Doğu Sussex, Hampshire, Wight Adası, Kent ve Batı Sussex’teki müşterilere hizmet veren İngiliz hizmet şirketi Southern Water, Black Basta fidye yazılımı örgütünün sistemlerine eriştiğini iddia etmesinin ardından büyük bir siber olayı araştırdığını doğruladı.
Black Basta ekibi, sözde izinsiz girişin sınırlı ayrıntılarını yayınladı Tor sızıntı sitesinde 22 Ocak’ta. Computer Weekly, kurbanına yanıt vermesi için 29 Ocak’a kadar süre tanıdığını öğrendi.
Southern Water sözcüsü, çevrimiçi olarak yayınlanan bir açıklamada şunları söyledi: “Siber suçluların, bazı BT sistemlerimizden verilerin çalındığına dair iddialarının farkındayız.
“Daha önce şüpheli bir faaliyet tespit etmiştik ve bağımsız siber güvenlik uzmanlarının önderliğinde bir soruşturma başlatmıştık” dediler. “O zamandan beri sınırlı miktarda veri yayınlandı. Ancak şu aşamada müşteri ilişkilerimizin veya finansal sistemlerimizin etkilendiğine dair bir kanıt bulunmuyor. Hizmetlerimiz etkilenmedi ve normal şekilde çalışıyor.”
Sözcü şunları ekledi: “Hükümeti, düzenleyicilerimizi ve Bilgi Komiserliği Ofisini bilgilendirdik; ve soruşturmamız devam ederken Ulusal Siber Güvenlik Merkezi’nin (NCSC) tavsiyelerini yakından takip ediyoruz.
“Soruşturma sonucunda müşterilerimizin veya çalışanlarımızın verilerinin çalındığını tespit edersek, yükümlülüklerimiz uyarınca bu kişilerin bilgilendirilmesini sağlayacağız.”
Bu aşamada, izinsiz girişin nasıl başladığı veya sonuçta ortaya çıkan veri ihlalinin boyutu hakkında çok az şey biliniyor, ancak çetenin bazı müşteri bilgileri de dahil olmak üzere yaklaşık 750 GB veriyi ele geçirdiğini gösteren bilgiler internette dolaşıyor. Çetenin kanıt olarak sunduğu bazı çalıntı verilerde Southern Water’ın ana kuruluşu olan Greensands’in de isimlerinin yer aldığı ve daha geniş bir ihlalin ortaya çıkabileceğine işaret ettiği iddia ediliyor. Southern Water bu iddiaların hiçbirini doğrulamadı veya bunlara yorum yapmadı.
Sınırlı kesinti mi?
Neyse ki Southern Water’ın müşterileri için saldırı, kuruluşun BT sistemlerinde hizmet sunumunun etkilenmesine neden olacak kadar bir aksamaya yol açmamış gibi görünüyor; şirketin hâlâ Güney İngiltere’yi vuran son iki kış fırtınasının sonuçlarıyla uğraştığı göz önüne alındığında bu küçük bir merhamet.
“Rağmen Güney su Illumio’nun kritik altyapı direktörü Trevor Dearing, “İhlalin farkında ve araştırıyorsak, bir saldırı tespit edildiğinde genellikle çok geç oluyor” dedi. “Saldırganlar, bir saldırı başlatmadan önce bir resim oluşturmak için kuruluşların ağlarında giderek daha fazla zaman harcıyor, bu nedenle kuruluşların kötü adamların zaten içeride olduğunu varsaymaları ve kaynaklar ve ortamlar arasında hareket etmelerini zorlaştırmaları gerekiyor.
“Bu olayda amaç maksimum kesintiye neden olmak yerine veri sızıntısı gibi görünüyor” dedi. “Bu şüphesiz müşteriler için endişe verici olsa da sonuç çok daha kötü olabilirdi. Örneğin Florida’daki saldırıda kimyasal içeriğin su ayarlandı ya da geçen ay İrlanda’da meydana gelen saldırı su Yüzlerce hanenin elektrik kesintisi. Saldırganlar en hızlı ödemeyi almak için ellerinden geleni yapacaktır, bu nedenle operatörlerin, saldırı riskini ve etkisini azaltabilecek sıfır güven gibi güvenlik stratejilerine öncelik vermesi gerekiyor.”
WithSecure siber tehdit istihbaratı başkanı Tim West şunları ekledi: su Sektörün operasyonel esnekliği, su Milyonlarca insanın güvendiği malzemeler güvenli ve güvenilirdir. Hacktivist saldırılar yaşanırken su Son aylarda sektörde finansal motivasyona sahip pek çok aktör, kritik ulusal altyapıya müdahale etmekten kasıtlı olarak kaçındı. su kolluk kuvvetlerinin çok fazla dikkatini çekmemek için malzemeleri.
“Fakat, su Şirketler aynı zamanda yalnızca karanlık ağda değeri olmayan, aynı zamanda fidye talep eden siber saldırganlar için mükemmel bir avantaj olan büyük miktarda PII’ye sahipler” dedi.
“ su Hem ABD CISA hem de Birleşik Krallık NCSC’nin tehdit konusunda uyarıda bulunmasıyla birlikte endüstri, fidye yazılımı aktörleri için düzenli bir hedef haline geliyor. Bu nedenle kuruluşların, hizmetlerini ve müşterilerini korumak için mümkün olan her yerde en iyi güvenlik uygulamalarını uygulamaya yatırım yapmaları çok önemli.”
Kara Basta kimdir?
Siber sigorta şirketi Corvus’un 2023 sonlarında hazırladığı bir rapora göre, 2023’te Capita’ya yapılan ve sonuçları hala hissedilen saldırının arkasında Black Basta vardı ve ömrü boyunca 100 milyon dolardan fazla fidye elde etti.
Blockchain analitiği uzmanı Elliptic ile ortaklaşa hazırlanan rapor, Black Basta gibi çetelerin, haksız kazançlarını aklamak için karmaşık kripto cüzdan ağlarını nasıl kullandıklarını araştırdı ve çetenin ortaya çıkışından bu yana 300’den fazla kuruluşu hedef aldığını ortaya çıkardı; bunların yaklaşık %35’i 9 milyon dolara kadar fidye ödediler ve ortalama ödeme 1,2 milyon dolar civarında oldu.
Rapor ayrıca, Rusya’nın Ukrayna’ya saldırısıyla ilgili olarak ortaya çıkan iç bölünmenin ardından internet draması sırasında kapanan Black Basta ile Conti arasındaki önceden spekülatif bağlantıları da güçlendirdi.
WithSecure’dan West, “Black Basta, çok noktalı gasp fidye yazılımı grubu olarak bilinen bir gruptur ve onların tipik çalışma şekli, bir ağa sızmak, hassas bilgileri çalmak ve ardından ağdaki mümkün olduğunca çok sayıda dosyayı şifrelemektir” dedi.
“Daha sonra dosyaların şifresini çözmek için fidye talep ediyorlar, ek olarak fidyenin son teslim tarihine kadar ödenmemesi durumunda çalınan verileri kamuya açık bir şekilde sızdıracakları veya satacakları tehdidiyle birlikte.”
Bazı standartlara göre daha küçük bir grup olmasına rağmen West, Corvus ve Elliptic’in de vurguladığı gibi karlılıklarının, kurbanlar ödeme yaptığında fidye yazılımlarının ne kadar etkili olabileceğini gösterdiğini ve bunun da sürekli olarak güçlendirildiği gibi, konuyla ilgili kabul edilen tüm tavsiyelere aykırı olduğunu söyledi.