.webp?w=696&resize=696,0&ssl=1 "Fidye Yazılımı Saldırısı ile Avrupa Havaalanı Kesintileri")
Hafta sonu boyunca, sofistike bir fidye yazılımı saldırısı, Collins Aerospace’in Muse check-in ve yatılı sistemleri tehlikeye atarak Heathrow, Brüksel ve Berlin gibi anahtar merkezleri manuel süreçlere dönmeye zorladı.
Havayolları, güvenlik ekipleri ihlali içermek, şifreli verileri geri yüklemek ve yazılım yamalarını dağıtmak için yarışırken yüzlerce gecikmiş ve iptal edilmiş uçuş bildirdi.
Guardian, Cuma akşamı, tehdit aktörlerinin Revil/Sodinokibi ailesinin Collins Aerospace’in bulutla barındırılan ortamında sanal makinelerine karşı bir çeşidi olduğuna inanılan bir fidye yazılımı yükü kullandığını belirtti.
Collins Havacılık Sistemleri Fidye Yazılımı Saldırısı
Saldırı, yükü bir komut ve kontrol (C2) sunucusundan indirmek için bir PowerShell komut dosyası yürüten kötü amaçlı bir makro içeren bir mızrak aktı e-postasından yararlandı.
Etkin olduktan sonra, fidye yazılımı, dosya paylaşımlarını ve sanal diskleri kilitlemek için AES-256 şifrelemesini kullandı, “.LOCTED” uzantısını ekledi ve Monero’da ödeme talep eden bir fidye notu düşürdü.
İlk adli analiz, davetsiz misafirlerin Windows kayıt defteri değişiklikleri yoluyla ayrıcalıkları artırmadan ve Mimikatz’ı kimlik bilgisi hasadı için dağıtmadan önce, Citrix ADC cihazındaki sıfır gün güvenlik açığından yararlandıklarını göstermektedir.
Lateral hareket, SMB ve RDP protokolleri kullanılarak, planlanan görevler ve değiştirilmiş grup politika nesneleri (GPO’lar) yoluyla oluşan kalıcılık ile tespit edildi.
Avrupa Birliği Siber Güvenlik Ajansı (ENISA), Collins Aerospace’in birincil alan denetleyicilerinde dosya şifrelemesi yaşadığını, havaalanı kiosklarına, çanta bırakma sistemlerine ve yatılı kapılardaki etkiyi yaydığını doğruladı.
Guardian, Collins Aerospace’in şifreli kamu hizmetleri ve sıcaklıklar üzerinde çalışırken, havaalanı operatörleri manuel check-in sayaçları ve kağıt biniş geçişleri uygulayarak yolcu işleme sürelerini iki saate kadar genişletti.
Heathrow, “uçuşların büyük çoğunluğunun normal şekilde çalışıyor, ancak check-in normalden daha uzun sürebilir.”
Brüksel Havaalanı, sadece Pazartesi günü 40 çıkış ve 23 gelen uçuş iptal etti ve Dublin, hemen iptal edilmesine rağmen gelecekteki potansiyel aksaklıklar konusunda uyardı.
İngiltere hükümetinin bağımsız terör mevzuatı incelemesi Jonathan Hall KC, devlet destekli bir aktörün potansiyel olarak ileri süren tehdit (APT) taktiklerini ihlalin arkasında kullanabileceğini öne sürdü.
Ancak Collins Aerospace, saldırıyı herhangi bir gruba alenen atfetmedi. Pazartesi günü yaptığı açıklamada, ana şirket RTX, “sistem bütünlüğünün doğrulandığını” doğruladı ve müşterileri en son Muse yazılım güncellemesini uygulamaya çağırdı (sürüm 7.4.2).
Yolculara çevrimiçi uçuş statüsünü doğrulamaları ve uzun mesafeli kalkışlardan en fazla üç saat önce ve kısa mesafeli hizmetlerden iki saat önce gelmeleri tavsiye edilir.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
