Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
İtalya, Almanya, Fransa, ABD ve Kanada Yamasız Sunuculardaki Hack’leri Araştırıyor
Akşaya Asokan (asokan_akshaya) •
6 Şubat 2023
İtalyan siber güvenlik ajansı, ülkedeki yama uygulanmamış VMware ESXi sunucularına yönelik en az bir düzine saldırının muhtemelen BlackBasta fidye yazılımı grubuna bağlı olduğunu söylüyor. Müfettişler, fidye yazılımı kampanyasının 2 Şubat’tan bu yana dünya çapında binlerce kuruluşu vurmuş olabileceğini söylüyor.
Ayrıca bakınız: Canlı Web Semineri | Çok Faktörlü Kimlik Doğrulamayı Hackleme: Bir BT Uzmanının 150 MFA Ürününü Test Ettikten Sonra Öğrendiği Dersler
İtalya’daki ilk saldırı 2 Şubat’ta Roma’da enerji şirketi Acea’ya karşı başladı. Pazar günü bir İtalyan haber ajansına konuşan Ulusal Siber Güvenlik Ajansı’na göre, elektrik üreten ve tedarik eden ve doğal gaz tedarik eden şirket, o zamandan beri BT sistemlerinin işlevselliğini geri kazandı.
İtalyan ACN, saldırılardan BlackBasta’yı sorumlu tuttu ve İtalyan yayın Nova News’e yaptığı açıklamada Acea, saldırının BlackBusta tarafından gerçekleştirildiğini doğruladı.
ACN, BlackBasta faaliyetleri hakkında, grubun aktif olarak ülke genelinde yama uygulanmamış ESXi sunucularını hedef aldığı dışında daha fazla ayrıntı sağlamadı.
BlackBasta, nispeten yakın zamanda Şubat 2022’de ortaya çıkan ve kurbanlara karşı çifte gasp fidye yazılımı saldırıları uygulayan bir hizmet olarak fidye yazılımı kuruluşudur. Köklerinin artık feshedilmiş Conti fidye yazılımı grubu olduğuna inanılıyor, ancak BlackBasta kodu yeni ve antivirüs ve EDR tespitinden kaçınmayı amaçlayan çok sayıda güncellemeyle Kasım ayında yeniden yayınlandı.
İki Yaşındaki Güvenlik Açığı
CVE-2021-21974 izlenen güvenlik açığı aslında iki yaşında ve VMware’in sanal makineleri çalıştırmak için tasarlanmış ESXi sunucularını etkiliyor. VMware, Şubat 2021’de makineler için yamalar yayınladı.
ANC’ye göre, kampanyanın İtalya’da en az bir düzine vaka ile dünya çapında binlerce kuruluşu hedef aldığı tahmin ediliyor. Ajans, bazı kuruluşların tehlikeye atıldıklarının farkında olmayabilecekleri için bu sayıların çok daha yüksek olabileceğini ekledi (bkz.: Devasa Fidye Yazılımı Kampanyası VMware ESXi Sunucularını Hedefliyor).
Kusurun büyük çapta istismarı ilk olarak Cuma günü, tanımlanamayan bir fidye yazılımı kampanyasının büyük ölçekli tavizler için otomatikleştirilmiş çözümler kullandığını söyleyen Fransız CERT tarafından işaretlendi.
Information Security Media Group’a konuşan bir VMWare sözcüsü, kampanyanın arkasında ESXiArgs adını verdikleri bir grubun olduğunu söylüyor. Şirket, ESXiArgs’ın aslında BlackBasta veya bir bağlı kuruluş olup olmadığının açıklığa kavuşturulmasını isteyen bir yorum talebine hemen yanıt vermedi.
ANC, savunmasız VMware ESXi kullanıcılarına, potansiyel bir uzlaşmadan kaçınmak için kusuru derhal düzeltmelerini tavsiye etti ve saldırganların artık Fransa, Finlandiya, Amerika Birleşik Devletleri ve Kanada’daki savunmasız ağları giderek daha fazla hedef aldığını ekledi. Kuruluşlara ayrıca sistemleri kötü amaçlı yazılımlara karşı taramaları önerilir. Almanya’nın siber güvenlik kurumu BSI da Pazartesi günü bir uyarı yayınladı.
Derin web izleme firması DarkFeed tweet attı Pazartesi günü, VMware ESXi fidye yazılımı saldırıları dünya çapında yayılmaya devam ediyor, Pazartesi itibarıyla en fazla vaka 188 vakayla Fransa’dan bildirildi, onu 91 vakayla Almanya ve 69 ile Amerika Birleşik Devletleri izledi.