Ödeme platformu MoneyGram, Eylül ayında beş günlük bir kesintiye yol açan yakın tarihli bir siber saldırının arkasında fidye yazılımının olduğuna dair hiçbir kanıt bulunmadığını söyledi.
MoneyGram, insanların 200 ülkede 350.000 fiziksel konumdan oluşan geniş bir ağ veya mobil uygulaması ve web sitesi aracılığıyla para gönderip almasına olanak tanıyan bir Amerikan ödeme ve para transferi platformudur.
MoneyGram, müşterilerin sorun yaşadığını bildirmeye başlamasından üç gün sonra, 20 Eylül’de bir siber saldırıya maruz kaldıklarını doğruladı ve ihlali kontrol altına almak için sistemleri çevrimdışına aldı.
BT sistemlerindeki kesinti, müşterilerin paralarına erişip aktarabilmelerini ve diğer çevrimiçi etkinlikleri gerçekleştirebilmelerini engelledi.
Birçoğu bunun bir fidye yazılımı saldırısı olduğundan şüphelenirken MoneyGram daha fazla ayrıntı paylaşmadı ve hiçbir fidye yazılımı çetesi sorumluluğu üstlenmedi.
Paydaşlara 25 Eylül’de gönderilen ve BleepingComputer tarafından görülen, siber saldırıyla ilgili güncel bilgileri içeren bir e-postada MoneyGram, müşterilerin nihayet yeniden para transferi yapabildiklerini söyledi.
MoneyGram, kurumsal sistemlerin ihlal edildiğini doğruladı ancak saldırıyı CrowdStrike ile araştırdıktan sonra kolluk kuvvetleri ve diğer siber güvenlik uzmanları, saldırının arkasında fidye yazılımının olduğuna dair hiçbir kanıt olmadığını söyledi.
BleepingComputer tarafından ele geçirilen bir e-postada, “CrowdStrike da dahil olmak üzere önde gelen harici siber güvenlik uzmanlarıyla çalıştıktan ve ABD kolluk kuvvetleriyle koordinasyon sağladıktan sonra sistemlerimizin çoğu artık çalışır durumda ve para transferi hizmetlerine yeniden başladık” deniyor.
“Bu eylemleri gerçekleştirirken sistem güvenliğinin öneminin farkındayız. Sistemlerimizi ancak kapsamlı önlemler aldıktan sonra geri yükledik. Şu anda bu sorunun fidye yazılımı içerdiğine dair hiçbir kanıtımız ya da bunun etkilendiğine inanmak için herhangi bir nedenimiz yok.” ajanlarımızın sistemleri.”
Saldırıyı bilen bir kaynak, BleepingComputer’a daha fazla bilgi paylaşarak MoneyGram’ın başlangıçta şirketin dahili yardım masasına yapılan bir sosyal mühendislik saldırısı yoluyla ihlal edildiğini söyledi.
Bu saldırı, tehdit aktörlerinin bir çalışanın kimlik bilgilerini kullanarak MoneyGram ağına erişmesine ve şirketin Windows Active Directory Hizmetlerindeki çalışan bilgilerini hedeflemesine olanak tanıdı. Ancak daha fazla hasar verilmeden tespit edildiler ve engellendiler.
BleepingComputer, ihlalle ilgili soruları için MoneyGram ile temasa geçti ancak herhangi bir yanıt alamadı.
Bu olayla veya açıklanmayan diğer saldırılarla ilgili herhangi bir bilginiz varsa, 646-961-3731 numaralı telefondan Signal aracılığıyla veya [email protected] adresinden bizimle gizli olarak iletişime geçebilirsiniz.
MoneyGram, saldırıyı herhangi bir tehdit aktörüne açık bir şekilde atfetmese de stratejiler, Scattered Spider (diğer adıyla UNC3944, Com ve 0ktapus) olarak bilinen gevşek örgülü bir hacker grubu tarafından daha önce gerçekleştirilen saldırıları anımsatıyor.
Eylül 2023’te Scattered Spider, MGM Resorts’a yapılan bir siber saldırının arkasındaydı ve şifreyi sıfırlamak için BT yardım masasını ararken bir MGM çalışanının kimliğine bürünerek bu saldırıyı gerçekleştirdiler.
Tehdit aktörleri, ağa erişim sağladıktan sonra yüzlerce VMware ESXi sunucusunu şifrelemek için BlackCat fidye yazılımını kullandı.
Sosyal mühendislik saldırılarının karmaşıklığı nedeniyle Microsoft, FBI/CISA ve Mandiant, taktikleri ve bunlara karşı nasıl savunma yapılacağı konusunda tavsiyeler yayınladı.