CL0P fidye yazılımı grubunun Oracle E-Business Suite güvenlik açıklarını hedef alan Ağustos ayı kampanyasının kurbanları, Kore Havayolları ve Phoenix Üniversitesi’nin ihlalin ayrıntılarını en son açıklayanlar olması nedeniyle hâlâ siber saldırıların sonuçlarıyla başa çıkmaya çalışıyor.
Phoenix Üniversitesi, bu ayın başlarında bir SEC dosyasında, şirketin tehdit grubunun karanlık web veri sızıntısı sitesinde CL0P tarafından kurban olarak adlandırılmasının ardından Oracle EBS kurbanları arasında yer aldığını bildirdi.
Phoenix Üniversitesi, Maine Başsavcılığına sunduğu yeni bir dosyada ihlalin boyutunu ortaya çıkardı; yaklaşık 3,5 milyon kişinin adları, doğum tarihleri, Sosyal Güvenlik numaraları, banka hesap ve yönlendirme numaraları da dahil olmak üzere kişisel verileri ele geçirilmiş olabilir.
Üniversite tarafından sağlanan örnek bildirim mektubu mağdurlara ücretsiz kimlik koruma hizmetleri sunuyordu. bir yıllık kredi izleme, karanlık web izleme, 1 milyon dolarlık kimlik sahtekarlığı kaybı geri ödeme politikası ve kimlik hırsızlığı kurtarma hizmetleri dahil.
CL0P’nin internete dönük Gladinet CentreStack dosya sunucularını hedef alan yeni bir gasp kampanyasına geçtiği bildirilse de, Oracle EBS kurbanları saldırıların sonuçlarıyla boğuşmaya devam ediyor.
Oracle EBS Kurbanları Arasında Korean Air
Korean Air ayrıca Oracle EBS kampanyasıyla bağlantılı görünen bir siber saldırı da bildirdi.
Haberlere göre, havayolunun eski uçak içi ikram hizmetleri yan kuruluşu olan ve şu anda bir özel sermaye şirketine ait olan KC&D Service, Korean Air’e havayolu çalışanlarına ait kişisel verileri içeren bir sızıntı konusunda bilgi verdi. Ele geçirilen veriler 30.000 kaydı içeriyordu ve isimler ile banka hesap numaralarını içeriyordu. Raporlara göre ihlal bir “dahili bildirim” ile ortaya çıktı.
Havayolu, ihlal nedeniyle hiçbir müşteri verisinin tehlikeye atılmadığını söyledi.
Korea JoongAng Daily’nin haberine göre Korean Air’in başkan yardımcısı Woo Kee-hong, çalışanlara gönderdiği bir mesajda şunları söyledi: “Korean Air bu olayı çok ciddiye alıyor, özellikle de bu olay, satılmış bir üçüncü taraf satıcıdan kaynaklansa bile çalışan verilerini içerdiğinden. Şu anda tüm çabalarımızı ihlalin tüm kapsamını ve kimin etkilendiğini belirlemeye odaklıyoruz.”
Raporlarda Oracle EBS kampanyasından özel olarak bahsedilmese de “Korean Air Catering”, CL0P’nin veri sızıntısı sitesinde listelenen 100’den fazla kurbandan biriydi.
Oracle kampanyasının teyit edilen diğer kurbanları arasında Washington Post, Harvard Üniversitesi, Dartmouth College, Pennsylvania Üniversitesi, American Airlines’ın Envoy Air, Logitech, Cox, Mazda, Canon ve Hitachi’nin GlobalLogic’i yer alıyor.
CL0P’nin Dosya Hizmetleri Açıklarından Yararlanmaları
Cyble tehdit istihbaratı verilerine göre, CL0P’nin dosya paylaşımı ve aktarım hizmetlerinden geniş ölçekte yararlanma yeteneği, onu altı yıllık geçmişi boyunca bugüne kadar bilinen 1.000’den fazla kurbanla ilk beş fidye yazılımı grubu arasına soktu.
Diğer CL0P kampanyaları, diğerlerinin yanı sıra Cleo MFT, MOVEit, CrushFTP, SolarWinds Serv-U, PaperCut ve GoAnywhere’i hedef aldı.
CL0P’nin Cleo MFT güvenlik açıklarından yararlanması, bu yılın başlarında rekor sayıda fidye yazılımı saldırısına yol açtı ve CL0P ayrıca Accellion FTA güvenlik açıklarından da başarıyla yararlandı.
Bazı raporlar Oracle EBS kampanyasını FIN11 tehdit grubuna bağladı ve CL0P kampanyanın halka açık yüzü olarak hareket ediyor.