988 anime filminden alan Akira’nın, olay müdahale ekiplerinin aynı notların bırakıldığı bazı benzer siber saldırılar arasındaki bağlantıları ilk kez fark etmeye başladığı 2023 yılının Mart ayı civarında operasyonlara başladığı düşünülüyor. .akira uzantısıyla şifrelenir. Aynı adı taşıyan daha önceki bir fidye yazılımının konuyla ilgisiz olduğu düşünülüyor.
Siberpunk estetiğini sonuna kadar kullanan çete, retro siyah ve yeşil sızıntı sitesiyle hemen dikkat çekti; bu site aynı zamanda ziyaretçilerden ve kurbanlardan çalınan verilere erişmek, en son haberleri okumak veya onlarla iletişim kurmak için komut girmelerini istemesiyle de dikkat çekiyordu.
2023’ün sonuna gelindiğinde mürettebatın özellikle KOBİ’ler için “zorlu” bir tehdit olduğu kesinleşti ve yüzlerce mağdur olduğu iddia edildi.
Öncelikle Avustralya, Avrupa ve Kuzey Amerika’da hükümet, imalat, teknoloji, eğitim, danışmanlık, ilaç ve telekomünikasyon sektörlerinde faaliyet gösteren kuruluşları hedef alıyor. Wisniewski’nin yukarıdaki gözlemlerine göre çete, kurbanlarının sistemlerini fidye yazılımı dolabıyla şifrelemeden veri sızdırma taktiğinin özellikle ateşli bir savunucusu haline geliyor gibi görünüyor.