Tietoevry’ye Fidye Yazılımı Saldırısı İsveç Genelinde BT Kesintilerine Neden Oldu

Finlandiya’nın Espoo kentinde bulunan halka açık Tietoevry, saldırının Cuma gecesi geç saatlerde veya Cumartesi günü erken saatlerde başladığını, İsveç veri merkezlerinden birine saldırdığını ve çok sayıda İsveçli müşteride kesintiye neden olduğunu söyledi.

En son yıllık gelirinin 3,3 milyar dolar olduğunu bildiren şirketin 24.000 çalışanı var ve 90’dan fazla ülkede müşterileri bulunuyor.

Tietoevry, İsveçli müşterileri saldırıya ilişkin ilk olarak Cumartesi günü uyardı ve saldırının saldırganın eriştiği altyapıyı hızla izole ederek olayı kontrol altına aldığını söyledi. Şirket, ortaya çıkan öfke için özür diledi ve saldırıyı düzeltmek ve sistemleri tekrar çevrimiçi hale getirmek için ekiplerin gece gündüz çalıştığını söyledi.

Şirket, “Şu anda Tietoevry, restorasyon sürecinin bir bütün olarak ne kadar süreceğini söyleyemez; olayın niteliği ve onarılacak müşteriye özel sistemlerin sayısı göz önüne alındığında, toplam süre birkaç güne, hatta haftalara uzayabilir.” Pazartesi güncellemesinde söyledi. “Söz konusu müşterilerle yakın işbirliği içinde, teknik olarak mümkün olan en kısa sürede bu sorunu çözmeye odaklandık.”

Tietoevry Tech Services’in İsveç pazar sorumlusu Venke Bordal yaptığı açıklamada, “Bu kötü niyetli saldırının müşterilerimiz ve bundan etkilenen herkes için yol açtığı sorunlardan dolayı içtenlikle özür dileriz.” dedi. “Bu konuyu tam dikkatle ele almak için gerekli tüm kaynakları ayırdık.”

Pek çok İsveçli kuruluş, Tietoevry’nin Primula adı verilen yönetilen İK ve bordro sistemini de kesintiye uğratan fidye yazılımı saldırısı sonucunda BT kesintilerini duyurdu. Hizmet, yaklaşık üç düzine hükümet yetkilisinin yanı sıra çok sayıda üniversite ve kolej tarafından kullanılıyor. Karolinska Institutet, Linnaeus Üniversitesi, Lund Teknoloji Üniversitesi, İsveç Tarım Bilimleri Üniversitesi ve University West, bunun sonucunda bordro sistemi veya diğer kesintileri bildiren kurumlar arasında yer alıyor.

İsveç’in doğu-orta kıyısında yer alan Uppsala İlçesindeki yetkililer, bölgenin hasta tıbbi kayıt sisteminin çevrimdışı olmasının yanı sıra bazı finansal sistemlerin kullanılamaz hale gelmesinin ardından kriz yönetimi planları başlattı ve sistemler hızlı bir şekilde eski haline getirilmediği takdirde durumun daha da kötüleşebileceği uyarısında bulundu.

Mikael, “BT kesintisi nedeniyle hastalar için acil bir risk yok, ancak sağlık hizmetlerinde yedekleme rutinlerini ve manuel işlemleri daha az kullanmak zorunda kalıyoruz. Bu, idari prosedürlerin genellikle olduğundan biraz daha uzun sürebileceği anlamına geliyor” dedi. Uppsala bölgesindeki sağlık ve tıbbi bakım müdürü Köhler, makine çevirisine göre Pazar günü yaptığı açıklamada şunları söyledi.

Köhler, yetkililerin Uppsala’daki özel sağlık hizmeti sağlayıcılarını kesintiler konusunda mümkün olan en kısa sürede bilgilendirmek için çalıştığını söyledi.

Bjuvs ve Vellinge belediyeleri maaş bordrosu sistemlerinde kesintiler olduğunu bildirirken, Vellinge kütüphane sistemlerinin de çevrimdışı olduğunu bildirdi.

Kesinti İsveç’in ulusal hükümet hizmet merkezi Statens’i de etkiledi. Örgüt, saldırı gerçekleşmeden önce zaten maaş bordrosu verilerini işlediği ve ödemeleri bankalara yönlendirdiği için hükümet maaşlarının bu ay da ödeneceğini söyledi.

Halka açık hava arıtma ve iklim çözümü tedarikçisi Munters, Pazartesi günü dördüncü çeyrek ve 2023 yılının tamamının sonuçlarını erken açıkladı. Şirket, Tietoevry’ye yapılan fidye yazılımı saldırısı nedeniyle bilgileri 1 Şubat’ta yayınlamayı planlarken, yöneticiler finansal verilerin “gizli kalmasını” sağlayamayacaklarını söyledi. Şirket ayrıca “finansal konsolidasyon sisteminin ve iş sistemlerimizin sınırlı bir kısmının fidye yazılımı saldırısından etkilendiğini” söyledi.

Kesintiler sonucunda İsveç’in en büyük sinema zinciri Filmstaden, sinema salonlarının açık kaldığını ancak biletlerin şu anda web sitesi veya uygulaması aracılığıyla önceden satın alınamadığını söyledi. İsveç’in en büyük perakendecilerinden biri olan tarım ve bahçe tedarikçisi Granngården, saldırı sonucunda 100’den fazla perakende satış noktasını kapattı. Makine çevirisine göre şirket Cumartesi günü müşterilere “Sorunun kısa sürede çözülmesini umuyoruz” dedi.

Mağazalarını açık tutmayı başaran indirimli ev ve eğlence ürünleri perakendecisi Rusta, ancak web sitesinin çevrimdışı kaldığını söyledi. İskandinavya’nın en büyük ahşap işleme şirketlerinden biri olan İskandinav sanayi grubu Moelven de aksamalar bildirdi.

Bleeping Computer’ın bildirdiğine göre fidye yazılımı saldırısında etkilenen Tietoevry veri merkezi, şirketin Amazon Web Hizmetleri, Microsoft Azure ve Google Bulut Platformu da dahil olmak üzere yönetilen bulut hizmetlerine yönelik kurumsal barındırmasını destekliyor.

Tietoevry, Saldırının Arkasında Akira’nın Bulunduğunu Söyledi

Pazartesi günü Tietoevry, saldırının arkasında Akira fidye yazılımı grubunun olduğunu söyledi.

Suç grubu, en azından henüz Tietoevry’yi veri sızıntısı sitesinde listelemedi. Veri sızıntısı siteleri çalıştıran Akira gibi fidye yazılımı grupları, fidye ödemeyi reddeden kurbanlarının bir alt kümesini listeliyor; ancak genellikle kurban, saldırganın kendilerine ödeme yaptırmak için yaptığı birden fazla girişimi geri çevirdikten sonra.

Mart 2023’te başlatılan Akira, yakın zamanda Finlandiya kuruluşlarına yönelik bir dizi başarılı saldırıyla ilişkilendirildi. Finlandiya Ulusal Siber Güvenlik Merkezi, geçen ay kendisine bildirilen sekiz saldırıdan yedisinin, Cisco Adaptive Security Appliance ve Firepower Threat Defense cihazlarını kullanan Akira kullanan saldırganlarla bağlantılı olduğunu söyledi.

Tüm bu durumlarda CERT-FI, cihazların bilinen bir güvenlik kusurunu düzeltmek için Eylül 2023’te yayınlanan bir yama ile henüz güncellenmediğini söyledi. Ayrıca cihazlar, güvenlik açığının atlatamadığı çok faktörlü kimlik doğrulamayla korunmuyordu.

Tietoevry, Akira’nın saldırı vektörü veya almış olabileceği herhangi bir fidye talebi hakkında yorum yapmaktan kaçındı.