İngiltere’nin en büyük araba satıcısı ağlarından biri olan ve kurucusunu bir milyarder yapan Glasgow merkezli Arnold Clark, sistemlerine yapılan bir siber saldırının ardından Play çifte gasp fidye yazılımı kartelinden milyonlarca poundluk bir fidye talebiyle karşı karşıya.
Kuruluşa yönelik saldırı, Noel arifesinde gerçekleşti ve personel, sistemlerinde kilitlendikten sonra müşteri işlemlerini kaydetmek için kalem ve kağıda başvurdu. Sonuç olarak yeni araçların devir teslimini de tamamlayamadı.
Saldırının ardından Arnold Clark harici bir güvenlik danışmanının ağındaki şüpheli trafik konusunda kendisini uyarmasının ardından kendi isteğiyle sistemlerinin bağlantısını kesti. Daha sonra siber ortaklarıyla işbirliği içinde BT varlığının kapsamlı bir incelemesini yaptı. Önceliğinin müşteri verilerini, kendi sistemlerini ve üçüncü taraf ortaklarını korumak olduğunu ve bunun başarıldığını söyledi.
Ancak, göre Pazar günü posta, en son gelişmeleri ilk bildiren kişi, Play ile ilişkisi olduğunu iddia eden bir kişi, olayda çalınan 15 GB’lık bir müşteri verisi dilimini karanlık ağa gönderdi. Verilerin adresleri, pasaport verilerini ve ulusal sigorta numaralarını içerdiği anlaşılmaktadır. Tahmin edilebileceği gibi, ödenmezse çok daha büyük miktarda veri yayınlamakla tehdit ediyorlar.
verilen açıklamada Otomotiv Yönetimi dergisi Arnold Clark, soruşturmalarının devam ettiğini ve şimdi hangi verilerin ele geçirildiğini öncelikli olarak belirlemeye çalıştıklarını ve bu noktada etkilenen müşterilerle iletişime geçeceğini söyledi. Ayrıca kolluk kuvvetleri ile birlikte çalışmakta olup, yasal yükümlülükleri gereğince olay Bilgi Komiserliği Ofisine (ICO) bildirilmiştir. Kuruluş, Computer Weekly’den gelen yorum talebine yanıt vermedi.
2022’nin ortalarında Latin Amerika’daki kuruluşlara yönelik bir dizi siber saldırıyla ön plana çıkan Play fidye yazılımı karteli, şu anda faaliyet gösteren en aktif ve tehlikeli gruplardan biri haline geldi.
En ünlüsü, 2 Aralık 2022’de Rackspace’e yapılan ve BT hizmetleri tedarikçisinin Barındırılan Exchange işini kapatmak zorunda kalmasının ardından müşterilerin ortada kaldığı saldırının arkasındaydı.
Rackspace daha sonra çetenin toplam 30.000 müşterisinden 27’sinin Kişisel Depolama Tablolarına (PST’ler) eriştiğini ortaya çıkardı, ancak verilerin herhangi bir şekilde görüntülendiğine, elde edildiğine, kötüye kullanıldığına veya yayıldığına dair hiçbir kanıt olmadığını söyledi.
Çetenin, Outlook Web Access (OWA) aracılığıyla uzaktan kod yürütme (RCE) gerçekleştirmesine izin veren bir sunucu tarafı istek sahteciliğinde ProxyNotShell/OWASSRF olarak izlenen bir çift güvenlik açığını zincirleyerek Rackspace’i vurduğu doğrulandı.
Grup, OWASSRF’yi coşkuyla benimsemesinden önce, ilk erişimi elde etmek için güvenliği ihlal edilmiş sanal özel ağ (VPN) hesaplarının yanı sıra etki alanı ve yerel hesapları ve açığa çıkmış uzak masaüstü protokolü (RDP) sunucularını tercih ediyordu. Ayrıca Fortinet’in FortiOS işletim sistemindeki ifşa edilmiş güvenlik açıklarından da yararlandı.
Play, adını şifrelenmiş dosyalara eklediği .play uzantısından alıyor ve Trend Micro’daki araştırmacıların topladığı istihbarata göre, bunların aynı kişiler tarafından yönetilebileceğini öne süren istihbarata göre, Hive ve Nokoyawa operasyonlarına büyük ölçüde benzer davranışlar sergilediği gözlemlendi. . Ayrıca, kendisi de Conti’nin parçalanmış bir grubu olduğu düşünülen Quantum fidye yazılımına bir bağlantı olasılığı da vardır.
Arnold Clark’ın aynı saldırı zincirinin kurbanı olup olmadığı doğrulanmadı.