Bir tekstil ve giyim şirketi olan Raymond Limited, bazı BT altyapısını etkileyen bir siber güvenlik saldırısı bildirdi.
Bombay Menkul Kıymetler Borsası’na (BSE) ve Ulusal Menkul Kıymetler Borsası’na (NSE) düzenleyici bir başvuruda şirket, tehdit aktörlerinin çevre sistemlerini ihlal ettiğini ve etkilenen varlıkların derhal izole edilmesini sağladığını doğruladı.
Müşteriye dönük perakende platformları ve tedarik zinciri yönetim sistemleri de dahil olmak üzere çekirdek operasyonel çerçeveler, mağazalar ve dijital hizmetlerin normal faaliyet göstermesiyle etkilenmez.
Rutin ağ trafik analizi sırasında tespit edilen ihlal, iç iletişim ve arşiv verilerini işleyen kritik olmayan BT düğümlerini hedefledi.
Ön adli değerlendirmeler, saldırganların eski API arayüzünde bir güvenlik açığından yararlandığını göstermektedir, ancak kesin saldırı vektörü araştırılmaktadır.
Raymond’un siber güvenlik ekibi, karantina tehlikeye atılan sistemlere ağ segmentasyon protokollerini dağıttı ve merkezi veritabanlarına veya bulut tabanlı ERP platformlarına yanal hareketi önledi.
Siber güvenlik uzmanları ve dahili BT ekipleri, saldırının erişim sitelerini, süresini ve veri ifşa risklerini değerlendirmek için adli araştırma yapmaktadır.
Dosyalama, tehdit aktörlerini tanımlamamış veya fidye yazılımı veya veri açığa çıkma olup olmadığını açıklığa kavuşturmakla birlikte, Raymond olayın etkisini azaltmak için “gerekli önlemleri ve protokolleri” uygulamayı kabul etti.
Raymond’un Olay Müdahale Ekibi, NIST Siber Güvenlik Çerçevesi ile uyumlu bir oyun kitabını etkinleştirerek:
- Sınırlama: Tüm ayrıcalıklı hesaplarda tehlikeye atılan kullanıcı kimlik bilgilerinin devre dışı bırakılması ve çok faktörlü kimlik doğrulamanın (MHA) uygulanması.
- Eradikasyon: Kalan kötü niyetli aktiviteyi tanımlamak için savunmasız API uç noktasının yama ve davranışsal analizlerin dağıtılması.
- İyileşmek: Enfekte iş yüklerini sterilize ettikten sonra izole sistemlerin çevrimdışı yedeklemelerden geri yüklenmesi.
Özellikle, saldırganlar, fidye yazılımı kampanyalarında giderek daha fazla gözlenen bir taktik olan PowerShell betiğiyle evlatsız kötü amaçlı yazılım dağıtmaya çalıştılar. Ancak, Raymond’un uygulama izin verme mekanizmaları yetkisiz kod yürütmeyi engelledi.
İhlal, Güvenlik Bilgileri ve Etkinlik Yönetimi (SIEM) sistemlerinin öneminin altını çizmektedir.
Hiçbir müşteri veri ihlali tespit edilmemiş olsa da, Raymond paydaşlara finansal hesapları izlemelerini ve şüpheli faaliyetleri bildirmelerini tavsiye eder.