Petrol ve doğalgaz hizmetleri devi Halliburton’a düzenlenen ve şirketin BT sistemlerini ve iş operasyonlarını sekteye uğratan son siber saldırının arkasında RansomHub fidye yazılımı çetesi bulunuyor.
Saldırı yaygın bir kesintiye neden oldu ve BleepingComputer’a, gerekli sistemlerin kapalı olması nedeniyle müşterilerin fatura veya satın alma siparişi oluşturamadığı söylendi.
Halliburton, saldırıyı geçen Cuma günü SEC’e yaptığı başvuruda açıklayarak, 21 Ağustos 2024’te yetkisiz bir tarafça siber saldırıya uğradıklarını belirtti.
Halliburton’un SEC dosyasında, “21 Ağustos 2024’te Halliburton Şirketi (Şirket), yetkisiz bir üçüncü tarafın belirli sistemlerine erişim sağladığının farkına vardı” ifadesi yer aldı.
“Şirket sorunu öğrendiğinde siber güvenlik yanıt planını etkinleştirdi ve yetkisiz faaliyeti değerlendirmek ve düzeltmek için harici danışmanların desteğiyle şirket içinde bir soruşturma başlattı.”
Şirket, petrol ve gaz şirketlerine kuyu inşaatı, sondaj, hidrolik kırılma (fracking) ve BT yazılımı ve hizmetleri dahil olmak üzere çok sayıda hizmet sunmaktadır. Şirketin geniş hizmet yelpazesi nedeniyle, aralarında ve müşterileri arasında büyük bir bağlantı vardır.
Ancak şirket, saldırıya ilişkin pek fazla ayrıntı paylaşmadı. Petrol ve gaz sektöründe çalışan bir müşteri, BleepingComputer’a yaptığı açıklamada, saldırının kendilerini etkileyip etkilemediği ve kendilerini nasıl koruyacakları konusunda karanlıkta bırakıldıklarını söyledi.
Bu durum, bilgi paylaşımının yetersizliği nedeniyle diğer müşterilerin de Halliburton’dan ayrılmasına neden oldu.
BleepingComputer’a ayrıca bazı şirketlerin, petrol ve doğalgaz sektörüne yönelik fiziksel ve siber güvenlik tehditleri için koordinasyon ve iletişimin merkezi noktası görevi gören ONG-ISAC adlı kurumla birlikte çalışarak, saldırıya ilişkin teknik bilgi alarak kendilerinin de ihlal edilip edilmediğini belirlemek için çalıştıkları söylendi.
Saldırının arkasında RansomHub fidye yazılımı var
Günlerdir Halliburton’un RansomHub fidye yazılımı saldırısına uğradığı söylentileri dolaşıyor, kullanıcılar bunu Reddit’te ve işten çıkarma tartışma sitesi TheLayoff’ta iddia ediyor, sitede kısmi bir RansomHub fidye notu yayınlanmıştı.
BleepingComputer, bu iddialarla ilgili olarak Halliburton ile iletişime geçtiğinde, Halliburton daha fazla yorum yapmayacaklarını söyledi.
Halliburton, BleepingComputer’a “Dosyamızda yer alanların ötesinde yorum yapmıyoruz. Sonraki tüm iletişimler 8-K biçiminde olacak” dedi.
Ancak Halliburton, 26 Ağustos’ta tedarikçilere gönderdiği ve BleepingComputer ile paylaştığı e-postada şirketin sistemleri korumak için çevrimdışı bıraktığını ve olayı araştırmak için Mandiant ile birlikte çalıştığını belirten ek bilgiler sağladı.
BleepingComputer’ın gördüğü mektupta, “Halliburton’u etkileyen bir siber güvenlik sorunu hakkında sizi bilgilendirmek için ulaşıyoruz” ifadeleri yer alıyor.
“Sorunu öğrenir öğrenmez siber güvenlik yanıt planımızı etkinleştirdik ve (1) onları korumaya yardımcı olmak için belirli sistemleri proaktif olarak çevrimdışı bırakmak, (2) Mandiant da dahil olmak üzere önde gelen dış danışmanların desteğini almak ve (3) kolluk kuvvetlerine haber vermek gibi adımlar attık.”
Ayrıca e-posta sistemlerinin Microsoft Azure altyapısında barındırıldığı için çalışmaya devam ettiğini belirttiler. Satın alma emirlerini işlemek ve vermek için bir geçici çözüm de mevcuttur.
Bu e-posta, müşterilerin ağlarındaki benzer etkinlikleri tespit etmek için kullanabilecekleri, saldırıyla ilişkili dosya adlarını ve IP adreslerini içeren bir IOC listesi içerir.
Bu IOC’lerden biri, Windows çalıştırılabilir dosyasına aittir bakım.exeBleepingComputer’ın RansomHub fidye yazılımı şifreleyicisi olduğunu doğruladığı.
Örnek analiz edildikten sonra, daha önce analiz edilenden daha yeni bir versiyon olduğu anlaşılıyor, çünkü yeni bir “-cmd dizesi” Dosyaları şifrelemeden önce cihazda bir komutu çalıştıracak komut satırı argümanı.
Fidye Merkezi
RansomHub fidye yazılımı operasyonu, Şubat 2024’te başlatıldı ve çalınan dosyaları en yüksek teklifi verene satan bir veri hırsızlığı ve gasp grubu olduğunu iddia etti.
Ancak kısa bir süre sonra, operasyonun çift gasp saldırılarında fidye yazılımı şifreleyicileri de kullandığı, tehdit aktörlerinin ağlara sızdığı, verileri çaldığı ve ardından dosyaları şifrelediği keşfedildi.
Şifrelenen dosyalar ve çalınan verilerin sızdırılacağı tehdidi, şirketleri fidye ödemeye zorlamak için bir kaldıraç olarak kullanıldı.
Symantec, fidye yazılımı şifreleyicilerini analiz etti ve bunların eskiden Cyclops olarak bilinen Knight fidye yazılımı şifreleyicilerine dayandığını bildirdi.
Knight operasyonu, kaynak kodlarını Şubat 2024’te sattıklarını ve RansomHub’ın piyasaya sürülmesiyle birlikte kapandıklarını iddia etti. Bu, birçok araştırmacının RansomHub’ın Knight fidye yazılımı operasyonunun yeniden markalanmış hali olduğuna inanmasına neden oldu.
FBI bugün RansomHub hakkında bir duyuru yayınlayarak, tehdit grubunun taktiklerini paylaştı ve Şubat ayından bu yana en az 210 mağdurun bilgilerini ihlal ettikleri konusunda uyardı.
FBI ve CISA’nın, Halliburton gibi kritik altyapılara yönelik oldukça etkili bir saldırı gerçekleştirdikten hemen sonra tehdit aktörleri hakkında koordineli tavsiyeler yayınlaması yaygındır. Ancak, tavsiyenin ve saldırının bağlantılı olup olmadığı bilinmemektedir.
RansomHub, yılbaşından bu yana, aralarında Amerikan kar amacı gütmeyen kredi birliği Patelco, Rite Aid eczane zinciri, Christie’s müzayede evi ve ABD telekomünikasyon sağlayıcısı Frontier Communications’ın da bulunduğu çok sayıda yüksek profilli saldırıdan sorumlu oldu.
Fidye yazılımı operasyonunun veri sızdırma sitesi, BlackCat ve ALPHV fidye yazılımı operasyonunun kapatılmasının ardından Change Healthcare’e ait çalınan verileri sızdırmak için de kullanıldı.
BlackCat’in kapanmasının ardından bazı iştiraklerinin RansomHub’a geçtiği ve bu sayede deneyimli fidye yazılımı tehdit aktörleriyle saldırılarını hızla artırabildiği düşünülüyor.