Bina otomasyon devi Johnson Controls, Eylül 2023’te şirketin dünya çapındaki faaliyetlerini etkileyen büyük bir fidye yazılımı saldırısında verileri çalınan bireyleri bilgilendiriyor.
Johnson Controls, binalar için endüstriyel kontrol sistemleri, güvenlik ekipmanları, HVAC sistemleri ve yangın güvenlik ekipmanları geliştiren ve üreten çokuluslu bir holdingdir. Şirket, 150 ülkede kurumsal operasyonları ve iştirakleri aracılığıyla 100.000’den fazla kişiyi istihdam ederek 2024’te 27.4 milyar dolarlık satış bildiriyor.
BleepingComputer’ın ilk bildirdiği gibi, Johnson Controls Eylül 2023’te Şubat 2023’te şirketin Asya ofislerinin ihlali ve daha sonra ağı üzerinden yanal hareketin ardından bir fidye yazılımı saldırısı tarafından vuruldu.
“Soruşturmamıza dayanarak, yetkisiz bir aktörün 1 Şubat 2023’ten 30 Eylül 2023’e kadar belirli Johnson kontrol sistemlerine eriştiğini ve bu sistemlerden bilgi aldığını belirledik.”
“Olayın farkına vardıktan sonra, yetkisiz aktörün etkilenen sistemlere erişimini feshettik. Buna ek olarak, olayı daha fazla araştırmak ve çözmek için üçüncü taraf siber güvenlik uzmanları ile ilgilendik. Ayrıca kolluk kuvvetlerini bilgilendirdik ve 27 Eylül 2023; 13 Kasım 2023; ve 14 Aralık 2023 tarihli başvurulardaki olayı açıkladık.”
Siber saldırı, Johnson kontrollerini, tehdit aktörlerinin dünya çapındaki operasyonlarını ve müşteriye dönük sistemleri etkileyen birçok cihazı şifreledikten sonra BT altyapısının büyük bölümlerini kapatmaya zorladı.
Johnson Controls, Ocak 2024 SEC dosyasında, siber saldırının ihlal sırasında tehlikeye atılan sistemlerden belgeleri de çalan bir fidye yazılımı çetesi tarafından düzenlendiğini onayladı.
Firma olayı belirli bir fidye yazılımı işlemine atfetmese de, saldırı, Johnson kontrollerine karşı kullanıldığını belirten ihlal sırasında dağıtılan bir VMware ESXI şifrelemesinin bir örneğine dayanarak Dark Angels fidye yazılımı grubuna bağlandı.
BleepingComputer, fidye yazılımı çetesinin bir şifreleme için 51 milyon dolar talep ettiği ve Johnson Controls ağından çalınan verileri silmek için fidye notunun bir müzakere sohbetiyle bağlantılı olduğu söylendi.
Fidye yazılımı operatörleri ayrıca saldırı sırasında şirketin VMware ESXI sanal makinelerini şifreledi ve kurumsal veriler içeren 27 TB’dan fazla belgeyi çaldığını iddia etti.
O zaman, şirket olay müdahalesi ve iyileştirme ile ilgili masrafların zaten 27 milyon dolara ulaştığını, ancak aynı zamanda soruşturma ve iyileştirme çabaları ilerledikçe bu miktarın artmasını beklediğini belirtti.
Johnson Controls’un 2023 ihlali arkasındaki fidye yazılımı operasyonu olan Dark Angels, Mayıs 2022’de dünya çapında çiftlik saldırılarında hedeflemeye başladığında ortaya çıktı. Bu saldırılarda, grup hassas verileri çalıyor ve kurbanları Dunghill sızıntıları adı verilen karanlık web sızıntısı sitesinde çevrimiçi olarak yayınlama tehdidi altında baskı yapmak için kullanıyor.
Ayrıca, sızdırılmış Babuk fidye yazılımı kaynak koduna dayanan Windows ve VMware ESXI şifrelemelerini kullanarak Windows Etki Alanı Denetleyicisine eriştikten sonra ağdaki tüm aygıtları şifrelemek için fidye yazılımı dağıtırlar.
Bununla birlikte, siber güvenlik araştırmacısı MalwarehunterTeam, BleepingComputer’a Johnson Controls saldırısında kullanılan Linux şifrelemesinin 2021’den beri Ragnar Locker Fidyeware tarafından kullanılan diğerleriyle aynı olduğunu söyledi.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.