Yeni bir fidye yazılımı grubu olan Ransomhub, çeşitli endüstrilerdeki Endüstriyel Kontrol Sistemleri (ICS) ile ilişkili kritik güvenlik risklerini vurgulayan İspanyol biyoenerji tesisi Matadero de Gijón’un SCADA sistemini hedef aldı.
2022’den bu yana çok sayıda siber saldırı, ICS’deki güvenlik açıklarından yararlanarak operasyonlarda ve altyapıda önemli kesintilere neden oldu. Bu, ICS ortamlarını korumak için sağlam güvenlik önlemlerine olan ihtiyacın altını çiziyor.
Ransomhub fidye yazılımı grubu, Gijón’un Biyo-Enerji Fabrikasının Denetleyici Kontrol ve Veri Toplama (SCADA) sistemine, endüstriyel proses kontrolü için kritik önem taşıyan yetkisiz erişim sağladığını iddia etti.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
Grup, tesisin Sindirici ve Isıtma sistemi kontrollerini manipüle etme yeteneklerini gösteren ekran görüntülerini kanıt olarak sundu.
Veri ihlalinin kesin boyutu belirsizliğini korurken (15 GB ile 400 GB arasında değişiyor), ele geçirilen SCADA sistemi tesisin operasyonları için önemli bir risk oluşturuyor.
İlk olarak Şubat 2024’te duyurulan bir RaaS operasyonu olan Ransomhub, dolap bileşeni için Golang ve C++ kullanıyor ve daha yüksek şifreleme hızlarına ulaşırken kurban verilerini şifrelemek için asimetrik kriptografiden (x25519) ve simetrik algoritmaların (aes256, chacha20 ve xchacha20) bir kombinasyonundan yararlanıyor.
Özellikle Ransomhub, muhtemelen Rusya yanlısı eğilimleri yansıtan BDT ülkeleri, Küba, Kuzey Kore ve Çin’e yönelik saldırıları kısıtlıyor.
Ortaya çıkışından bu yana, öncelikle ABD’deki BT ve ITES sektörünü ve organizasyonlarını hedef alan 68 saldırının sorumluluğunu üstlendiler.
CRIL’e göre, ALPHV/BlackCat’in çıkış dolandırıcılığının geride bıraktığı bağlı kuruluşları hedeflerini DLS’lerinde listeleyerek işe almaya çalışırken aktif olarak erişim alanlarını genişletmeye çalışıyorlar.
Ancak bağlı kuruluşların ilgisizliği hedefleri kaldırmalarına neden oldu.
Ransomhub, kötü şöhret kazanmak için Change Healthcare fidye yazılımı saldırısı gibi yüksek profilli olaylardan yararlanmaya çalıştı ve şimdi de SCADA sistemlerine saldırdığına dair asılsız iddialarda bulunuyor.
Rusya forumlarında İlk Erişim Aracılarından satın aldıkları çalıntı kimlik bilgilerini kullanarak SCADA sistemlerini hedef alıyorlar; bu da fidye yazılımı gruplarının Endüstriyel Kontrol Sistemleri (ICS) ortamlarıyla, özellikle de bağlı Sanal Ağ Bilgi İşlem (VNC) cihazlarına sahip olanlarla daha fazla ilgilenmeye başladığını gösteriyor.
Güvenlik araştırmacıları, bu tür kurulumların benzer saldırı riskini önemli ölçüde artırdığı konusunda uyarıyor ve bu kritik altyapıları korumak için siber güvenlik stratejilerinin kritik bir şekilde yeniden değerlendirilmesini talep ediyor.
Beklenti, fidye yazılımı gruplarının gelecekte giderek daha fazla OT ortamlarını ve bileşenlerini hedef alacağı yönünde.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers