Amerikan toptan ilaç şirketi AmerisourceBergen, adının Lorenz fidye yazılımı grubunun şantaj sitesine eklenmesinin ardından bir fidye yazılımı saldırısını doğruladı.
Sağlık ve ilaç şirketi, BleepingComputer’a yapılan saldırıyı, yan kuruluşunun sistemlerinin ele geçirildiğini belirterek doğruladı. AmerisourceBergen’in işletmesi olan MWI Animal Health, Lorenz fidye yazılımı çetesi tarafından hacklendi.
Lorenz fidye yazılımı grubunun gönderisinin gasp sitesinde bahsedilen hırsızlık tarihi 1 Kasım 2022 iken, veriler yakın zamanda yayınlandığı bildirildi. Bu, AmerisourceBergen fidye yazılımı saldırısına ait olduğu iddia edilen içeriğin gerçekliği hakkında bir soru ortaya çıkarıyor.
Siber güvenlik araştırmacısı Dominic Alvieri, tweet’inde AmerisourceBergen’in yan kuruluşunun bir Lorenz arka kapısı kullanılarak saldırıya uğradığını ve istismar edildiğini belirtti. Tweet’te, “İlk giriş Mayıs 2022 gibi görünüyor, ancak geçen hafta yeni geçmiş tarihli gönderiden birkaç gün önce ek veriler sızdırıldı.”
(Fotoğraf: Dominic Alvieri)
AmerisourceBergen fidye yazılımı saldırısıyla ilgili veri ihlali gönderisindeki ekran görüntüsü, tümü Ocak 2023’ün son haftasında listelenen bazı resimlerle birlikte bir üst dizine sahip olduğunu iddia ediyor gibiydi.
Bir şirket sözcüsü haber sitesine “Bu münferit bir olaydı ve herhangi bir hassas verinin ele geçirilip geçirilmediğini belirlemek için araştırma sürecindeyiz” dedi. AmerisourceBergen ayrıca, tüm sistemlerin herhangi bir izinsiz girişten arındırıldığından ve kesintinin kontrol altına alındığından emin olmak için ihtiyati tedbirler aldığını belirtti.
Mitel siber saldırısının AmerisourceBergen fidye yazılımı saldırısına bağlantıları
Araştırmacılar, farklı tarihlerin gizemine ek olarak, Mitel MiVoice VOIP cihazlarının güvenlik açığından yararlanması arasında bir bağlantı buldu.
Lorenz fidye yazılımı grubunun, sistemleri ihlal etmek ve sistemlere ilk erişimi elde etmek için bağlı kurumsal ağların telefon sistemlerini kullandığı tespit edildi. Grubun, AmerisourceBergen’in yan kuruluşuna aynı güvenlik açığı yoluyla, yani telekomünikasyon kanalı aracılığıyla bağlanan CVE-2022-29499 aracılığıyla erişim sağladığı tahmin ediliyor.
Grubun şantaj sitesindeki veri sızıntısı bildiriminin, fidye ödemesinin reddedilmesinin bir sonucu olabileceği tahmin ediliyor. Merkezi Pennsylvania’da bulunan AmerisourceBergen, The Cyber Express’in onay isteyen e-postasına henüz yanıt vermedi.