Britanya Kütüphanesi, Ekim ayında gerçekleşen siber saldırının arkasındaki fidye yazılımı karteli tarafından kullanıcı verilerinin sızdırıldığını ve sistemlerine sızdırıldığını doğruladı; sistemler haftalar sonra çevrimdışı kalarak kütüphanenin yalnızca minimum düzeyde barebone hizmeti çalıştırabilmesini sağladı.
Kurum geçen hafta, siber suçluların çoğunlukla insan kaynakları (İK) dosyaları olmak üzere dahili belgeleri çaldıklarına dair kanıtları yayınlamalarının ve yedi- 27 Kasım Pazartesi günü sona eren günlük müzayede.
Bu sürenin bitiminden sonra, İngiliz Kütüphanesi Twitter/X aracılığıyla belirtti Saldırıdan kaynaklanan veri ihlalinin boyutunun düşünülenden daha kötü olduğu artık görülüyor.
Bir sözcü, “Geçen hafta bunun bir fidye yazılımı saldırısı olduğuna dair onayın ardından, artık saldırganların bazı kullanıcı verilerini kopyalamış olabileceğini gösteren kanıtlarımız var ve ek verilerin karanlık ağda yayınlanmış gibi göründüğünü” söyledi.
“Bu materyalin ne olduğunu incelemek için siber güvenlik uzmanlarıyla çalışmaya devam edeceğiz ve atmaları gerekebilecek pratik adımlar konusunda onlara tavsiyelerde bulunmak için kullanıcılarımızla iletişime geçeceğiz.”
British Library genel müdürü Roly Keating şunları söyledi: “Bunun kullanıcılarımız ve ortaklarımız için rahatsız edici bir dönem olduğunun farkındayız ve bu suç niteliğindeki saldırının etkisini anlamak için gece gündüz çalışırken onların sabrı ve desteği için son derece minnettarız.
“Kesin bir zaman çizelgesi sunmak için henüz çok erken ancak Kütüphane’nin çevrimiçi sistemlerini güvenli ve sürdürülebilir bir şekilde geri yüklemek için ne yapmamız gerektiğini belirlemeye çalışırken kullanıcılarımıza düzenli güncellemeler ve ihtiyati rehberlik sağlayacağız.”
Britanya Kütüphanesi, geçtiğimiz ay hizmetlere erişimde karşılaştıkları sorunlara rağmen kullanıcılarından iyi niyet dalgası alıyor ancak şimdi ek zorluklarla ve olası yasal veya düzenleyici sonuçlarla karşı karşıya kalacak.
Yasal yükümlülükleri uyarınca Bilgi Komiseri Ofisi’ni (ICO) halihazırda bilgilendirdi ve Londra Metropolitan Polisi ve Ulusal Siber Güvenlik Merkezi ekipleriyle yoğun bir şekilde çalışıyor.
ESET küresel siber güvenlik danışmanı Jake Moore şunları söyledi: “Britanya Kütüphanesi’ne yapılan saldırının boyutu, bu tür karmaşık saldırılarla etkili bir şekilde mücadele etmek için siber güvenlik uygulamalarında sürekli iyileştirmenin önemini ortaya koyuyor. Bunun kuruluşu ve kullanıcıları etkilediği süre, şirketlerin bir saldırı sonrasında nasıl mücadele ettiğinin de altını çiziyor.
“Benzersiz şifrelerin kullanımı da etkileniyor ve Britanya Kütüphanesi’nin insanlara, etkilenebilecek diğer siteler için şifrelerini değiştirmelerini hatırlatması bırakıldığında da fark ediliyor.”
Moore şunları ekledi: “Çalınan veriler artık karanlık ağda olduğundan onu kaldırmak imkansız olacak, dolayısıyla temizleme süreci yetkililerle birlikte çalışmayı ve bundan etkilenenleri ileriye yönelik en iyi uygulamalar konusunda bilgilendirmeyi içeriyor. Bu saldırının küçük bir olumlu yanı, artık diğer kuruluşların da aynı durumun kolaylıkla onların başına gelebileceğinden korkacakları ve bu nedenle mümkün olan yerlerde korumalarını iyileştirecekleri umudunun var olmasıdır.”
Rhysida: ayrım gözetmeyen bir tehdit
2023’ün başlarında ortaya çıkan ve markasını Hindistan, Güneydoğu Asya ve Avustralasya’ya özgü bir çıyan türünden alan Rhysida, çalışmalarında biraz ayrım gözetmeyen bir yaklaşım benimseyen bir hizmet olarak fidye yazılımı (RaaS) operasyonudur.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) göre grup, “fırsat hedeflerini” etkiliyor ve eğitim, hükümet, sağlık, bilgi teknolojileri ve imalat gibi sektörleri vuruyor.
Hedeflerinin ağlarına erişmek ve bu ağlarda bir dayanak oluşturmak için ağırlıklı olarak dışarıya bakan uzak hizmetlerden yararlanıyor ve kurbanların kimlik bilgileri hijyenine yeterince dikkat etmediği durumlarda, sıklıkla, güvenliği ihlal edilmiş geçerli kimlik bilgilerini kullanarak dahili VPN erişim noktalarında kimlik doğrulaması yaptığı görülüyor.
Ayrıca, Microsoft NetLogon uzak protokolündeki bir ayrıcalık yükseltme kusuru olan CVE-2020-1472’yi veya Zerologon’u kullandığı ve açıklamada etkisi açısından “neredeyse mükemmel” bir güvenlik açığı olarak tanımlandığı da görüldü.
Diğerleri gibi, grup da arazide yaşayan ikili dosyaların veya LoLBin’lerin (kurbanlarının ortamlarına karışmasını ve tespit edilmekten kaçınmasını sağlayan meşru yürütülebilir dosyalar) coşkulu bir suistimalcisidir.
CISA’ya göre çetenin, okulları ve üniversiteleri ısrarla hedef almasıyla ün kazanan Vice Society fidye yazılımı operasyonuyla bir ilişkisi olması mümkün.