Kozmetik firması Estée Lauder’ın Cl0p ve BlackCat fidye yazılımı grupları tarafından saldırıya uğradığına dair raporlara göz atıyoruz.
Estée Lauder şu anda bir taviz fırtınasının merkezinde ve Salı günü Menkul Kıymetler Borsası Komisyonu’na (SEC) dosyalama yoluyla büyük bir güvenlik sorununu ortaya çıkarıyor.
Neler olduğuna dair ayrıntılı bir açıklama yapılmamasına rağmen, bir saldırının bazı sistemlere erişime izin verdiğine ve olası veri sızdırmalarına yol açtığına dair kanıtlar var. Bu arada, iki fidye yazılımı grubu, birbiriyle ilgisiz uzlaşmalar için kredi alıyor. Dosyalamada belirtilen tavizlerden biri saldırı mı? Burada Estée Lauder’in her iki fidye yazılımı grubuna da isim vermediğini belirtmekte fayda var. Bu itibarla dosyanın ilgili bölümü şu şekildedir:
Estée Lauder Companies Inc. (NYSE: EL), yetkisiz bir üçüncü tarafın Şirketin bazı sistemlerine erişim sağlamasıyla ilgili bir siber güvenlik olayı tespit etti. Şirket, olaydan haberdar olduktan sonra proaktif olarak bazı sistemlerini devre dışı bıraktı ve önde gelen üçüncü taraf siber güvenlik uzmanlarının yardımıyla derhal bir soruşturma başlattı. Şirket aynı zamanda kolluk kuvvetleriyle de koordinasyon halindedir. Soruşturmanın mevcut durumuna göre Şirket, yetkisiz kişilerin sistemlerinden bazı veriler elde ettiğini düşünmektedir ve Şirket bu verilerin niteliğini ve kapsamını anlamak için çalışmaktadır.
Şirket, ticari faaliyetlerini güvence altına almak için önlemler uyguluyor ve uygunsa ek adımlar atmaya devam edecek. Devam eden bu olay sırasında Şirket, etkilenen sistemleri ve hizmetleri geri yükleme çabaları da dahil olmak üzere iyileştirmeye odaklanır. Olay, Şirketin iş operasyonlarının bazı bölümlerinde aksamaya neden olmuştur ve aksamaya devam etmesi beklenmektedir.
Bleeping Computer, ALPHV/BlackCat ve Cl0p gruplarının özellikle ilgisiz iki fidye yazılımı ihlalinin sorumluluğunu üstlendiğini belirtiyor. Daha da kötüsü, her iki fidye yazılımı grubu da Estée Lauder olduğunu iddia ettikleri verileri sızıntı portallarında ele geçirmeye hazır durumda.
Bu tür sitelere aşina değilseniz, bunlar fidye yazılımı gruplarının çalınan verileri depoladığı yerlerdir. Güvenliği ihlal edilen kuruluş daha sonra, bir fidye ödenmediği takdirde verilerin kamuya açıklanması, takas edilmesi veya en yüksek teklifi verene satılmasıyla tehdit edilir. Bu, cihazların şifrelenmesinin para çekmenin yalnızca ilk adımı olduğu sözde “çifte gasp” fidye yazılımlarında yaygın bir taktiktir.
Cl0p grubu, eldeki 131 GB civarında bir veriye sahip olduğunu iddia ediyor. Bu arada BlackCat, Estée Lauder ile iletişim eksikliğinden şikayet ediyor, birden fazla e-posta gönderiyor ancak yanıt alamıyor. Ayrıca, ağı korumaya yönelik çeşitli girişimlere rağmen hala ağ erişimine sahip olduğunu iddia ediyor.
Güya, alınan bilgiler “müşterileri, çalışanları ve tedarikçileri etkileyebilir”. Şu anda içerik hakkında daha fazla ayrıntı yok. Düzenli okuyucular, bu saldırıların genellikle gizli bilgileri, şirket sırlarını, kişisel verileri, maaş bordrosunu ve kimlik taramalarını hedef aldığını bilecektir. Saldırganlar blöf yapıyor olabilir veya gerçekten iddia ettikleri kadar kötü olabilir. Bekleyip görmemiz gerekecek.
Cl0p uzlaşmasının, hedef sistemlere erişim elde etmek için bir MOVEit Transfer güvenlik açığından yararlandığı söyleniyor. Hem Cl0p hem de BlackCat, fidye yazılımı inceleme gönderilerimizde ağırlıklı olarak yer alma eğilimindedir. Haziran gönderimizde, Cl0p, BlackCat’in şüpheli bir şekilde sessizleşmesiyle, etraftaki en aktif gruptu. Belki de her zaman bunun gibi ağır vurucu saldırılara odaklanıyordu.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri algıla. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden çok farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışı, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE