Gelişmiş siber saldırıların ve giderek daha küstah saldırganların yükselişi köklü bir tehdittir. İşletmelerin ve kuruluşların harekete geçmesi ve siber saldırıların ve veri ihlallerinin günlük işlevlerine, mali tablolarına ve itibarlarına yönelik oluşturduğu risklerin farkında olmaları gerekir. ABD, Güney Amerika ve Avrupa’yı kapsayan operasyonlara sahip Şilili bir veri merkezi ve barındırma sağlayıcısı olan IxMetro PowerHost’un dahil olduğu yakın tarihli bir fidye yazılımı olayı, bu tehlikelerin açık bir hatırlatıcısıdır.
“SEXi” olarak bilinen bir tehdit aktörü grubu tarafından dağıtılan fidye yazılımı, özellikle ESXi ortamlarını hedeflemek için tasarlandı; bu seçim, ESXi’nin bir anagramı olan grubun ismine de yansıdı. Bu, bu tür kurulumlarda yaygın olan belirli güvenlik açıklarından veya yanlış yapılandırmalardan yararlanılarak bu sistemlere kasıtlı olarak odaklanıldığını göstermektedir. Fidye yazılımı ağa girdikten sonra muhtemelen ESXi sunucu verilerini sistematik olarak bulmak ve şifrelemek için komut dosyaları veya otomatik işlemlerden yararlandı ve sanal makineleri (VM’ler) ve bunlarla ilişkili verileri erişilemez hale getirdi. Bu yöntem, şifrelenmiş her ESXi sunucusunun aynı anda birden fazla istemciyi ve hizmeti etkilemesi nedeniyle yüksek etkili bir kesinti sağlar.
Saldırı Geçmişi
Nisan 2024’te, PowerHost’un müşterilerinin sanal özel sunucularını (VPS) barındıran VMware ESXi sunucularına stratejik bir saldırı başlatan SEXi fidye yazılımı çetesinin ortaya çıkışı görüldü. ESXi sistemlerindeki güvenlik açıklarından yararlanmak için özel olarak tasarlanan fidye yazılımı, ağ genelinde hızla yayıldı. Sunuculardaki ve yedeklemelerdeki verileri sistematik olarak şifreleyerek sanal makineleri (VM’ler) felce uğrattı ve önemli verileri erişilemez hale getirdi.
SEXi’nin yöntemi özellikle yıkıcıydı çünkü birden fazla sanal ortamı tek bir fiziksel sunucuda merkezileştirmeye odaklanmıştı. Bu strateji, sınırlı sayıda yüksek değerli hedefi şifreleyerek kesintiyi en üst düzeye çıkardı ve PowerHost’un müşterilerini önemli ölçüde etkiledi. Bu yaklaşım, saldırganların kurbanın bağımsız olarak iyileşme yeteneğini ortadan kaldırmayı ve böylece nüfuzlarını güçlendirmeyi hedeflediği fidye yazılımı taktiklerindeki bir evrimi göstermektedir.
Terabaytlarca veriyi şifreleyerek bu sunucularda barındırılan çok sayıda web sitesini ve hizmeti etkili bir şekilde erişilemez hale getirdi. Fidye yazılımı çetesi, kurban başına iki Bitcoin tutarında fidye talep etti; bu da 140 milyon dolarlık astronomik bir tutara tekabül ediyordu.
Azaltma ve Kurtarma
Müşteriler hizmet kesintileri yaşamaya başladıkça PowerHost’un BT ekibi fidye yazılımı bulaşmasını hızla tespit etti. Durumun ciddiyetinin farkında olarak Proven Data’nın siber güvenlik uzmanlarının uzmanlığından yararlandılar. Eş zamanlı olarak PowerHost’un CEO’su Ricardo Rubem, içgörü kazanmak ve bir müdahale stratejisi oluşturmak için birden fazla ülkedeki kolluk kuvvetleriyle koordinasyon sağladı. Bu kurumların net fikir birliği fidyeyi ödemekten kaçınmaktı.
Hem birincil verileri hem de yedekleri şifrelemesine rağmen PowerHost ve Proven Data, hizmetleri geri yüklemek için yorulmadan çalıştı. Gelişmiş şifre çözme tekniklerinden ve son teknoloji kurtarma araçlarından yararlanan ortak çaba, IxMetro PowerHost için başarılı veri kurtarmayla sonuçlandı. Bu kritik müdahale, şirketi 140 milyon dolarlık şaşırtıcı fidye talebinden kurtardı ve operasyonel aksama süresini ve mali kayıpları en aza indirdi.
Kurtarma süreci devam ederken PowerHost, etkilenen VPS müşterilerine yeni VPS sistemleri kurma seçeneği sunarak bazı müşterilerin çevrimiçi işlemlere devam etmesine olanak tanıdı.
Sonuçlar
PowerHost’un Proven Data siber güvenlik uzmanları ve kolluk kuvvetleriyle olan işbirliği çok önemliydi ve siber tehditlerle mücadelede kolektif çabaların öneminin altını çizdi. Bu işbirlikçi yaklaşım, siber güvenlik topluluğunun gücünün ve işletmeleri ve kuruluşları koruma konusundaki kararlılığının bir kanıtıydı.
Ayrıca müşterilerle şeffaf ve zamanında iletişim kurmanın önemi de vurgulanıyor; bu, güvenin korunması ve bu tür saldırıların sonuçlarının yönetilmesi açısından hayati öneme sahiptir.
Dersler öğrenildi
PowerHost’a yapılan fidye yazılımı saldırısı, dünya çapındaki işletmeler için sağlam siber güvenlik önlemlerinin gerekliliği konusunda kritik bir derstir. Diğer şirketler PowerHost’un deneyiminden yararlanarak savunmalarını güçlendirebilir ve sürekli büyüyen fidye yazılımı tehdidine karşı kendilerini daha iyi koruyabilirler. Olay, siber güvenlik topluluğunun gücünü ve işletmeleri ve operasyonlarını korumaya yönelik sarsılmaz bağlılığını ortaya koyuyor.
Bogdan Glushko Hakkında
Reklam