Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Havacılık Devi, Parça ve Dağıtım İşlerinin Etkilendiğini Söyledi
Mathew J. Schwartz (euroinfosec) •
2 Kasım 2023
Boeing, kötü şöhretli bir fidye yazılımı grubunun dünyanın en büyük havacılık ve uzay şirketinin sistemlerini ihlal ettiğini iddia etmesinden birkaç gün sonra bir “siber olay” yaşandığını doğruladı.
Ayrıca bakınız: 2022 Esnek Küresel Tehdit Raporu
Bir Boeing sözcüsü Bilgi Güvenliği Medya Grubu’na, “Parça ve dağıtım işimizin unsurlarını etkileyen bir siber olayın farkındayız. Bu sorun uçuş güvenliğini etkilemez” dedi.
Sözcü, “Olayı aktif olarak araştırıyoruz ve kolluk kuvvetleri ve düzenleyici makamlarla koordineli çalışıyoruz” dedi. “Müşterilerimizi ve tedarikçilerimizi bilgilendiriyoruz.”
Boeing’in soruşturmasını onaylaması, Cumartesi günü LockBit fidye yazılımı grubunun kötü amaçlı yazılım araştırma grubu vx-underground tarafından sızıntı sitesinde yayınlanan bir gönderi aracılığıyla “muazzam miktarda hassas veri” çaldığını iddia etmesinin ardından geldi. Şantajcılar, kurbanın henüz müzakerelere başlamaması halinde çalınan verileri Perşembe gününe kadar çöpe atmakla tehdit etti.
Merkezi Arlington, Virginia’da bulunan Boeing, Eylül ayında sona eren 12 aylık dönemde 75,8 milyar dolar gelire ve dünya çapında 150.000 çalışana sahip. Herhangi bir Boeing sisteminin saldırganlar tarafından zorla şifrelenip şifrelenmediği belirsizliğini koruyor.
Fidye yazılımı grupları, ne pahasına olursa olsun kâr arayışında düzenli olarak yalan söyler veya gerçeği çarpıtır. Yine de LockBit’in iddiaları doğruysa, Boeing’in büyük bir uçak, helikopter, uydu, roket, füze ve telekomünikasyon ekipmanı üreticisi olduğu ve ABD Savunma Bakanlığı’nın önemli bir yüklenicisi olduğu göz önüne alındığında bu endişe vericidir.
Çifte Gasp Meraklıları
LockBit, çifte gasp uygulayan bir dizi fidye yazılımı grubundan biridir. Bu, veri çalma iddialarının yanı sıra kripto kilit sistemlerine de atıfta bulunuyor ve ardından şifre çözücü için ayrı fidye ödemeleri ve çalınan verileri silme sözü talep ediyorlar. LockBit de dahil olmak üzere pek çok grup veri sızıntısı blogları yayınlıyor ve mağdurların isimlerini verip ödeme yapmaları için onları utandırmaya çalışıyor. Bu tür kurbanlar genellikle grubun ilk fidye talebini görmezden geldikten veya reddettikten sonra listeye alınıyor.
Perşembe günü itibarıyla Boeing artık LockBit’in web sitesinde listelenmiyor. Bunun neden böyle olabileceği açık değil.
LockBit, bir hizmet olarak fidye yazılımı operasyonudur; bu, iş ortaklarının (siber suç tabiriyle bağlı şirketlerin) grubun kripto kilitleme kötü amaçlı yazılımlarının düzenli olarak güncellenen sürümlerini indirmek için LockBit portalına eriştiği anlamına gelir. Bağlı kuruluş fidye ödeyen bir kurbana virüs bulaştırdığında, LockBit bir pay alır ve potansiyel bağlı kuruluşlara bunu muhafaza ettiğini söyler, geri kalanı ise bağlı kuruluşa gider. RaaS hizmetinin operatörleri genellikle mağdurlarla müzakereleri de yürütür ve ödeme yapmayan mağdurlar için verilerin yayınlanması da dahil olmak üzere veri sızıntısı sitesini yönetir.
Kötü amaçlı yazılım araştırma grubu vx-underground, LockBit’in Cumartesi günü veri sızıntısı sitesinde Boeing’i listelemesinin ardından fidye yazılımı grubunun liderlik ekibinin üyeleriyle doğrudan konuşabildiğini söyledi.
vx-underground, “LockBit, fidye yazılımı bağlı kuruluşunun 0 günlük bir istismar kullanarak erişim elde ettiğini belirtti” söz konusu X’e (eski adıyla Twitter) bir gönderide. “LockBit bu istismar hakkında daha fazla ayrıntıya girmeyecek, dolayısıyla bu iddiaların meşruiyetini doğrulayamıyoruz. Lockbit tarafından listelenen kurbanların çoğuna müzakerelere başlamaları için 10 gün veya daha fazla süre verildiğini de belirtmekte fayda var. Lockbit, Boeing’e 6 günden az süre verdi. “
Cumartesi günü itibarıyla LockBit, Boeing’den haber alamadığını iddia etti. “Boeing’den bir temsilciyle henüz görüşmediklerini ve bize Boeing hakkında herhangi bir bilgi açıklamayacaklarını, daha spesifik olarak bize Boeing’e ne kadar süreyle erişim sağladıklarına, ne kadar verinin sızdırıldığına dair bilgi vermeyeceklerini bildirdiler. vx-underground, ne tür verilerin çalındığını vb. söyledi.
LockBit, faaliyette olan en zarar verici fidye yazılımı gruplarından biri olmaya devam ediyor. Eylül ayında, siber güvenlik firması Malwarebytes’in bildirdiğine göre grup, veri sızıntısı sitesinde ödeme yapmayan 72 kurbanı listeledi; bu rakam diğer tüm gruplardan daha fazlaydı (bkz: Bilinen Fidye Yazılımı Saldırı Hacmi Yine Aylık Rekor Kırdı).
Bu sayı, halihazırda fidye ödemiş olabilecek kurbanları hesaba katmasa da (bazı uzmanlar, kurbanların ortalama üçte birinin fidye ödediğini söylüyor) ve tüm fidye yazılımı gruplarının sızıntı siteleri çalıştırmadığı uyarısıyla birlikte, yalnızca LockBit’e kaç saldırının izini sürdüğü.
LockBit Sallanıyor
Bu saldırıları körükleyen şey, fidye yazılımı takipçisi Jon DiMaggio’nun ağustos ayında bildirdiği bağlı kuruluşların sayısının geçen yıl 50’den 100’e iki katına çıktığıydı. Farklı iştiraklerin farklı becerileri vardır ve bunlardan birinin, Boeing gibi büyük bir hedefe karşı kullanabileceği sıfır gün güvenlik açığına sahip olması çok olasıdır.
Analyst1’in baş güvenlik stratejisti ve ayrıntılı bir raporun yazarı DiMaggio, LockBit grubunun devam eden başarısının, fidye yazılımının büyük ve yeni bir sürümünü zamanında yayınlayamama veya ödeme yapmayan birçok kurban için verileri otomatik olarak aktaramama ile vurgulanan bir bedeli olduğunu söyledi. LockBit’in sıkıntıları, grubun bağlı kuruluşlarıyla yapılan kapsamlı röportajlara dayanıyor (bkz: Kendi Fidye Yazılımı Başarısının Kurbanı: LockBit’in Sorunları Var).
DiMaggio ISMG’ye, “Tıpkı meşru bir şirket gibi, çok hızlı ve çabuk büyürseniz ve bunu destekleyecek altyapınız yoksa sorunlarınız olur” dedi.
Bu tür sorunların Boeing’in lehine olup olmayacağı belirsizliğini koruyor.