İki fidye yazılımı aktörü, ALPHV/BlackCat ve Clop, güzellik şirketi Estée Lauder’ı veri sızıntısı sitelerinde ayrı saldırıların kurbanı olarak listeledi.
Şirkete hoşnutsuz bir mesaj gönderen BlackCat çetesi, güvenlik önlemlerinin hala ağda bulunduğunu söyleyerek alay etti.
MOVEit veri hırsızlığı saldırısı
Estée Lauder Şirketleri Salı günü bir Güvenlik Değişim Komisyonu (SEC) dosyasında, tehdit aktörünün bazı sistemlerine erişim kazandığını ve verileri çalmış olabileceğini söyleyen saldırılardan birini doğruladı.
Şirket, proaktif davrandığını ve saldırganların ağa yayılmasını önlemek için bazı sistemleri devre dışı bıraktığını söyleyerek olayla ilgili çok fazla ayrıntı vermedi.
“Önde gelen üçüncü taraf siber güvenlik uzmanlarının” desteğiyle bir soruşturma devam ediyor. Şirket ayrıca kolluk kuvvetleriyle de koordinasyon halindedir.
Görünüşe göre Clop fidye yazılımı çetesi, güvenli dosya aktarımları için MOVEit Transfer platformundaki bir güvenlik açığından yararlanarak şirkete erişim sağladı.
Tehdit aktörü, Mayıs ayı sonlarında sıfır gün olduğunda bu güvenlik açığından yararlanmaya başladı ve yüzlerce şirketi veri hırsızlığı nedeniyle ihlal ettiğini iddia etti.
Clop fidye yazılımı, veri sızıntısı sitesinde Estée Lauder’ı “Şirket müşterilerini umursamıyor, güvenliklerini hiçe sayıyor!!!” şeklinde basit bir mesajla listeliyor. ve 131 GB’tan fazla şirket verisine sahip olduklarına dair bir not.
BlackCat müzakere için baskı yapıyor
Salı günü BlackCat, Estée Lauder’ı da kurban listesine ekledi, ancak girişe, tehdit aktörünün şirketin şantaj e-postalarına sessiz kalmasından duyduğu memnuniyetsizliği gösteren bir mesaj eşlik ediyor.
“ELC liderliğine ilk olarak 15 Temmuz 2023’te kurumsal ve kişisel e-postalarına yazdık. 9:43 MSK’de (UTC +3).
“Aynı adresten başka e-postalar gönderdik, ancak yanıt alamadık” – BlackCat fidye yazılımı
Estée Lauder’in araştırmak üzere getirdiği güvenlik uzmanlarına atıfta bulunan BlackCat, şirketin Microsoft’un Algılama ve Yanıt Ekibi (DART) ve Mandiant’ı kullanmasına rağmen ağın güvenliğinin ihlal edildiğini ve hâlâ erişimleri olduğunu söyledi.
Saldırgan ayrıca şirket sistemlerinden hiçbirini şifrelemediklerini söyleyerek, Estée Lauder müzakerelere girmediği takdirde çalınan veriler hakkında daha fazla ayrıntı vereceklerini sözlerine ekledi.
BlackCat, sızan bilgilerin müşterileri, şirket çalışanlarını ve tedarikçileri etkileyebileceğini ima etti.
Estée Lauder’in BlackCat’in iletişimine yanıt vermemesi, şirketin tehdit aktörüyle herhangi bir müzakereye girmeyeceğini gösteriyor.
SEC dosyalamasında şirket, “etkilenen sistemleri ve hizmetleri geri yükleme çabaları da dahil olmak üzere iyileştirmeye” odaklanıldığını ve “olayın Şirketin ticari operasyonlarının bazı bölümlerinde aksamaya neden olduğunu ve aksamaya devam etmesinin beklendiğini” bildiriyor.