Şili’deki Grupo GTD, bir siber saldırının Hizmet Olarak Altyapı (IaaS) platformunu etkileyerek çevrimiçi hizmetleri kesintiye uğrattığı konusunda uyarıyor.
Grupo GTD, Şili, İspanya, Kolombiya ve Peru’da faaliyet gösteren, Latin Amerika genelinde hizmet sunan bir telekomünikasyon şirketidir. Şirket, internet erişimi, mobil ve sabit hatlı telefon, veri merkezi ve BT yönetimli hizmetler dahil olmak üzere çeşitli BT hizmetleri sunmaktadır.
23 Ekim sabahı GTD, veri merkezleri, internet erişimi ve IP Üzerinden Ses (VoIP) dahil olmak üzere çok sayıda hizmeti etkileyen bir siber saldırıya uğradı.
“Olaylar karşısında proaktif ve akıcı iletişimin önemini anlıyoruz, bu nedenle daha önce telefonda konuştuklarımız doğrultusunda siber güvenlik nedeniyle hizmetler üzerinde kısmi bir etki yaşadığımızı belirtmek isterim. olay”, bir GTD güvenlik olayı bildirimini okuyor.
“Bu etki, laas platformumuzun bir kısmı ve bazı paylaşılan hizmetler (IP telefon hizmetleri, VPN’ler ve OTT televizyon sistemi) ile sınırlıdır. İletişim COR’umuz ve ISP’miz normal şekilde çalışıyor.”
Saldırının yayılmasını önlemek için şirketin IaSS platformunun internet bağlantısını kesmesi bu kesintilere yol açtı.
Bugün, Şili’nin Bilgisayar Güvenliği Olayına Müdahale Ekibi (CSIRT), GTD’nin bir fidye yazılımı saldırısına maruz kaldığını doğruladı.
Bir makinede şöyle yazıyor: “İçişleri ve Kamu Güvenliği Bakanlığının Bilgisayar Güvenliği Olayına Müdahale Ekibi (Hükümet CSIRT), GTD şirketi tarafından IaaS platformlarının bir kısmını etkileyen bir fidye yazılımı hakkında 23 Ekim Pazartesi sabahı bilgilendirildi.” CSIRT web sitesinde tercüme edilmiş beyan.
“Sonuç olarak ülkemizdeki bazı kamu hizmetlerinin web sitelerinde kullanılamama durumu ortaya çıktı.”
CSIRT, GTD’nin IaaS hizmetlerini kullanan tüm kamu kurumlarının, tüm Devlet kurumlarının bir siber güvenlik olayının kendilerini etkileyebileceği durumlarda rapor vermesini gerektiren 273 sayılı kararname uyarınca hükümeti bilgilendirmesini zorunlu kılmaktadır.
Fidye yazılımı IOC’leri yayınlandı
CSIRT, GTD’ye yapılan saldırının ardındaki fidye yazılımı operasyonunun adını açıklamasa da BleepingComputer, bunun daha önce bir ABD şirketine yapılan saldırıda kullanılan Rorschach fidye yazılımı varyantını içerdiğini öğrendi.
Rorschach fidye yazılımı (diğer adıyla BabLock), Check Point Research tarafından Nisan 2023’te görülen nispeten yeni bir şifreleyicidir. Araştırmacılar, şifreleyiciyi belirli bir fidye yazılımı çetesine bağlayamasa da, bunun hem karmaşık hem de çok hızlı olduğu, bir cihazı şifreleyebildiği konusunda uyardılar. 4 dakika 30 saniyede.
BleepingComputer tarafından görülen GTD saldırısına ilişkin bir raporda, tehdit aktörleri, kötü amaçlı bir DLL yüklemek için yasal Trend Micro, BitDefender ve Cortex XDR yürütülebilir dosyalarındaki DLL dışarıdan yükleme güvenlik açıklarından yararlanıyor.
Bu DLL, “config” adı verilen bir fidye yazılımı yükünü enjekte edecek olan Rorschach enjektörüdür.[.]”.ini” dosyasını bir Not Defteri işlemine aktarın. Fidye yazılımı yüklendikten sonra cihazdaki dosyaları şifrelemeye başlayacaktır.
CSIRT, GTD’ye yapılan saldırıyla ilgili aşağıdaki IOC’leri aşağıda paylaştı; u.exe ve d.exe, saldırıda kullanılan meşru TrendMicro ve BitDefender yürütülebilir dosyalarıdır ve kötü amaçlı yazılım içeren DLL’lerdir.
| SHA256 | Dosya adı | Tanım |
| 58c20b0602b2e0e6822d415b5e8b53c348727d8e145b1c096a6e46812c0f0cbc | log.dll | DLL Fidye Yazılımı |
| 5822b7c0b07385299ce72788fd058ccadc5ba926e6e9d73e297c1320feebe33f | TmDbgLog.dll | DLL Fidye Yazılımı |
| 43a3fd549edbdf0acc6f00e5ceaa54c086ef048593bfbb9a5793f52a7cc57d1c | u.exe | Yürütme Vektörü (TrendMicro AirSupport) |
| 3476f0e0a4bd9f438761d9111bccff7a7d71afdc310f225bfebfb223e58731e6 | d.exe | Yürütme Vektörü (BitDefender Güncelleme İndiricisi) |
Şili’deki CSIRT, GTD’nin IaaS’sine bağlı tüm kuruluşların, saldırıda ihlal edilmediğini doğrulamak için aşağıdaki adımları izlemesini tavsiye ediyor:
- Antivirüs ile altyapınızın tam taramasını gerçekleştirin.
- Sistemlerinizde şüpheli yazılım bulunmadığını doğrulayın.
- Sunucunuzdaki mevcut hesapları inceleyin ve yeni hesap oluşturulmadığını doğrulayın.
- Değiştirilmediğinden emin olmak için işleme ve sabit disk performansını analiz edin.
- Şirketin ve veritabanlarının bilgilerinde veya veri sızıntısında herhangi bir değişiklik olup olmadığını kontrol edin.
- Ağ trafiğinizi kontrol edin.
- Etkili izlemeyi sağlamak için sistemlerinizin güncel bir kaydını tutun.
- Yalnızca kesinlikle gerekliyse, SSH yoluyla sunuculara erişimi kısıtlayın.
Bu yılın başlarında Şili ordusu bir Rhysida fidye yazılımı saldırısına maruz kaldı ve BleepingComputer’a tehdit aktörlerinin hükümetten çalınan 360.000 belgeyi açığa çıkardığı söylendi.
BleepingComputer, bu sabah saldırıyla ilgili daha fazla soru sormak için Grupo GTD’ye ulaştı ancak yanıt alamadı.