Bilgisayar sistemlerini, web sitesini, telefon ağını ve halka açık Wi-Fi’sini üç haftadan uzun bir süre boyunca devre dışı bırakan bir fidye yazılımı saldırısına maruz kalan Britanya Kütüphanesi, saldırının ardından dahili İK belgelerinin sızdırıldığını dün doğruladı.
Rhysida fidye yazılımı grubu, kitaplara ve el yazmalarına erişmek isteyen okuyucuların kütüphanenin King’s Cross binasındaki manuel kataloglardan talepte bulunmak zorunda kalmasına neden olan ve kendi deyimiyle “çok sınırlı bir hizmet” olarak tanımladığı saldırının sorumluluğunu üstlendi.
20 Kasım Pazartesi günü, bilgisayar korsanlığı grubu, web sitesinde, Britanya Kütüphanesi’nden çaldığını iddia ettiği verileri sunan yedi günlük bir açık artırma başlattı.
“Sadece 7 günle özel, benzersiz ve etkileyici verilere teklif verme fırsatını yakalayın. Cüzdanlarınızı açın ve özel verileri satın almaya hazır olun. Tek ele satıyoruz, tekrar satış yok, tek sahibi siz olacaksınız” denildi.
Rhysida, verileri satın almak için karanlık ağdaki bir sitede 20 bitcoin (yaklaşık 600.000 £) tutarında bir teklif fiyatı listeledi, ancak alıcı yoksa verileri yine de yayınlayabilir.
Kütüphane, Rhysida’nın iddiaları hakkında kamuya açık bir yorumda bulunmadı ancak bir açıklamada şunları söyledi: X’te güncellemeEski adıyla Twitter olarak bilinen şirket, bazı İK verilerinin dahili İK dosyalarından sızdırıldığını ortaya çıkardı.
Rhysida’nın Tor web sitesinde pasaportları ve istihdamla ilgili belgeleri gösteren düşük çözünürlüklü bir resim görünüyor.
Kütüphane, bir güncellemede “Kullanıcılarımızın verilerinin tehlikeye girdiğine dair hiçbir kanıtımız yok” dedi. “Ancak, British Library kullanıcı adınız varsa ve şifreniz başka bir yerde kullanılıyorsa, önlem olarak şifrenizi değiştirmenizi öneririz.”
Kütüphane, 28 Ekim’de BT sistemlerini “teknik bir sorunun” etkilediğini bildirmesinden bu yana, Londra St Pancreas’taki sitelerinde ve Boston Spa, Yorkshire’daki ek binasında önemli kesintilerle karşı karşıya kaldı. 14 Kasım’da bir fidye yazılımı saldırısına uğradığını doğruladı.
Kütüphane, çalışan bir telefon hizmeti veya web sitesi olmadan bırakıldı ve yalnızca nakit ödeme alabiliyor. Güncellemelerde, adli soruşturma yürütmek için Metropolitan Polisi ve Ulusal Siber Güvenlik Merkezi (NCSC) ile birlikte çalıştığı doğrulandı.
İngiliz Kütüphanesi verileri için yüksek fiyat talep edildi
Güvenlik şirketi KELA’nın tehdit araştırması direktörü Victoria Kivilevich, Rhysida’nın Britanya Kütüphanesi verileri için talep ettiği fiyatın nispeten yüksek olduğunu ancak Ağustos 2023’te Prospect Medical Holdings’ten çalınan veriler için 50 bitcoin olan en yüksek fiyat olmadığını söyledi.
“Rhysida grubu, web sitelerine bakıldığında görülebileceği gibi, açık artırmaya çıkarmaya çalıştığı verileri her zaman satmayı başaramıyor. Örneğin, yakın zamanda Azienda Ospedaliera Universitaria Integrata di Verona’dan çalınan verileri 10 bitcoin karşılığında satmaya çalıştılar, ancak şu anda web sitelerinde halka açık durumda, bu da hiç alıcı olmadığını gösteriyor” dedi.
FBI ve ABD Siber Güvenlik ve Bilgi Yapısı Ajansı’nın (CISA) geçen hafta yayınladığı bir tavsiye notunda, ilk olarak Mayıs 2023’te tespit edilen kötü amaçlı yazılımın, suç gruplarına bir hizmet olarak fidye yazılımı olarak sunulduğu ve bu grupların daha sonra karlarını fidye yazılımı sahipleriyle paylaştığı belirtildi.
Bilgisayar korsanları VPN’ler aracılığıyla erişim sağlıyor
Suçlular genellikle ZeroLogon gibi bilinen güvenlik açıklarını kullanarak virüslü bilgisayar sistemlerine erişim sağlar.
Saldırganlar, özellikle kuruluşların varsayılan olarak iki faktörlü kimlik doğrulamayı etkinleştiremediği durumlarda, sanal özel ağlara (VPN’ler) erişim için kimlik bilgilerini de ele geçirdi.
Kötü amaçlı yazılımı kullanan gruplar, kurbanların verilerinin şifresini çözmek için fidye ödemesi talep ederek ve fidye ödenmediği takdirde verileri yayınlamakla tehdit ederek “çifte şantaj” yapıyor.
Kurbanlar, saldırıya uğrayan her şirkete benzersiz bir referans kodu ve karanlık ağdaki grupla iletişim kurma talimatlarını içeren bir PDF fidye notu alıyor.
SentinelLabs’ın kıdemli tehdit araştırmacısı Jim Walter, Computer Weekly’ye şunları söyledi: “İlk ve dikkat çekici hedeflemelerden bazıları Şili Ordusunu da içeriyordu. Ayrıca Kuveyt ve Dominik Cumhuriyeti’ndeki hükümet hedeflerini de vurdular.
“Rhysida, devlet kurumlarının yanı sıra eğitim ve akademik sektörlerdeki kuruluşları da hedef aldı, bu nedenle Britanya Kütüphanesi’ne yönelik bir saldırı grubun görev alanı dahilindedir” diye ekledi.
Malwarebytes’in kıdemli kötü amaçlı yazılım araştırma mühendisi Marcelo Rivero, Rhysida’nın Windows işletim sisteminde yerleşik ağ yönetimi araçlarından yararlanmak için genellikle “toprakta yaşama” tekniklerini kullandığını söyledi. Bu, saldırganların normal ağ etkinliklerine karışarak tespit edilmekten kurtulmasına olanak tanır.