Toronto Halk Kütüphanesi, Black Basta fidye yazılımı saldırısı nedeniyle devam eden teknik kesintiler yaşıyor.
Toronto Halk Kütüphanesi (TPL), Kanada’nın en büyük halk kütüphanesi sistemidir ve şehirdeki 100 kütüphane şubesi aracılığıyla 12 milyon kitaba erişim sağlar. Kütüphane sisteminin 1.200.000 kayıtlı üyesi var ve 200 milyon doları aşan bir bütçeyle çalışıyor.
Bu haftanın başlarında TPL, bir siber saldırının web sitelerinde ve bazı çevrimiçi hizmetlerde teknik kesintilere neden olduğu konusunda uyardı.
Bu kesintiler arasında tpl.ca sitesinin çevrimdışına alınması, çevrimiçi hesabınıza erişilememesi ve tpl:map geçişlerinde ve dijital tahsilat hizmetlerinde yaşanan kesintiler yer alıyor.
Kütüphane, halka açık bilgisayarların ve baskı hizmetlerinin de mevcut olmadığı konusunda uyardı.
Toronto Halk Kütüphanesi, personelin veya müşterilerin kişisel bilgilerinin ele geçirildiğine dair hiçbir kanıt bulunmadığını ve olayı kolluk kuvvetleri ve üçüncü taraf siber güvenlik uzmanlarıyla aktif olarak araştırdıklarını söylüyor.
Typepad’de barındırılan geçici bir kütüphane web sitesinde “TPL, siber güvenlik sorunlarına karşı proaktif bir şekilde hazırlandı ve potansiyel etkileri azaltmak için derhal önlemler başlattı.” ifadesi yer alıyor.
“Bu durumu çözmemize yardımcı olmaları için üçüncü taraf siber güvenlik uzmanlarıyla görüştük. Ancak tüm sistemlerin tamamen normal operasyonlara dönmesinin birkaç gün sürebileceğini tahmin ediyoruz.”
Bu veya başka bir fidye yazılımı saldırısı hakkında bilginiz var mı? Bilgileri paylaşmak istiyorsanız +1 (646) 961-3731 numaralı telefondan Signal üzerinden, [email protected] adresine e-posta göndererek veya ipuçları formumuzu kullanarak güvenli ve gizli bir şekilde bizimle iletişime geçebilirsiniz.
TPL saldırısının arkasında Black Basta fidye yazılımı var
BleepingComputer, Toronto Halk Kütüphanesi’ne yapılan saldırının arkasında Black Basta fidye yazılımı operasyonunun olduğunu öğrendi.
BleepingComputer ile paylaşılan fidye notunun fotoğrafı, saldırının arkasında fidye yazılımı operasyonunun olduğunu doğrulamamıza olanak sağladı.
Kaynak: BleepingComputer
Bir TPL çalışanına göre saldırı 27 Ekim gecesi meydana geldi ve Cumartesi sabahı çok sayıda hizmeti etkiledi.
BleepingComputer’a, saldırının telefonları etkilemediği ve e-postalar üzerinde sınırlı bir etkiye sahip olduğu, Office 365 hesaplarında oturum açanların hâlâ bu hesaplara erişebildiği söylendi. Ancak halihazırda e-posta hesabında oturum açmamış olan çalışanlar artık sisteme erişemiyordu.
Saldırının ardından kötü amaçlı yazılımın yayılmasını önlemek amacıyla diğer tüm dahili sistemler kapatıldı.
Bize, kuruluşun hassas veriler içeren ana sunucularının şifrelenmediği söylendi; bu da potansiyel olarak tehdit aktörlerinin, kuruluşun ağlarına ve verilerine tam erişime sahip olmadığı anlamına geliyordu.
Fidye yazılımı çetesinin saldırı sırasında veri çalıp çalmadığı henüz bilinmemekle birlikte, veri hırsızlığı onların gasp stratejilerinin önemli bir bileşenidir.
Tehdit aktörlerinin bunu TPL’ye fidye ödemesi yönünde baskı yapmak için bir koz olarak kullanması durumunda verilerin çalınıp çalınmadığını öğreneceğiz.
Kara Basta kimdir?
Black Basta fidye yazılımı çetesi, fidye yazılımı operasyonunu Nisan 2022’de başlattı ve hızlı bir şekilde çifte gasp saldırılarıyla kurumsal kurbanları hedeflemeye başladı.
İlk saldırılarından biri, tehdit aktörlerinin çalınan verileri sızdırdığı Amerikan Diş Hekimleri Birliği’ne yönelikti.
Haziran 2022 itibarıyla Black Basta, kurumsal ağlara ilk erişim için virüslü cihazlara Cobalt Strike işaretlerini bırakmak üzere QBot kötü amaçlı yazılım operasyonuyla ortaklık kurdu.
Bir ağa erişim sağladıklarında, kimlik bilgilerini çalıyorlar ve verileri çalarken ağ boyunca yanal olarak yayılıyorlardı.
Tüm veriler çalındıktan ve bilgisayar korsanları Windows etki alanı denetleyicisine erişim sağladıktan sonra, tehdit aktörleri cihazları şifrelemek için ağ boyunca bir şifreleyici yerleştirir.
Kaynak: Palo Alto Ağları Birim 42
Neredeyse tüm fidye yazılımı operasyonları gibi Black Basta da Linux sunucularında çalışan VMware ESXi sanal makinelerini hedeflemek için bir Linux şifreleyici kullanıyor.
Haziran 2022’de Conti fidye yazılımı operasyonu, bir dizi utanç verici veri ihlali yaşadıktan sonra kapatıldı. Araştırmacılar, siber suç örgütünün daha küçük gruplara bölündüğüne ve içlerinden birinin Black Basta olduğuna inanılıyor.
Ancak diğer araştırmacılar, Black Basta ile Carbanak olarak da bilinen mali amaçlı bir siber suç çetesi olan Fin7 siber suç operasyonu arasında bir bağlantı olduğuna inanıyor.
Lansmanından bu yana tehdit aktörleri Capita, Sobeys, Knauf ve Yellow Pages Canada dahil olmak üzere bir dizi saldırıdan sorumlu oldu.
Son zamanlarda fidye yazılımı operasyonu, İsviçreli çok uluslu bir teknoloji şirketi ve ABD hükümetinin yüklenicisi olan ABB’ye saldırdı ve şirketin çalınan verilerini sızdırdı.