Toronto Şehri, Hitachi Energy ve P&G dahil olmak üzere bir dizi hedefin ardından, Hindistan’ın Goa eyaleti hükümeti, tehdit aktörü grubu Cl0p tarafından başlatılan toplu fidye yazılımı saldırısının son kurbanı oldu. Goa siber saldırısıyla ilgili bu haber için, Siber Ekspres Goa hükümetinin bilgi teknolojisi bakanlığına ve eyalet siber polisine gönderilen onay e-posta taleplerimize henüz bir yanıt gelmedi.
Cl0p fidye yazılımı grubu, dünya çapındaki kuruluşların kullandığı popüler veri aktarım yazılımı GoAnywhere’deki bir güvenlik açığını tespit etti.
Goa Hükümeti, Hindistan CL0P^_- Ransomware tarafından ihlal edildi.
/goa.gov.de#siber güvenlik #bilgigüvenliği pic.twitter.com/XBYD3lzxVk
— Dominic Alvieri (@AlvieriD) 24 Mart 2023
Goa Cyber Attack: Hindistan Eyaletine karşı Cl0p fidye yazılımı
The Cyber Express’in temasa geçtiği siber güvenlik araştırmacıları, goa siber saldırısının gerçekten de Cl0p fidye yazılımı grubunun Goa hükümetini kendi sızıntı sitelerinde kurban olarak listelemesiyle gerçekleşmiş olabileceğini doğruladı.
The Golf Warehouse, Inter-Minerals, Atos, Globalfarm, Alto, Grupo Floraplant ve Onex gibi diğer kuruluşlar arasında yer aldı. Gönderi herhangi bir örnek veri veya fidye talebi listelemedi.
Grubun iddialarını herhangi bir kanıtla desteklemediğine dikkat çeken araştırmacı, paylaşımın blöf olabileceği konusunda The Cyber Express’i uyardı.
“Grubun, gerçek kurban bir üçüncü taraf satıcı olsa bile, daha büyük herhangi bir varlığı kurban olarak talep etme geçmişi var. Dolayısıyla bu iddialar dikkate alınmalıdır” dedi.
Temmuz 2022’de, devletin sel izleme sisteminin, faillerin kilitli dosyaların şifresini çözmek için bitcoin cinsinden fidye talep etmesiyle bir fidye yazılımı saldırısıyla karşı karşıya kaldığı bildirildi.
Goa siber saldırı olayı, Goa Water Resources yönetici mühendisi Sunil Karmarkar’ın Goa Polisinin Siber Suç Hücresine, dosyalarının şifrelenmiş ve erişilemez olduğunu söyleyerek şikayette bulunmasıyla gün ışığına çıktı.
“Sunucu bazı fidye yazılımları tarafından saldırıya uğradı. Tüm dosyalar bir ‘eking uzantısı’ ile şifrelenmiştir ve bunlara erişilemez. Açılır ve depolanan bir dosyada, saldırganlar verilerin şifresinin çözülmesi karşılığında bitcoin talep ettiler” şikayetini okuyun.
GoAnywhere güvenlik açığı ve çok sayıda siber saldırı
Ana şirketi Fortra’nın web sitesinde yapılan açıklamada, “GoAnywhere, küçük şirketlerden Fortune 500 şirketlerine, ayrıca kar amacı gütmeyen kuruluşlara ve devlet kurumlarına kadar çok çeşitli bir kurulum tabanına sahiptir.”
GoAnywhere uygulaması şu anda Google Playstore’da 1.000’den fazla indirilmiştir. Cyber Express, Goa hükümetinin GoAnywhere müşterisi olup olmadığını henüz doğrulamadı.
Güvenlik muhabiri Brian Krebs, 2 Şubat’ta GoAnywhere güvenlik açığının ayrıntılarını bildirdi. Fortra, 7 Şubat’ta GoAnywhere güvenlik açığı yamalarını yayınladı, ancak beş günlük boşluk, bilgisayar korsanlarının bir öfke patlaması yaşaması için yeterliydi.
ABD’deki en büyük sağlık hizmeti sağlayıcılarından biri olan Community Health Systems’den başlayarak, Cl0p ransomware grubu şimdiye kadar 130’dan fazla kurban listeledi.
Birçok bağlı hastane işletmecisi şirkete ve Community Health Systems’in diğer iştiraklerine hizmet sağlayan bir yönetim şirketi olan CHSPSC, 8 Mart’ta ABD’deki Maine Başsavcılığına olay hakkında bilgi verdi.
Açıklamada, “Fortra, CHSPSC’ye 30 Ocak 2023 akşamı olaydan haberdar olduğunu bildirdi ve etkilenen sistemleri 31 Ocak 2023’te çevrimdışı duruma getirerek yetkisiz tarafın sisteme erişimini durdurdu” açıklamasını okudu.
“Fortra’ya göre, yetkisiz taraf, Fortra’nın sistemlerine, özellikle de Fortra’nın GoAnywhere dosya aktarım hizmeti platformuna erişim sağlamak için önceden bilinmeyen bir güvenlik açığını kullandı ve Fortra’nın platformundaki dosya kümelerini tehlikeye attı.”
Yüksek profilli kurbanlardan biri olan Hitachi, ifşasında fidye yazılımı aktörünün adını verdi.
Şirketten yapılan açıklamada, “Kısa bir süre önce FORTRA GoAnywhere MFT (Yönetilen Dosya Aktarımı) adlı bir üçüncü taraf yazılım sağlayıcısının, CLOP fidye yazılımı grubu tarafından gerçekleştirilen ve bazı ülkelerde çalışan verilerine yetkisiz erişimle sonuçlanabilecek bir saldırının kurbanı olduğunu öğrendik.” 17 Mart’ta açıklama