Forklift üreticisi Crown Equipment bugün, bu ayın başlarında tesislerinde üretimi kesintiye uğratan bir siber saldırıya uğradığını doğruladı.
Crown, 19.600 çalışanı ve dünya çapında 14 lokasyonda 24 üretim tesisi ile dünyanın en büyük forklift üreticilerinden biridir.
Yaklaşık 8 Haziran’dan bu yana Crown çalışanları, şirketin ihlal edildiğini ve tüm BT sistemlerinin kapatıldığını, çalışanlara MFA isteklerini kabul etmemeleri ve kimlik avı e-postalarına karşı dikkatli olmaları söylendiğini bildiriyor.
BT sistemleri kapalı olduğundan çalışanlar çalışma saatlerini ayarlayamıyor, servis kılavuzlarına erişemiyor ve bize bazı durumlarda makineleri teslim edemedikleri söyleniyor.
Dün çalışanlara gönderilen ve BleepingComputer tarafından görülen bir e-postada Crown, sonunda “uluslararası bir siber suç örgütü” tarafından siber saldırıya maruz kaldıklarını doğruladı.
Bu e-postanın bir kısmı aşağıda paylaşılmaktadır:
“BT operasyonlarımızdaki kesintiyle birlikte gelişen durumun birçok ek soru yarattığını biliyoruz.
Bugün, Crown’un BT sisteminin uluslararası bir siber suç örgütü tarafından saldırıya uğradığını ve sorunu araştırıp çözebilmemiz için işletim sistemlerimizi kapatmamızı talep ettiğini doğrulayabiliyoruz.
Her zaman mümkün olduğu kadar zamanında iletişim kurmak istesek de, bu durumda bilgisayar korsanlarına bize karşı kullanabilecekleri bilgileri vermememiz önemli olmuştur.
Crown’un uyguladığı güvenlik önlemlerinin çoğunun, suçluların erişebildiği veri miktarını sınırlamada etkili olduğunu belirledik. Ayrıca bilgisayar korsanlarının, bir çalışanın cihazına yetkisiz erişime izin vererek veri güvenliği politikalarımıza uymaması nedeniyle sistemimize giriş yaptığını da öğrendik.
Siber güvenlik konularında dünyanın en iyi uzmanlarından bazılarıyla çalışıyoruz ve FBI’ın yardımına başvurduk. Bu uzmanların yardımıyla etkilenen verileri analiz etmeye devam ediyoruz. Şu ana kadar çalışanlarımızın kişisel bilgilerinin hedef alındığına veya kimlik hırsızlığı amaçlı bilgilerin ele geçirildiğine dair herhangi bir işaret görmedik.” – Çalışanlara Crown e-postası
İlk olarak BornCity tarafından bildirildiği üzere, ihlalin bir çalışanın sosyal mühendislik saldırısına maruz kalması ve bir tehdit aktörünün bilgisayarına uzaktan erişim yazılımı yüklemesine izin vermesi sonrasında meydana geldiğine inanılıyor.
Çalışanlar BleepingComputer’a bu olayın en sinir bozucu kısmının şirketten aldıkları şeffaflık ve iletişim eksikliği olduğunu söyledi.
Başlangıçta çalışanlara, kaçırdıkları günler için hâlâ ödeme almak istiyorlarsa işsizlik başvurusunda bulunmaları veya bankadaki ücretli izinlerini (PTO) ve tatil günlerini kullanmaları gerektiği söylendi.
Ancak BleepingComputer’a bu durumun değiştiği ve çalışanların normal maaşlarını avans olarak alacakları ve kaybedilen saatleri telafi edebilecekleri söylendi.
Bugün Crown, devam eden güvenlik önlemlerinin saldırının etkilerini sınırlamada rol oynadığını belirterek siber saldırıyı ilk kez kamuoyuna doğruladı.
Paylaşılan bir açıklamada, “Şirket hâlâ saldırının neden olduğu kesinti üzerinde çalışıyor ve normal iş operasyonlarına geçiş yolunda ilerleme kaydediyor. Crown ayrıca olayın operasyonları üzerinde yaratabileceği etkiyi azaltmaya yardımcı olmak için müşterileriyle yakın işbirliği içinde çalışıyor.” BleepingComputer ile.
Üretim aksamaya devam etse de şirket artık sistemleri yavaş yavaş tekrar çevrimiçi hale getiriyor.
Crown ne tür bir siber saldırıya maruz kaldıklarını paylaşmasa da bunun “uluslararası bir siber suç örgütü” tarafından kaynaklandığını belirtti, bu da şirketin muhtemelen bir fidye yazılımı saldırısına maruz kaldığı anlamına geliyor.
Maalesef fidye yazılımıysa, bu aynı zamanda saldırıda kurumsal verilerin büyük olasılıkla çalındığı ve fidye ödenmediği takdirde sızdırılacağı anlamına da geliyor.
BleepingComputer, Crown’a saldırının arkasında fidye yazılımı olup olmadığını sordu ancak bugün yapılan açıklamanın dışında ek bilgi bulunmadığını söyledi.