Knauf Group, ticari operasyonlarını kesintiye uğratan ve küresel BT ekibini olayı izole etmek için tüm BT sistemlerini kapatmaya zorlayan bir siber saldırının hedefi olduğunu duyurdu.
Siber saldırı 29 Haziran gecesi gerçekleşti ve bunu yazarken Knauf hala adli soruşturma, olay müdahalesi ve iyileştirme sürecinde.
“Şu anda müşterilerimiz ve ortaklarımız üzerindeki etkiyi azaltmak ve güvenli bir iyileşme planlamak için yoğun bir şekilde çalışıyoruz. Ancak teslimat süreçlerimizde yaşanabilecek aksaklıklar veya gecikmeler için özür dileriz, ”diyor Knauf’un ana sayfasında yayınlanan kısa duyuru.
BleepingComputer tarafından görülen e-postalar, saldırıya verilen yanıtın bir parçası olarak e-posta sistemlerinin kapatıldığı ancak cep telefonlarının ve Microsoft Teams’in hala iletişim için çalıştığı konusunda uyardı.
Knauf, dünya duvar panosu pazarının yaklaşık %81’ini elinde tutan, Almanya merkezli çok uluslu bir yapı ve inşaat malzemeleri üreticisidir.
Firma dünya çapında birçok ülkede 150 üretim tesisi işletiyor ve ABD merkezli Knauf Insulation ve USG Corporation’a sahip.
Özellikle, Knauf Insulation, sitesinde siber saldırı hakkında bir bildirim yayınladı, böylece varlık da etkilenmiş oldu.
Kara Basta sorumluluğu üstlendi
Knauf’un duyuruları, maruz kaldıkları siber saldırının türünü açıklamasa da, uzun süre, etki ve BT sistemlerini geri yüklemenin zorluğu bir fidye yazılımı olayına işaret ediyor.
Gerçekten de Black Basta olarak bilinen fidye yazılımı çetesi, 16 Temmuz 2022’de Knauf’u kurban olarak listeleyen gasp sitelerinde bir duyuru aracılığıyla saldırının sorumluluğunu üstlendi.
Fidye yazılımı çetesi, 350’den fazla ziyaretçinin eriştiği Knauf saldırısı sırasında sızdırdığı iddia edilen dosyaların %20’sini yayınladı.
Bleeping Computer, e-posta iletişimi örnekleri, kullanıcı kimlik bilgileri, çalışan iletişim bilgileri, üretim belgeleri ve kimlik taramaları gördü.
Tüm dosyaların henüz çevrimiçi olarak sızdırılmamış olması, tehdit aktörlerinin başarılı bir müzakere sonucu ve fidye ödemesi alma umudunun hala olduğunu gösteriyor.
Kara Basta yükselişi
Black Basta fidye yazılımı çetesi, Nisan 2022’de RaaS operasyonunu başlattı ve yüksek profilli kurbanlarla çifte gasp alanında hızla yüksek ün kazandı.
Bilgi ve yeteneğin erkenden sergilenmesi ve müzakere tarzındaki benzerlikler nedeniyle, bu alandaki birçok uzman, Black Basta’nın Conti’nin yeniden markası olduğunu varsaydı.
Haziran 2022’ye kadar Black Basta, Qbot (QuakBot) operatörleriyle, aynı zamanda Kobalt Strike’ı düşürmek ve yanal ağ hareketine yardımcı olmak için kullanılan bir yük dağıtım işbirliği kurmuştu.
Aynı zamanda, yeni fidye yazılımı türünün yazarları, Linux sunucularında çalışan VMware ESXi sanal makinelerini hedefleyen bir Linux sürümü oluşturdu.