Arnold Clark’tan alınan fidye yazılımı kurtarma dersleri

Dolandırıcılık Yönetimi ve Siber Saldırı, Olay ve İhlal Yanıtı, Fidye Yazılımı

Yıkıcı veri çalma saldırganları Noel’den hemen önce araç perakende devine çarptı

Mathew J. Schwartz (Euroinfosec) •
25 Şubat 2025

Piyano oynamak, Carnegie Hall’a gitmek ve fidye yazılımıyla mücadele etmek gibi, ustalık için tek bir gerçek yol var.

Ayrıca bakınız: Fidye Yazılımı ve Gasp Saldırılarını Azaltma Uzman Kılavuzu

Arnold Clark’ın genel müdürü ve grup genel müdürü Eddie Hawthorne, Salı günü bir İskoç siber güvenlik konferansına verdiği demeçte.

İngiltere’nin en büyük bağımsız otomobil perakendecisi ve Avrupa’daki en büyük otomobil satıcı gruplarından biri olan Glasgow merkezli Arnold Clark, 10.000’den fazla kişiyi istihdam ediyor ve 200’den fazla İngiltere perakende lokasyonunda yılda 300.000’den fazla otomobil satıyor.

Tüm bunlar, fidye yazılımı kullanan saldırganların aradığı 23 Aralık 2023’te kargaşaya atıldı (bkz:: Ransomware Gang Müşteri Verilerini Çaldı, Arnold Clark Onayladı).

Glasgow’un Strathclyde Üniversitesi’nde FuturesCot tarafından düzenlenen yedinci yıllık Siber Güvenlik Konferansı’nda konuşan Hawthorne, 220 kişilik bir BT personeli ile firmasının karşılaşabileceği siber tehditleri görmek için iyi hazırlıklı olduğunu düşündüğünü söyledi.

“Şok aldım mı,” dedi Hawthorne, 27 yıl sonra Arnold Clark’ın dümeninde önümüzdeki ay istifa edecek.

Sonunda, saldırı firmasına yaklaşık 50 milyon liraya mal oldu – yaklaşık 63 milyon dolar – ve şirket yavaş yavaş ağları ve sistemleri çevrimiçi olarak geri getirip ilk önce işin en önemli kısımlarına öncelik verdiği için aylarca süren iyileşme çabalarına yol açtı.

Saldırıdan gelen büyük çıkarımlardan biri, her zaman “siber güvenlik bir yolculuk” zihniyetini yaşamak olduğunu, yani siber esnekliğin temel odak noktalarından biri olduğu, örgütsel kendini geliştirmenin hiç bitmeyen bir süreci olduğunu söyledi.

Organizasyonun karşılaştığı gelecekteki tehditlere karşı koymak için “Yanıt hızı en iyi savunmadır” dedi. Saldırı sırasında Arnold Clark’ın ortalama yanıt süresi yaklaşık 12 ila 18 saatti. Şimdi, organizasyonun bunu sadece bir veya iki saate sürdüğünü söyledi.

Yüksek düzeyde hazır olmanın sürdürülmesi için karmaşık bir faktör, zaman ilerledikçe, saldırının çalışanların zihninde geri çekilmesidir – görünüşte kesintisiz vardiyalar çektiğinde ve kişisel tükenmişliği riske attığında, içinde yaşamayan yeni çalışanların akışını boş almayın. Organizasyonu ayaklarına geri getirin.

“Gördüğüm en büyük tehdit gönül rahatlığı” dedi.

İhlalin ardından Arnold Clark, tedarik zincirine daha fazla dikkat çekti, sadece birçok fidye yazılımı grubunun daha fazla bozulmaya neden olmak, daha fazla para kazanmak için tedarik zincirlerinin küçük bölümlerini sömürmeye odaklanmadı.

Bir otomotiv perakendecisi olarak, kuruluş çok sayıda tedarikçi ile çalışıyor ve bu iş ortaklarının güvenlik duruşunu inceliyor ve görmesi gereken güvence düzeylerini ifade ediyor. Bir durumda, Hawthorn, şirketin bir tedarikçi ile 20 yıllık bir çalışma ilişkisini durdurmak zorunda olduğunu söyledi, çünkü organizasyon güvenli kalmak için adımlar attığını gösteremedi.

Saldırı nasıl ortaya çıktı

Arnold Clark için Hawthorne, ilk sorun belirtisinin Cumartesi günü saat 18: 30’da saldırının Noel’den iki gün önce geldiğini söyledi. “‘Boss, bence burada bir problemimiz var. Bence ağımızda olağandışı bir etkinlik var’ ‘ve bu dosyaların silinmesi ya da dosyaların silinmesi girişimi ve bu ilk iletişim buydu.” Dedi.

Geriye dönüp bakıldığında, organizasyon, tatil başlamadan önce hala işte nispeten daha fazla insan olduğunda – bir hafta sonu bile – saldırı olduğu için şanslıydı.

“Gece yarısı, eğlence başladı. Makine ve Makine ve Makine, dev bir Whack-A-Mole oyundu.” Üç saatten daha kısa bir süre sonra, “Sistemlerimizin kontrolünü kaybediyorduk, kilitlenmek üzereydik ve sonra sahip olduğum tek seçenek olan fişi çekmek için cesur bir karar aldık. Şimdi, eski bir dinozor olmak , Fişi yaklaşık dört saat önce çekerdim, ama bu sadece kendimizi savunmaya çalışıyorduk. “

Fidye yazılımı konuşlandırıldığında, şirket sunucularının% 5 ila% 10’unu enfekte etti, sonra durdu.

24 Aralık’ta müdahale ekibi yeniden toplandı ve Hawthorn, beklentisinin, kuruluşun bol, sağlam yedeklemelerinden ve yansıtılmış sistemlerinden ve işlere devam edebilecekleri olduğunu söyledi. Bir Active Directory etki alanı için kullanıcıları ve cihazları doğrulayan Windows sunucuları olan “Ama başka bir ağım veya etkin etki alanı denetleyicilerim yok. “Olsa bile, güvenlik insanlar bana söylüyordu, takma çünkü orada ne olduğunu bilmiyorsunuz.”

Bu onların gerçeklikti: “Telefon yok, sistem yok, e -posta yok, sistemlere erişim yok, aslında telefon edeceğiniz insanların listesi yok çünkü hepsi bilgisayarınızda ve buna erişemiyorsunuz.”

Arnold Clark, tatilden hemen sonra bir araba almak için gelen 700 müşteriyle karşılaştı ve “kim oldukları hakkında hiçbir fikri yok” dedi. Hizmet için arabalarını getirmesi planlanan 2.000 kişi ve kiralık bir araba iade edecek 1.500 kişi için de aynı.

Şirket polis İskoçya ve diğer ajanslarla çalışmaya başladı. Sistemleri kurtarmak için çalıştıkça – tamamen çalışma yedekleri olduğu bilgisinde güvenli – Hawthorne, herhangi bir fidye ödememeyi seçtiğini, ancak hangi verileri çalmış olabileceklerini denemek ve belirlemek için saldırganlarla müzakere ettiğini söyledi, böylece şirket uyarabilir Müşteriler. Müfettişler, saldırganların şirketin veri merkezine asla nüfuz etmediği, ancak merkez ofis sistemlerinden yapılandırılmamış veriler aldıkları sonucuna vardı.

“Şifreli olduğunu düşündüm,” dedi Hawthorne, sadece dinlenme verileri dışında doğrudu. Saldırganlar, transitte verileri başarıyla ele geçirmiş gibi görünüyordu ve Ocak ayının ortalarında Arnold Clark’ı bir fidye almadıkça verileri dökeceklerini tehdit etti. Yine şirket reddetti.

Hawthorne, herhangi bir etkili siber müdahale planının bir parçası olarak planlamanın önemini vurgulamak için siber güvenlik deneyimi olan tek kişi değildi.

Hükümet yetkilileri, ülkenin karşı karşıya olduğu bir numaralı çevrimiçi tehdidin fidye yazılımı olmaya devam ettiğini detaylandırdı.

Bir örgütün siber esnekliğini bu ve diğer en büyük tehditler karşısında geliştirmek için, İskoç hükümeti için ulusal siber güvenlik ve esneklik başkanı Alan Gray, siber egzersizleri belki de en iyi strateji olarak vurguladı, çünkü organizasyonları sürekli olarak sürekli olarak yönlendirdiği için Ne yaptıklarını değerlendirin ve hassaslaştırın.

Sürekli bir iyileştirme çabasından sonra Gray, kamu sektörü örgütlerinin% 63’ünün şu anda esneklik politikalarını test ettiğini ve hükümetin bu rakamı% 100’e çıkarmaya zorladığını söyledi.