Medusa fidye yazılımı grubu, Chemring Grubu veri ihlalinden elde edildiği iddia edilen 186,78 GB hassas belgenin sızdırılmasına yönelik yaklaşan tehdidin yanı sıra, sızıntı sitelerinde Chemring Grubundan 3,5 milyon dolar talep etti.
Müzakere süresini 16 Mayıs 2024 olarak belirleyen grup, mağdura taleplere teslim olması için yaklaşık 9 gün süre tanırken, müzakere süresinin uzatılması, saldırı sırasında çalındığı iddia edilen verilerin değişen fiyatlarla kaldırılması veya indirilmesi gibi ek seçenekler de sundu.
Chemring Grubu, dünya çapında havacılık, savunma ve güvenlik pazarlarına çeşitli teknoloji çözümleri ve hizmetleri sunan, İngiltere merkezli çok uluslu bir şirkettir.
Chemring Grubu veri ihlali gönderisi, tehdit aktörünün veri sızıntısı sitesinde mağdur olarak listelenen 3 Amerikan kuruluşuyla birlikte paylaşıldı. Ancak bu iddiaların gerçekliği henüz doğrulanmadı.
Chemring Grubu herhangi bir büyük uzlaşmayı reddederken, iddia edilen veri ihlaline ilişkin devam eden bir soruşturmayı doğruladı.
Medusa Hackerları Chemring Grubu Veri İhlalinin Ardından 3,5 Milyon Dolar Talep Etti
Fidye yazılımı grubu, sızıntı sitesinde, son müzakere tarihi 16 Mayıs 2024 olmak üzere 3,5 milyon ABD Doları tutarında fidye talep etti. Grubun 186,78 GB gizli belge, veri tabanı ve SolidWorks tasarım dosyasını sızdırdığı iddia ediliyor. Ancak hiçbir örnek verinin paylaşılmaması, grubun iddialarının doğrulanmasını zorlaştırıyor.
Ek olarak, sızıntı sitesi mağdura 1 milyon karşılığında fidye görüşmesi yapmak için ek bir gün ekleme, 3,5 milyon karşılığında tüm verileri silme veya 3,5 milyon karşılığında sızdırılan verileri indirme/silme seçenekleri sundu.
Chemring Group PLC listesine ayrıca aralarında One Toyota of Oakland, Merritt Properties ve Autobell Car Wash’un da bulunduğu üç mağdur örgütün listesi de eşlik etti.
The Cyber Express ekibinin ek ayrıntılar için kendisine ulaşmasının ardından Chemring Grubu sözcüsü, iddia edilen fidye yazılımı saldırısı hakkında şu açıklamaları yaptı:
Chemring, X’te (eski adıyla Twitter) Grubun bir fidye yazılımı saldırısına maruz kaldığını iddia eden bir gönderiden haberdar oldu.
Bir soruşturma başlatıldı ancak şu anda Grubun BT sistemlerinde herhangi bir risk oluştuğunu gösteren hiçbir şey yok ve bir tehdit aktöründen ihlale uğradığımızı öne süren herhangi bir iletişim almadık. Tüm Chemring işletmelerinin normal şekilde çalıştığını onaylıyoruz.
Ön araştırmalarımız, bu saldırının daha önce Chemring’e ait olan ancak BT sistemlerimizle devam eden bir ilişki veya bağlantının bulunmadığı bir işletmeye yönelik olduğuna inanmamıza yol açtı.
Bu konu devam eden bir cezai soruşturmaya tabi olduğundan bu aşamada daha fazla yorum yapamayız.
Medusa Ransomware Grubu kimdir?
MedusaLocker fidye yazılımı grubunun Eylül 2019’dan bu yana aktif olduğu biliniyor. Grup genellikle kurbanların ağlarına ilk erişimi Uzak Masaüstü Protokolü’ndeki (RDP) bilinen güvenlik açıklarından yararlanarak elde ediyor.
Medusa fidye yazılımı grubunun, Şubat 2023’te özel veri sızıntısı sitesini kullanıma sunmasının ardından saldırı kampanyalarını artırdığı gözlemlendi. Grup, kampanyalarında öncelikli olarak sağlık, eğitim ve kamu sektörü kuruluşlarını hedef alıyor.
Grup daha önce Aralık 2023’te Toyota’ya düzenlenen ve isimler, adresler, iletişim bilgileri, kiralama-satın alma ayrıntıları ve IBAN numaraları gibi hassas ayrıntılara erişim sağlayan bir saldırıdan sorumluydu.
Olay, şirketin daha güçlü bir veri koruması benimsemesine ve etkilenen müşterileri bilgilendirirken ihlalle ilgili ayrıntıları ilgili makamlara bildirmesine yol açtı.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.