Radisson Hotels Americas, CL0P fidye yazılımı grubu tarafından gerçekleştirilen bir siber saldırının en son hedefi haline geldi.
Bir gönderide hacker topluluğu, şirketin “müşterilerini umursamadığını” ve “güvenliklerini göz ardı ettiğini” belirterek Radisson Hotels Americas Cyber Attack’ı üstlendi.
Bir tehdit istihbarat servisi olan Falcon Feed, tehdit aktörünün şirketle ilgili ayrıntıları paylaştığı ve onu kurbanları olarak listelediği gönderisinin ekran görüntülerini yayınladı.
The Cyber Express, CL0P fidye yazılımı grubu tarafından üstlenilen Radisson Hotels Americas siber saldırısı hakkında ek ayrıntılar toplamak için Radisson Hotels Americas ile iletişime geçti. Ancak, şu an için şirket yanıt vermedi.
Radisson Hotels Americas siber saldırısı doğrulandı
Cybernews, Radisson Hotels Americas’ın ana şirketi olan Choice Hotels International’ın otel zincirindeki konuk verilerinin gerçekten de ele geçirildiğini doğruladığını bildirdi. İhlal, Cl0p fidye yazılımı çetesi tarafından istismar edilen bir MOVEit güvenlik açığından kaynaklanıyor.
Medya sorgularına yanıt olarak, Choice Hotels, MOVEit güvenlik açığının etkisini kabul ederek, “Ne yazık ki, tedarikçimiz tarafından sağlanan MOVEit yazılımının, kötü kişiler tarafından istismar edilen ve birçok şirketini etkileyen veri ihlallerine yol açan bir güvenlik açığına sahip olduğunu doğruladık. Radisson Hotels Americas dahil müşteriler.
Dahası, MOVEit dosya aktarım uygulaması kusurunun bilgisayar korsanları için bir ağ geçidi olduğu kanıtlanmıştır ve 15,5 milyondan fazla kişinin kişisel bilgilerini çalmalarına olanak tanır. Etkilenen şirketlerin sayısı istikrarlı bir şekilde artmaya devam ediyor.
Bu güvenlik açığı, Cl0p fidye yazılımı saldırılarının odak noktası olmuştur ve 140’tan fazla kurban bu siber saldırının kurbanı olmuştur.
Güvenlik analisti Brett Callow’a göre, şu anda yalnızca birkaç kurban etkinin boyutunu açıklamış olsa da, enfekte kişilerin tahmini sayısı 15,5 milyonu aşıyor.
MOVEit güvenlik açığı kurbanlarının listesi yükseliyor
Radisson Hotels Americas siber saldırısı, MOVEit güvenlik açığının aktif olarak kullanılmasından etkilenen kuruluşlardan yalnızca biridir.
Kurbanlar arasında yaklaşık altı milyon Louisiana sakini ve Amerika’nın en büyük emeklilik sistemi olan Kaliforniya Kamu Çalışanları Emeklilik Sisteminin yaklaşık 770.000 üyesi var.
Genworth Finance’in 2,5 ila 2,7 milyon müşterisi, Wilton Reassurance’ın yaklaşık 1,5 milyon müşterisi, Tennessee Consolidated Retirement System’in 170.000’den fazla lehtarı ve Talcott Resolution’ın yarım milyondan fazla müşterisi de risk altındadır.
MOVEit güvenlik açığından etkilenen kurbanların sayısı artmaya devam ettikçe, işletmeler ve bireyler muhtemelen daha fazla zarar görecek.
Cyber Express, MOVEit siber saldırılarını takip ediyor ve Radisson Hotels Americas siber saldırısı ve etkilenen diğer şirketler hakkında daha fazla bilgi edindiğimizde bu gönderiyi güncelleyeceğiz.
MOVEit güvenlik açığı: Hatalar uçmaya devam ediyor
MOVEit Transfer’in yapımcıları olan Progress Software, geçen hafta başka bir kritik MOVEit güvenlik açığı buldu ve çözdü.
CVE-2023-36934 olarak tanımlanan güvenlik açığı, SQL enjeksiyon güvenlik açığı olarak sınıflandırılıyor ve yazılımın güvenliği için önemli bir risk oluşturuyor.
Kimliği doğrulanmamış saldırganlar kötüye kullanılırsa, MOVEit Transfer veritabanına yetkisiz erişim elde edebilir.
SQL enjeksiyon güvenlik açıkları, saldırganların veritabanlarını manipüle etmesine ve rasgele kod yürütmesine olanak tanıyan, iyi bilinen ve oldukça tehlikeli güvenlik açıklarıdır.
Saldırganlar, etkilenen uygulama içindeki belirli uç noktalara özel hazırlanmış yükler göndererek, veritabanında depolanan hassas verileri değiştirebilir veya açığa çıkarabilir.
CVE-2023-36934’ün ciddiyeti, kimlik doğrulama gerektirmeden istismar edilebilmesi gerçeğinde yatmaktadır. Bu, geçerli kimlik bilgileri olmayan saldırganların bile potansiyel olarak bu güvenlik açığından yararlanabileceği anlamına gelir.
Ancak, şu ana kadar bu özel güvenlik açığının saldırganlar tarafından aktif olarak kullanıldığına dair herhangi bir rapor alınmadı.
Bu keşif, MOVEit Transfer’i hedef almak için farklı bir SQL enjeksiyon güvenlik açığı (CVE-2023-34362) kullanan ve Clop fidye yazılımının konuşlandırılması, veri ihlalleri ve etkilenen kuruluşlardan zorla para alınmasıyla sonuçlanan bir dizi yeni siber saldırıyı takip ediyor.
Progress Software’in en son güvenlik güncellemesi, CVE-2023-36934’ü ele almanın yanı sıra, diğer iki yüksek önemdeki güvenlik açığını da çözer: CVE-2023-36932 ve CVE-2023-36933.
CVE-2023-36932, MOVEit Transfer veritabanına yetkisiz erişim elde etmek için zaten oturum açmış olan saldırganlar tarafından istismar edilebilecek başka bir SQL enjeksiyon hatasıdır. Öte yandan CVE-2023-36933, saldırganların MOVEit Transfer programını beklenmedik bir şekilde sonlandırmasını sağlayan bir güvenlik açığıdır.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları için hiçbir sorumluluk kabul etmez.