Halihazırda Shell, Sony, PWC, EY, Boston Globe, Norton LifeLock ve hatta ABD Enerji Departmanını da içeren Cl0p fidye yazılımı kurbanlarının listesi, fidye yazılımı grubu GUS Canada veri ihlalini üstlendikçe büyümeye devam ediyor.
Tehdit analisti Brett Callow’un tweet’inde, “Cl0p, Toronto School of Management ve Canadian College of Technology and Business dahil olmak üzere bir dizi okulu işleten #GUS Canada’yı listeledi.”
Global University Systems Canada, Hollanda’da kayıtlı ve uluslararası bir yüksek öğretim kurumları ağı işleten özel bir limited şirket olan Global University Systems’in (GUS) Kanada koludur.
Bu arada, giderek daha fazla sayıda Cl0p fidye yazılımı kurbanı, siber saldırılara gerçekten maruz kaldıklarını kabul etmeye başladı ve bunların çoğu, saldırılarda MOVEit dosya aktarım güvenlik açıklarının kullanıldığını açıkladı.
Ancak Perşembe günü Cl0p tarafından bahsedilen büyük şirketlerden hiçbiri (PWC, EY, Sony ve Andesa Services) MOVEit saldırılarına karıştığını doğrulamadı.
GUS Kanada veri ihlali ve büyüyen Cl0p fidye yazılımı kurbanları listesi
Global University Systems BV, kar amacı gütmeyen eğitim sektöründe geniş bir varlığa sahip, Hollandalı bir özel limited şirkettir. İngiltere, Kanada, İsrail ve Avrupa’da çok sayıda özel kolej ve üniversiteye sahiptir ve bunları yönetmektedir.
Ayrıca GUS, bir e-eğitim sağlayıcısı olan InterActive dahil olmak üzere eğitim endüstrisindeki çeşitli markaları ve şirketleri denetler.
2018 itibarıyla GUS, kendi pazarlama, satış ve iş geliştirme departmanlarında yaklaşık 1.100 bağımsız eğitim acentesi ve 500 personelden oluşan bir ağ aracılığıyla 175’ten fazla ülkeden üniversitelerine ve kolejlerine öğrenci alıyordu.
Moody’s Investors Service’e göre şirket, 2018’deki gelirlerinin yaklaşık %27’sini “acente ağını ve pazarlama yeteneklerini ağırlıklı olarak üçüncü taraf kurumlara öğrenci sağlamak için kullanmaktan” elde ediyordu.
Global University Systems Canada, MOVEit güvenlik açıklarını kullanan devam eden küresel bilgisayar korsanlığı kampanyasına yenik düşen Cl0p fidye yazılımı kurbanları listesindeki sonuncusudur.
Cl0p fidye yazılımı kurbanları ve MOVEit güvenlik açıkları
Hedef alınan kuruluşlar arasında çok uluslu medya şirketi Sony’nin yanı sıra iki önde gelen muhasebe firması, PricewaterhouseCoopers (PWC) ve Ernst & Young (EY) yer alıyor.
Ek olarak, Pensilvanya merkezli poliçe yaşam döngüsü yönetimi sağlayıcısı Andesa Services da mağdurlar listesine eklendi.
Sektör uzmanlarına göre PWC ve Ernst & Young, tüm ABD şirketlerinin %80’inden fazlasını denetlemekten sorumlu prestijli “Dört Büyük” muhasebe firmasının bir parçası olarak dünya çapında tanınmaktadır.
Dünyanın en büyük ikinci muhasebe firması olarak gösterilen PWC’nin, şirket arşivleri de dahil olmak üzere Cl0p tarafından çalınan 121 GB’tan fazla bilgiye sahip olduğu bildirildi. Öte yandan Ernst & Young’ın 3GB veri ve arşiv hırsızlığına uğradığı iddia edildi.
Cl0p daha önce fidye taleplerini 14 Haziran’a kadar karşılayamazlarsa kurbanlarının isimlerini ve çalınan verilerini ifşa etmekle tehdit etmişti.
Ekip, hassas bilgilere yetkisiz erişim elde etmek için SQL veritabanı enjeksiyonunu kullanarak MOVEit sistemindeki sıfır gün hatasından yararlandığını iddia ediyor.
Sony ve Andesa Hizmetlerinden çalınan verilerle ilgili belirli ayrıntılar Cl0p tarafından açıklanmasa da, bunların saldırıya dahil edilmesi, bu bilgisayar korsanlığı çılgınlığının geniş erişimini daha da vurgulamaktadır.
MOVEit kampanyasının önceki kurbanları arasında BBC, Boston Globe, Norton LifeLock gibi ünlü isimler ve hatta ABD Enerji Bakanlığı gibi ABD federal kurumları yer alıyor.
Cl0p fidye yazılımı ve MFT güvenlik açıkları
Çifte şantaj taktiklerini kullanmasıyla tanınan Cl0p, daha önce Mart ayında ayrı bir saldırıda petrol ve gaz devi Shell Global’i hedef almıştı.
Bu olay sırasında çete, Fortra GoAnywhere dosya yönetim sistemindeki bir güvenlik açığından yararlandı. Yüzlerce kurbanı etkileme potansiyeline sahip mevcut MOVEit saldırısı, önceki ihlalin sonuçlarını geride bırakabilir.
Ek olarak, Aralık 2020’de Clop, Accellion’ın eski dosya aktarım uygulama yazılımındaki sıfır gün güvenlik açıklarından yararlanarak veri hırsızlığına neden olarak 100’den fazla şirketi hedef aldı.
İlginç bir şekilde, her üç durumda da Clop imza fidye yazılımını dağıtmadı. Bunun yerine, seçtikleri saldırı yöntemi olarak veri gasp taktiklerini kullandılar.
2019’dan beri aktif olan ve Rusya ile bağlantıları olan Cl0p fidye yazılımı sendikası, TA505, Lace Tempest, Dungeon Spider ve FIN11 gibi çeşitli takma adlar altında faaliyet gösteriyor.
Tipik olarak gelirleri 5 milyon doları aşan kuruluşlara odaklanan çete, fidye talepleri karşılanmazsa çalınan verileri serbest bırakmakla tehdit ederek çifte gasp teknikleri kullanıyor.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları için hiçbir sorumluluk kabul etmez.