Daixin Ekibi fidye yazılımı çetesi, yakın zamanda Omni Hotels & Resorts’a düzenlenen bir siber saldırıyı üstlendi ve şimdi, fidye ödenmediği takdirde müşterilerin hassas bilgilerini yayınlamakla tehdit ediyor.
Otel zinciri, şirketin BT sistemlerini çökerten ve rezervasyon, otel odası kapı kilidi ve satış noktası (POS) sistemlerini etkileyen büyük bir kesintiden iki hafta sonra, hafta sonu Daixin Ekibinin karanlık web sızıntı sitesine eklendi.
2 Nisan’da Omni Hotels, ülke çapındaki BT kesintilerinin temel nedeninin bir siber saldırı olduğunu doğruladı.
Otel zinciri BleepingComputer’a şunları söyledi: “29 Mart Cuma gününden bu yana Omni Hotels & Resorts, sistemlerine yönelik bir siber saldırıya yanıt veriyor. Bu sorunun öğrenilmesi üzerine Omni, verilerini korumak ve kontrol altına almak için sistemlerini derhal kapatmak üzere adımlar attı.”
“Sonuç olarak, çoğu geri yüklenen belirli sistemler çevrimdışı duruma getirildi. Omni, önde gelen bir siber güvenlik müdahale ekibiyle birlikte hızla bir soruşturma başlattı ve bu soruşturma devam ediyor.”
Omni olayın niteliğini açıklamamış olsa da kaynaklar BleepingComputer’a otel zincirinin bir fidye yazılımı saldırısının kurbanı olduğunu ve şifrelenmiş sunucuları yedeklerden manuel olarak geri yüklediğini söyledi.
Daixin Ekibi otel zincirini artık sızıntı sitelerine eklemiş olsa da tehdit aktörleri, Omni Hotels’in ele geçirilen sunucularından çalındığı iddia edilen bilgileri “yakında” sızdıracaklarını söyleyerek iddialarına ilişkin kanıtları henüz yayınlamadılar.
Çete ayrıca “çalınan verilerin, 2017’den bu yana tüm ziyaretçilerin tüm kayıtları dahil olmak üzere hassas verileri içerdiğini” iddia ediyor.
Ekim 2022’de CISA, FBI ve Sağlık ve İnsani Hizmetler Bakanlığı (HHS), Daixin Ekibi siber suç çetesinin fidye yazılımı saldırılarında ABD Sağlık ve Halk Sağlığı (HPH) sektörünü hedef aldığı konusunda uyardı.
O zamandan bu yana, finansal motivasyona sahip bu fidye yazılımı ve gasp grubu, sistemleri şifreledikleri ve hasta sağlık bilgilerini (PHI) ve kişisel bilgileri (PII) çaldıkları çok sayıda olayla ilişkilendirildi.
Bu bilgiler daha sonra çifte gasp için kullanılıyor ve çalınan verileri çevrimiçi yayınlama tehdidi altında mağdurlara fidye ödemeye baskı yapılıyor.
Daixin Ekibi, kuruluşların VPN sunucularındaki bilinen güvenlik açıklarından yararlanarak veya çok faktörlü kimlik doğrulamayı (MFA) kapatmış hesaplara ait güvenliği ihlal edilmiş VPN kimlik bilgilerini kullanarak hedef ağlara erişim elde ediyor.
Omni Hotels, Amerika Birleşik Devletleri, Kanada ve Meksika’da 23.550’den fazla oda ve 28 golf sahasıyla 50 otel ve resort işletmektedir.
2016 yılında, Kuzey Amerika’daki 60 otelinin 49’unda kötü amaçlı yazılımların satış noktası (PoS) sistemlerine bulaşmasından kaynaklanan bir veri ihlali de ortaya çıktı.
Saldırganlar, kart sahibinin adı, kredi/banka kartı numarası, güvenlik kodu ve son kullanma tarihi dahil olmak üzere ödeme kartı bilgilerini çalmak için PoS kötü amaçlı yazılımını kullandı.