ALPHV fidye yazılımı çetesi, diğer adıyla BlackCat, geçen hafta orta Avrupa ülkesinde bir doğal gaz boru hattı ve elektrik şebekesi operatörü olan Creos Luxembourg SA’ya yönelik bir siber saldırının sorumluluğunu üstlendi.
Beş AB ülkesinde enerji tedarikçisi olarak faaliyet gösteren Creos’un sahibi Encevo, 25 Temmuz’da bir önceki hafta sonu 22-23 Temmuz tarihleri arasında bir siber saldırıya uğradıklarını duyurdu.
Siber saldırı sonucunda Encevo ve Creos müşteri portalları kullanılamaz hale gelirken, verilen hizmetlerde herhangi bir kesinti yaşanmadı.
28 Temmuz’da şirket, siber saldırıyla ilgili bir güncelleme yayınladı ve araştırmalarının ilk sonuçları, ağa izinsiz girenlerin erişilen sistemlerden “belirli miktarda veri” sızdırdığını gösterdi.
O sırada Encevo, etkinin kapsamını tahmin edebilecek bir konumda değildi ve müşterilerden soruşturmalar tamamlanana kadar sabırlı olmalarını istedi ve bu sırada herkese kişiselleştirilmiş bir bildirim verilecekti.
Encevo’nun medya portalında daha fazla güncelleme yayınlanmadığından, bu prosedür muhtemelen halen devam etmektedir. Encevo, daha fazla bilgi elde edildiğinde, siber saldırı için özel bir web sayfasında yayınlanacağını söylüyor.
Şimdilik, tüm müşterilerin Encevo ve Creos hizmetleriyle etkileşim kurmak için kullandıkları çevrimiçi hesap kimlik bilgilerini sıfırlamaları önerilir. Ayrıca bu şifreler diğer sitelerde de aynı ise müşterilerin bu sitelerde de şifrelerini değiştirmeleri gerekmektedir.
Bleeping Computer, siber saldırının etkisi hakkında daha fazla bilgi istemek için Creos ile iletişime geçti, ancak firmanın bir sözcüsü bu aşamada herhangi bir yorum yapmayı reddetti.
BlackCat yine gaza bastı
ALPHV/BlackCat fidye yazılımı grubu, Creos’u gasp sitesine Cumartesi günü ekleyerek sözleşmeler, anlaşmalar, pasaportlar, faturalar ve e-postalar dahil olmak üzere toplam boyutu 150 GB olan 180.000 çalıntı dosyayı yayınlamakla tehdit etti.
Bu tehdidin yerine getirilmesi için kesin bir zaman açıklanmazken, bilgisayar korsanları ifşanın bugün (Pazartesi) daha sonra gerçekleşeceğine söz verdiler.
ALPHV/BlackCat kısa süre önce, kurbanlarına fidye ödemeleri için baskıyı artırmak amacıyla çalınan verileri ziyaretçiler tarafından aranabilir hale getirdikleri yeni bir gasp platformu başlattı.
BlackCat, veri gaspı konusunda yenilikler yapmaya devam ederken, hatalarından asla ders almıyor gibi görünüyor ve uluslararası kanun uygulayıcı kurumların hedef tahtasına oturacak yüksek profilli şirketleri hedef almaya devam ediyor.
BlackCat’in, Colonial Pipeline’a yönelik son derece kamuoyuna duyurulan fidye yazılımı saldırısının ardından kolluk kuvvetlerinin baskısı altında kapatılan bir DarkSide operasyonu olduğuna inanılıyor.
DarkSide’ı kapattıktan sonra, kolluk kuvvetlerinden kaçmak için BlackMatter olarak yeniden markalaştılar, ancak çete tekrar kapatıldığında baskı devam etti.
Tehdit aktörlerinin BlackCat/ALPHV olarak yeniden piyasaya sürüldüğü Kasım 2021’den bu yana, tehdit aktörleri büyük Amerikan hedeflerinden kaçınma ve bunun yerine Avusturya devletleri, İtalyan moda zincirleri ve bir İsviçre havaalanı servis sağlayıcısı gibi Avrupa varlıklarını hedefleme eğilimindedir.
Ancak, hatalarından ders almadıkları ve Şubat ayında Alman petrol tedarik şirketi Oiltanking ve şimdi Creos Lüksemburg gibi kritik altyapılara saldırmaya devam ettikleri görülüyor.