Dolandırıcılık Yönetimi ve Siber Suçlar , Devlet , Sektöre Özgü
Grup, Haraç Talepleri Karşılanmazsa Tam Veri Dökümüyle Tehdit Ediyor
Bay Mihir (MihirBagwe) •
6 Mart 2023
San Francisco Körfez Bölgesi şehri Oakland’ı şantajla ele geçirmeye çalışan fidye yazılımı bilgisayar korsanları, hafta sonu 10 gigabayt çalıntı bilgi attılar ve daha fazla çöplük olabileceği tehdidinde bulundular.
Ayrıca bakınız: 2022 Unit 42 Fidye Yazılımı Tehdit Raporu
Oakland fidye yazılımı saldırısını 8 Şubat gecesi tespit etti. Saldırı, 911 sevkıyatı veya şehrin finansal sistemleri dahil olmak üzere acil durum sistemlerini etkilemedi, ancak acil olmayan konulara yanıt verilmesini geciktirdi. Kaliforniya şehri olağanüstü hal ilan etti ve 28 Şubat’ta sel veya kanalizasyon taşkınlarını bildirmek için bir telefon hizmeti de dahil olmak üzere bazı sistemlerin eski haline getirildiğini duyurdu.
Play adlı bir fidye yazılımı grubu, .play kötü amaçlarla şifrelenmiş dosyalara eklediği uzantı, veri sızıntısı sitesinde Oakland’ı listeleyerek geçen hafta saldırının sorumluluğunu üstlendi.
Play sızıntı sitesi, “Tepki yoksa tam döküm yüklenecek. Arşivlerin her biri bağımsız olarak kullanılabilir” diyor. Play sitesindeki gönderiye göre, sızan veriler arasında kimlikler ve pasaportlar dahil olmak üzere mali ve kişisel tanımlanabilir bilgiler yer alıyor.
Şehir, saldırı sırasında ağından belirli dosyaların çalındığını kabul etti ve olayı araştırmak için üçüncü taraf siber güvenlik uzmanları ve kolluk kuvvetleriyle birlikte çalışıyor. Şehirden çevrimiçi bir güncelleme, “Herhangi bir kişinin kişisel bilgilerinin işin içinde olduğunu belirlersek, bu kişileri yürürlükteki yasaya uygun olarak bilgilendireceğiz” diyor.
San Francisco Chronicle geçici Şehir Yöneticisi G. Harold Duffey’in şehir çalışanlarına bir e-posta gönderdiğini ve onlara şüpheli faaliyetler için mali hesaplarını kontrol etmelerini tavsiye ettiğini bildirdi. Oakland Polis Memurları Derneği başkanı Barry Donelan, gazeteye yaptığı açıklamada, bilgisayar korsanlarının tüm şehir çalışanlarının kişisel dosyalarını ele geçirdiğini ve şehirle bağlantılı herkesin risk altında olabileceğini söyledi.
Şehir, saldırıdan hangi dosyaların etkilendiğini belirtmedi. Ayrıca Play’in gasptan ne kadar istediği de belirtilmedi.
PlayCrypt olarak da bilinen Play fidye yazılımı ilk olarak Haziran 2022’de gün ışığına çıktı. TrendMicro, Hive ve Nokoyawa fidye yazılımı gruplarıyla benzerlikler kaydetti ve “bu fidye yazılımı aileleri arasında yüksek bir bağlantı olasılığı” olduğunu öne sürdü.
Play’in yüksek profilli kurbanları arasında Arjantin’in Córdoba Adliyesi ve Alman otel zinciri H-Hotels yer alıyor.
Grubun birincil odak noktası başta Brezilya olmak üzere Latin Amerika’daki örgütlerdir, ancak Hindistan, Macaristan, İspanya ve Hollanda’da da şantaj saldırıları gerçekleştirmiştir.
Ocak ayında, bulut bilgi işlem sağlayıcısı Rackspace, barındırılan Microsoft Exchange hizmetinin uzun süreli kesintisinden Play’i sorumlu tuttu (bkz: Rackspace, Fidye Yazılımlarının Hit Başarısından Zero-Day İstismarını Suçluyor). Siber güvenlik firması CrowdStrike, altta yatan kusuru “Exchange için daha önce açıklanmayan bir istismar yöntemi” olarak tanımladı.