Finlandiyalı BT hizmetleri ve kurumsal bulut barındırma sağlayıcısı Tietoevry, İsveç’teki veri merkezlerinden birinde bulut barındırma müşterilerini etkileyen bir fidye yazılımı saldırısına maruz kaldı ve saldırının Akira fidye yazılımı çetesi tarafından gerçekleştirildiği bildirildi.
Tietoevry, kurumlara yönetilen hizmetler ve bulut barındırma hizmeti sunan bir Finlandiya BT hizmetleri şirketidir. Şirketin dünya çapında yaklaşık 24.000 çalışanı var ve 2023 geliri 3,1 milyar dolar oldu.
Tietoevry bugün fidye yazılımı saldırısının Cuma gecesi ile Cumartesi sabahı arasında gerçekleştiğini ve İsveç’teki veri merkezlerinden yalnızca birini etkilediğini doğruladı.
Tietoevry’den yapılan bir basın açıklamasında, “Saldırı, İsveç veri merkezlerimizden birinin bir kısmıyla sınırlıydı ve Tietoevry’nin İsveç’teki bazı müşterilerimize sunduğu hizmetleri etkiledi” diye açıklıyor.
“Tietoevry, etkilenen platformu derhal izole etti ve fidye yazılımı saldırısı, şirketin altyapısının diğer bölümlerini etkilemedi.”
BleepingComputer, bu veri merkezinin şirketin kurumsal olarak yönetilen bulut barındırma hizmeti için kullanıldığını ve bunun İsveç’teki birden fazla müşteri için kesintilere yol açtığını öğrendi.
Şirket, altyapıyı ve hizmetleri geri yükleme sürecinde olduklarını ancak müşterilerin sunucuları tekrar çevrimiçi hale getirirken etkilenmeye devam ettiklerini söylüyor.
Basın açıklaması şöyle devam ediyor: “Tietoevry, altyapıyı ve hizmetleri eski haline getirmek için iyi test edilmiş bir metodoloji izliyor. Müşteri verilerinin doğru şekilde işlenmesini sağlamak için çalışmalar planlı bir sırayla yürütülüyor.”
“Zaman çizelgesi ayrıca müşteriye, söz konusu çözümlere ve ilgili veri geri yükleme ihtiyaçlarına bağlı olarak da bir miktar değişiklik gösterecektir.”
BleepingComputer, saldırı hakkında daha fazla bilgi almak için Tietoevry ile temasa geçti ancak kendisine yalnızca saldırının “Tietoevry’nin İsveç’te bulunan veri merkezlerinden birinin belirli bir bölümünü etkilediği” söylendi.
Tietoevry daha önce 2021’de müşterilerin hizmetlerinin bağlantısını kesmeye zorlayan bir fidye yazılımı saldırısına maruz kalmıştı.
Bu saldırı veya diğer siber saldırılarla ilgili herhangi bir bilginiz varsa +1 (646) 961-3731 numaralı telefondan Signal üzerinden, [email protected] adresine e-posta göndererek veya ipuçları formumuzu kullanarak bizimle güvenli bir şekilde iletişime geçebilirsiniz.
Saldırı geniş çaplı kesintilere neden oluyor
BleepingComputer, fidye yazılımı saldırısının, şirketin İsveç’teki çok çeşitli işletmelerin web sitelerini veya uygulamalarını barındırmak için kullanılan sanallaştırma ve yönetim sunucularını şifrelediğini öğrendi.
İsveç’in en büyük sinema zinciri Filmstaden, saldırıdan etkilenenler arasında kendilerinin de yer aldığını doğruladı ve web sitesi veya mobil uygulama aracılığıyla çevrimiçi sinema bileti satın alınmasını engelledi.
Kaynak: BleepingComputer
Saldırıdan etkilenen diğer şirketler arasında indirimli perakende zinciri Rusta, ham inşaat malzemeleri sağlayıcısı Moelven ve BT hizmetleri yeniden sağlanırken mağazalarını kapatmak zorunda kalan tarım tedarikçisi Grangnården yer alıyor.
Kesinti aynı zamanda Tietoevry’nin İsveç’teki hükümet, üniversiteler ve kolejler tarafından kullanılan Bordro ve İK sistemi Primula’yı da etkiliyor.
Ülkedeki etkilenen üniversiteler ve kolejler arasında Karolinska Institutet, SLU, University West, Stockholm Üniversitesi, Lunds Universitet ve Malmö Üniversitesi bulunmaktadır.
Primula kesintisi ayrıca Statens hizmet merkezi, Vellinge belediyesi, Bjuv belediyesi ve Uppsala İlçesi dahil olmak üzere İsveç’teki çok sayıda devlet kurumunu ve belediyeyi de etkiledi.
Uppsala için kesinti daha da önemli çünkü aynı zamanda bölgenin sağlık kayıt sistemini de etkiliyor.
Saldırının arkasında Akira fidye yazılımı olduğu iddia ediliyor
BleepingComputer’a, Tietoevry’ye yapılan saldırının arkasında Akira fidye yazılımı operasyonunun olduğu söylendi; bu, Finlandiya hükümetinin ülkedeki şirketlere yönelik devam eden saldırılar konusunda uyarmasından kısa bir süre sonra gerçekleşti.
Akira fidye yazılımı operasyonu Mart 2023’te başladı ve çifte gasp saldırılarıyla hızla dünya çapındaki kurumsal ağları ihlal etmeye başladı.
Finlandiya Ulusal Siber Güvenlik Merkezi (NCSC), bu ay, 2023 yılında bildirilen 12 Akira fidye yazılımı saldırısı vakasının bulunduğunu ve çoğunluğunun yılın sonlarında gerçekleştiğini açıkladı.
Finlandiya NCSC, “Olaylar özellikle zayıf güvenlikli Cisco VPN uygulamaları veya yama yapılmamış güvenlik açıklarıyla ilgiliydi. Kurtarma genellikle zordur” uyarısında bulundu.
Ağustos ayında BleepingComputer, Akira fidye yazılımı çetesinin dahili kurumsal ağlara erişim sağlamak için çok faktörlü kimlik doğrulamayla korunmayan Cisco VPN hesaplarını ihlal ettiğini bildirdi.
Tehdit aktörleri bir ağı ihlal ettiğinde kurumsal verileri çalarken yanal olarak diğer cihazlara da yayılırlar. Tüm veriler çalındıktan ve yönetici ayrıcalıkları elde edildikten sonra, tehdit aktörleri ağdaki dosyaları şifreler.
Cisco o sırada BleepingComputer’a müşterilerin tüm VPN hesaplarında MFA’yı yapılandırması ve günlük verilerini uzak bir sistem günlüğü sunucusuna göndermesi gerektiğini söylemişti.
Uzak bir sistem günlüğü sunucusu kullanarak, tehdit aktörleri Cisco yönlendiricideki günlükleri temizleseler bile, bir ihlalden sonra analiz için bunlara hâlâ erişilebilecektir.