BT hizmetleri ve iş danışmanlığı şirketi HTC Global Services, ALPHV fidye yazılımı çetesinin çalınan verilerin ekran görüntülerini sızdırmaya başlamasının ardından bir siber saldırıya maruz kaldıklarını doğruladı.
HTC Global Services, sağlık, otomotiv, üretim ve finans sektörlerine teknoloji ve ticari hizmetler sunan, yönetilen bir hizmet sağlayıcısıdır.
HTC, şirketin web sitesinde bir açıklama yayınlamasa da dün gece X üzerinden saldırıyı doğrulayan kısa bir duyuru yayınladı.
“HTC bir siber güvenlik olayı yaşadı” diyor bir tweet dün gece HTC’nin X hesabına gönderildi.
“Ekibimiz, kullanıcı verilerinin güvenliğini ve bütünlüğünü sağlamak için durumu aktif olarak araştırıyor ve ele alıyor.”
“Siber güvenlik uzmanlarını görevlendirdik ve sorunu çözmek için çalışıyoruz. Güveniniz bizim önceliğimizdir.”
Bu duyuru, ALPHV (BlackCat) fidye yazılımı çetesinin, HTC’yi veri sızıntısı sitesinde çalındığı iddia edilen verilerin ekran görüntüleri ile birlikte listelemesinden sonra geldi.
Sızan veriler arasında saldırı sırasında çalındığı iddia edilen pasaportlar, iletişim listeleri, e-postalar ve gizli belgeler yer alıyor.
HTC’ye yapılan saldırı hakkında çok az bilgi mevcut olsa da siber güvenlik uzmanı Kevin Beaumont, şirketin Citrix Bleed güvenlik açığı kullanılarak ihlal edildiğine inanıyor.
Beaumont’a göre, HTC’nin iş birimlerinden biri olan CareTech, şirketin ağına ilk erişim için istismar edilen savunmasız bir Citrix Netscaler cihazı çalıştırıyordu.
BleepingComputer, saldırı ve bunların Citrix Bleed kullanılarak ihlal edilip edilmediğine ilişkin sorular için HTC Global Services ile iletişime geçti ancak hemen bir yanıt alınamadı.
ALPHV kurbanları topluyor
Kasım 2021’de başlatılan ALPHV/BlackCat fidye yazılımı operasyonunun, DarkSide ve BlackMatter fidye yazılımı operasyonlarının yeniden markası olduğuna inanılıyor.
DarkSide olarak grup, Colonial Pipeline’ı ihlal ettikten sonra uluslararası ilgi gördü ve bu da dünya çapında kolluk kuvvetlerinin yoğun baskısına yol açtı.
Temmuz 2021’de yeniden BlackMatter olarak yeniden markalaştıktan sonra, yetkililerin sunucularına el koyması ve güvenlik firması Emsisoft’un fidye yazılımı güvenlik açığından yararlanan bir şifre çözücü oluşturması üzerine faaliyetleri Kasım 2021’de aniden durduruldu.
Bu fidye yazılımı operasyonu, sürekli olarak küresel işletmeleri hedef aldığı ve taktiklerini sürekli olarak uyarlayıp geliştirdiği biliniyor ve son zamanlarda saldırılarda bir artış görüldü.
Bu evrim, şantaj saldırıları başlatmak için şifreleyicilerini ve altyapılarını kullanan İngilizce konuşan tehdit aktörleriyle çalışmayı da içeriyor.
Yakın zamanda yaşanan bir olayda, Scattered Spider olarak takip edilen bir grup İngilizce konuşan üye kuruluş, MGM Resorts’a yapılan saldırının sorumluluğunu üstlendi ve saldırı sırasında 100’den fazla ESXi hipervizörünü şifrelediklerini söyledi.
Bu hafta bir ALPHV üyesi, Tipalti’den veri çaldığını iddia etti ve etkilenen şirketlere bireysel olarak şantaj yapmaya başladıklarını söyledi.
Şirket yakın zamanda, her ikisi de Amerika Birleşik Devletleri’nde kritik altyapı olarak sınıflandırılan, kamuya ait bir elektrik sağlayıcısına ve bir hastane ağına da saldırdı.
Kritik altyapıya yönelik saldırılar bir kez daha ABD kolluk kuvvetleri tarafından daha fazla inceleme yapılmasına yol açacak devrilme noktası olabilir.