İhlal Bildirimi , Dolandırıcılık Yönetimi ve Siber Suçlar , Olay ve İhlal Müdahalesi
Ayrıca: Swiss Multinational ABB, Lacroix, US DOT ve Qilin Ransomware
Bay Mihir (MihirBagwe) •
18 Mayıs 2023
Information Security Media Group, her hafta dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini özetliyor. 11 Mayıs ile 18 Mayıs arasındaki günlerde dikkatler, Philadelphia Inquirer, İsviçreli çok uluslu mühendislik şirketi ABB, Fransız elektronik üreticisi Lacroix, ABD Ulaştırma Bakanlığı, Dallas’ın bir Kraliyet fidye yazılımı saldırısından kurtulmak için devam eden çabaları, bir siber güvenlik olayı üzerindeydi. Brightly Software, Discord, Virginia borç tahsildarı Credit Control Corp. ve BT ve telekom dağıtımcısı ScanSource. Ayrıca Group-IB’deki araştırmacılar, hizmet olarak Qilin fidye yazılımı grubuna sızarak grubun iç işleyişiyle ilgili ayrıntıları ifşa etti.
Ayrıca bakınız: CrowdStrike’ın 2023 Küresel Tehdit Raporu İçinde
Philadelphia Sorgulayıcı
Philadelphia Inquirer, hafta sonu gerçekleşen ve Pazar baskısının dağıtımını askıya almasına neden olan bir siber saldırıdan etkilenen sistemleri geri yüklemek için çalışıyor. Çevrimiçi baskı, Cumartesi sabahı kısaca etkilendi.
Yayın Pazartesi günü yeniden başladı, ancak sınıflandırılmış ve ölüm bildirimleri olmadan Çarşamba günü yeniden başladı. Gazete Pazartesi günü, Inquirer’ın yayıncısı ve genel müdürü Lisa Hughes’un gazetenin fidye talebi alıp almadığını veya saldırganlardan iletişim alıp almadığını söylemeyi reddettiğini bildirdi.
Personel, Pazartesi ve Salı günlerini haber odasının dışında, bunun yerine geçici bir alanda çalışarak geçirdi. Hughes, siber güvenlik satıcısı Cynet’in ilk olarak Perşembe günü anormal etkinlik tespit ettiğini söyledi. Gazete, saldırıyı Ocak 1996’da felç eden bir kar fırtınasından bu yana yaşanan en büyük kesinti olarak nitelendiriyor.
ABB
İsviçreli çok uluslu teknoloji devi ABB’nin bir sözcüsü, Information Security Media Group’a verdiği demeçte, bazı sistemlerini etkileyen bir BT güvenlik olayı tespit etti. Sözcü, saldırı bazı operasyonları durdururken, sistemlerinin ve fabrikalarının büyük çoğunluğunun çalışır durumda olduğunu söyledi.
Bleeping Computer, olayın Black Basta fidye yazılımı çetesi tarafından yapılan bir fidye yazılımı saldırısı olduğunu bildirdi. Çevrimiçi kaynak, bilgisayar korsanlarının ABB’nin Windows Active Directory’sine saldırarak yüzlerce cihazı etkilediğini söyledi. Yayın tarihi itibariyle Black Basta, ABB’yi sızıntı sitesinde listelemedi.
ABB, dünya çapında yaklaşık 105.000 kişiye istihdam sağlıyor ve 2022 için 29,4 milyar dolar gelir elde ediyor. Şirket, endüstriyel yazılım, motorlar ve elektrikli araç şarj altyapısı dahil olmak üzere bir dizi endüstriyel ürün üretiyor.
Haç
Fransız elektronik tertibatları ve alt tertibatları üreticisi Lacroix, Fransa, Almanya ve Tunus’taki tesislerinde hedefli bir siber saldırı tespit ettiğini söyledi. Şirket, “Bazı yerel altyapılar şifrelendi ve ayrıca sızan verileri belirlemek için bir analiz yapılıyor” dedi. Saldırı, tesislerdeki üretimi kesintiye uğrattı ve şirket, 22 Mayıs’ta üretime yeniden başlamayı hedefliyor. Üç tesis, grubun 2022’deki toplam satışlarının %19’unu temsil ediyor.
ABD Ulaştırma Bakanlığı
ABD Ulaştırma Bakanlığı, ilk olarak Reuters tarafından bildirilen 237.000 mevcut ve eski federal hükümet çalışanının kişisel bilgilerinin ihlalini soruşturuyor. DOT, Kongre’ye yazdığı bir mektupta, olayın devlet çalışanlarına işe gidip gelme masraflarını tazmin eden TRANServe toplu taşıma yardımları sistemini etkilediğini söyledi. Ajans, “planlanmamış bakım” nedeniyle TRANServe sistemini çevrimdışı duruma getirdi.
Tesadüfen Pazartesi günü, Devlet Sorumluluk Ofisi’nden bir rapor, DOT’un siber güvenlik politikalarının uygulanmasını iyileştirebileceğini ve alt kurumlardaki siber liderlerin daha iyi gözetimini sağlayabileceğini söyledi. “Örneğin DOT, departman içindeki kurumlar için bileşen ajansı siber güvenlik programlarını inceledi, ancak incelemeleri uzun süredir devam eden siber sorunları ele almak için kullanmadı.”
Dallas ile ilgili güncelleme
Dallas şehri, bir şehir yetkilisinin The Dallas Morning News’e tamamlamasının aylar sürebileceğini söylediği bir süreçte, bir Kraliyet fidye yazılımı saldırısından hâlâ kurtuluyor.
Şehirden Pazartesi günü yapılan bir güncelleme, müfettişlerin saldırı sırasında bölge sakinlerinden, satıcılardan veya çalışanlardan gelen verilerin sızdırıldığına dair herhangi bir belirti bulamadıklarını söylüyor. Dallas TV istasyonu WFAA, 11 Mayıs’ta acil servis bilgisayar destekli sevk sisteminin kısmen restore edildiğini bildirdi. Dallas Polis Şefi Eddie Garcia Salı günü yaptığı açıklamada, saldırının suçu azaltmak amacıyla oluşturulan yıllık yaz gençlik programlarını engellediğini söyledi.
Şehir halk kütüphanesi sistemi, katalog veri tabanı hala çalışmadığı için okuyuculara süresi geçmiş kitapları iade etmemelerini tavsiye etti.
Parlak Yazılım
Siemens yan kuruluşu Brightly Software, müşterilerini SchoolDude bakım iş emri izleme sistemiyle bağlantılı kişisel bilgi ve kimlik bilgilerinin ele geçirildiği konusunda bilgilendirdi. Bilgisayar korsanları adlar, e-posta adresleri, parolalar, telefon numaraları ve okul bölgesi adları gibi bilgilere erişim sağladı. Yazılım şirketi, tüm kullanıcı parolalarını sıfırladı ve kullanıcıları yeni, daha güçlü parolalar belirlemeye teşvik etti.
Anlaşmazlık
Anlık mesajlaşma ve sosyal platform Discord, geçen hafta kullanıcıları bir veri ihlali konusunda bilgilendirdi. Bir Reddit kullanıcısı tarafından yayınlanan bir bildirime göre, “Discord, üçüncü taraf bir müşteri hizmetleri temsilcisinin destek bileti kuyruğuna yetkisiz erişimle sonuçlanan kısa bir olaydan haberdar edildi.” Ele geçirilen veriler, e-posta adreslerini, müşteri hizmetleri mesajlarının içeriğini ve eklerini içerebilir. Discord, medyayla olan ihlal konusunda ağzı sıkı tutuluyor. ISMG’nin ek bilgi talebine yanıt vermedi.
Kredi Kontrol A.Ş.
Virginia borç tahsilatı şirketi Credit Control Corp. Cumartesi günü, 7 Mart’ta meydana gelen bir güvenlik olayının 286.699 kişinin kişisel verilerinin ele geçirilmesine yol açtığını açıkladı. Tehdit aktörleri yetkisiz erişim elde etti ve ad, adres, Sosyal Güvenlik numarası ve hesap bakiyesi gibi gizli müşteri verilerini içeren dosyaları kopyaladı. İhlal, öncelikle hastalardan para toplamak için CCC kullanan 12 sağlık kuruluşunu etkiliyor.
ScanSource Inc.
Kuzey Carolina BT ve telekom distribütörü ScanSource Salı günü yaptığı açıklamada, Pazar günü başlayan bir fidye yazılımı saldırısının sistemleri etkilediğini söyledi. Saldırı, Kuzey Amerika ve Brezilya’daki müşteriler ve tedarikçiler için gecikmelere neden olabilir.
Qilin RaaS Platformu Açıklandı
Siber tehdit istihbarat firması Group-IB’deki araştırmacılar, Rusça konuşan Qilin hizmet olarak fidye yazılımı grubuna sızdı.
Bulgular şunları içeriyor: Qilin’in hedefleri öncelikle kritik sektör şirketleri ve bağlı bilgisayar korsanları haraç ödemelerinin %80 ila %85’ini elinde tutuyor.
İştirakler, “Hedefler” ve “Ödemeler” gibi bölümlere ayrılmış bir panele erişim kazanır. Hedefler bölümü, bağlı kuruluşların Qilin fidye yazılımını, ZoomInfo’dan alınan fidye miktarı ve kurban geliri gibi ayarlarla özelleştirmesine olanak tanır. Panel ayrıca bağlı kuruluşların, gasp parası ödemeyi reddeden saldırıya uğrayan şirketler hakkında bilgi içeren blog gönderileri oluşturmasına ve düzenlemesine olanak tanır.