Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Grup Gizli Verilere Sahip Olduğunu Söyledi, Tech Docs; A10, Operasyonların Etkilenmediğini Söyledi
Prajeet Nair (@prajeetspeaks) •
11 Şubat 2023
Veri ihlali bildirim firması BetterCyber’a göre Play fidye yazılımı grubu, BT altyapısına kısa bir süre erişim sağladıktan sonra ağ şirketi A10 Networks’ü sızıntı sitesinde listeledi.
Ayrıca bakınız: Canlı Web Semineri | Çok Faktörlü Kimlik Doğrulamayı Hackleme: Bir BT Uzmanının 150 MFA Ürününü Test Ettikten Sonra Öğrendiği Dersler
BetterCyber Sızıntı sitesinin, grubun “özel ve kişisel gizli verileri, çok sayıda teknik belge, sözleşme, çalışan ve müşteri belgesi” olduğunu iddia ettiğini belirtiyor.
San Jose, California merkezli ağ donanımı üreticisi daha önce 23 Ocak’ta kurumsal BT altyapısında bir siber güvenlik olayı tespit ettiğini ve saldırının müşterileri tarafından kullanılan hiçbir ürün veya çözümle ilgili olmadığını söyledi.
Şirket, Menkul Kıymetler ve Borsa Komisyonu’na yaptığı bir dosyada, “Olayın tespit edilmesinin ardından şirket bir soruşturma başlattı ve soruşturmayı desteklemek için siber güvenlik uzmanları ve danışmanları, olay müdahale uzmanları ve harici danışman hizmetlerini görevlendirdi.”
A10 Networks, uygulama teslim denetleyicilerinin üretiminde uzmanlaşmıştır ve şirket içi, bulut ve uç bulut ortamları için güvenli, ölçeklenebilir uygulama çözümleri sağlar. Teklifleri ayrıca güvenlik duvarı ve DDoS tehdit istihbaratı ve azaltma hizmetlerini içerir.
A10 Networks, Yahoo, Alibaba, Deutsche Telekom, Softbank, GE Healthcare, Twitter, LinkedIn, Samsung, Uber, Sony Pictures, Windows Azure, Xbox ve diğerleri dahil olmak üzere dünya çapında 117 ülkedeki müşterilere hizmet vermektedir.
A10 Networks sözcüsü, ek ayrıntılar sağlamak için hemen müsait değildi. Şirket henüz etki, ilk saldırı vektörü ve herhangi bir fidye talebi olup olmadığı hakkında ayrıntı vermiyor.
SEC dosyasındaki şirket, dış uzmanların yardımıyla saldırıyı kendi ağında kontrol altına aldığını ve olayı ilgili kolluk kuvvetlerine bildirdiğini söylüyor.
A10 Networks finans müdürü Brian Becker, “Şirket, bu olayı hızlandırılmış bir şekilde ele almaya yardımcı olan kapsamlı güvenlik protokollerine sahip ve güvenlik duruşunu daha da güçlendirmek için ek adımları gözden geçiriyor” dedi. “Şirket şu anda bu olayın operasyonları üzerinde önemli bir etkisi olmasını beklemiyor.”
Fidye Yazılımını Oynat
PlayCrypt olarak da bilinen Play fidye yazılımı, Haziran 2022’de ortaya çıkan oldukça yeni bir fidye yazılımı grubudur. Arjantin’in Cordoba Adliyesine ve Alman otel zinciri H-Hotels’e saldırdığı için büyük ilgi gördü. Play, ağırlıklı olarak Brezilya’ya odaklanarak Latin Amerika bölgesindeki kuruluşlara odaklanır.
Barındırma devi Rackspace’i hedef alan son fidye yazılımı saldırısı, yeni bir istismar yöntemi kullandığı Play grubu tarafından gerçekleştirildi.
20 Aralık 2022’de CrowdStrike, Play fidye yazılımı grubuna bağladığı birden çok izinsiz girişten elde edilen bulguları ayrıntılarıyla açıklayan bir blog gönderisi yayınladı (bkz.: Rackspace, Fidye Yazılımı Grubunun 27 Müşterinin Verilerine Eriştiğini Buldu).
Bu blog yazısı Rackspace’i kurbanlardan biri olarak adlandırmasa da, Rackspace daha sonra CrowdStrike’ın bulgularının kendisi için de geçerli olduğunu doğruladı.
CrowdStrike’ın blog gönderisi, Play’in Rackspace ve diğerlerine karşı ProxyNotShell kullanmadığını bildiriyor. Bunun yerine, önce Kasım ayında yine Microsoft tarafından yamalanan farklı bir Exchange güvenlik açığı olan CVE-2022-41080’i hedef aldı.
Bundan sonra, Exchange kullanıcıları Microsoft’un Kasım ayında sağladığı hafifletme tavsiyesini uygulamış olsalar bile, saldırganlar ProxyNotShell, CVE-2022-41082’den oluşan ikinci güvenlik açığını tetikleyebildiler. Saldırganlar daha sonra Exchange sunucularında uzaktan kod yürüttüler.