Kötü şöhretli Cl0P fidye yazılımı grubu, Los Angeles California Üniversitesi’ne (UCLA) düzenlenen bir siber saldırının sorumluluğunu üstlendi.
Tehdit analisti Dominic Alvieri, UCLA siber saldırısıyla ilgili ayrıntıları yayınladı ve bilgileri bilgisayar korsanları tarafından yayınlandığı iddia edilen bir görüntüyle birlikte bir tweet aracılığıyla açıkladı.
Cyber Express, iddia edilen UCLA siber saldırısı hakkında daha fazla bilgi almak için Los Angeles, California Üniversitesi’ne ulaştı. Ancak şu an için tehdit aktörünün öne sürdüğü iddialarla ilgili olarak üniversiteden resmi bir yanıt gelmedi.
UCLA siber saldırısı: İlk veri ihlali değil!
İlginç bir şekilde, bu, UCLA’nın yüksek profilli bir tehdit aktörünün siber saldırısına ilk kez kurban gitmesi değil.
31 Mart 2021’de UCLA Bilgi Güvenliği Başkanı David Shaw, üniversiteyi hedef alan önceki bir siber saldırıya ilişkin resmi bir açıklama yaptı.
Shaw basın açıklamasında şunları söyledi: “Geçen Pazartesi gününden itibaren birçok UCLA e-posta hesabı, kişisel verilerinin çalındığını ve yayınlanacağını belirten mesajlar almaya başladı. Bu e-postalar, UC çalışanlarından alınan kişisel bilgilerin bir örneğinin yayınlandığı halka açık bir web sitesine bağlantı içeriyordu.”
Daha sonra California Üniversitesi Başkanlık Ofisi (UCOP) tarafından, UC çalışanlarının kişisel verilerinin, sızdırılan bilgilerin kaynağı olduğuna inanılan bir UCOP sistemine yönelik bir siber saldırı sonucunda gerçekten ele geçirildiği ortaya çıktı. .
2 Nisan 2021’de Los Angeles Times, UCLA siber saldırısının, üniversite tarafından güvenli dosya aktarımları için kullanılan üçüncü taraf bir satıcı olan Accellion’daki bir güvenlik açığından yararlanan bilgisayar korsanlarının bir sonucu olduğunu bildirdi.
Üniversite, olayı kabul eden bir bildiri yayınladı ve saldırganların kişisel bilgilerin ekran görüntülerini çevrimiçi olarak paylaştığını anladığını ifade etti. Tesadüfen, bu saldırının arkasında da Cl0p fidye yazılımı çetesi vardı.
Ayrıca UC topluluğuna, verilerinin bu ihlal nedeniyle sızdırılması durumunda bilgilendirileceklerine dair güvence verdiler.
UCLA siber saldırı iddiası doğrulanmadı
Hackerların UCLA siber saldırısına ilişkin öne sürdükleri iddialar hala doğrulanmayı beklerken, Cl0P fidye yazılım grubunun son aylarda çok sayıda önde gelen organizasyonun sızdırılmasından sorumlu olduğunu belirtmekte fayda var.
Bu saldırıların çoğu, BBC ve British Airways gibi ünlü kuruluşlar da dahil olmak üzere çok sayıda web sitesini ve işletmeyi etkileyen MOVEit Transfer güvenlik açığından yararlanmayla bağlantılıdır.
Cl0P fidye yazılımı grubu, bu UCLA siber saldırısında gördüğümüze benzer hedefli tehdit kampanyaları başlatmasıyla tanınır.
Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) bir raporuna göre Cl0P, çifte gasp taktiğini kullanmasıyla tanınan FIN11 tehdit aktör grubuyla ilişkili bir fidye yazılımı çeşididir.
Bu özel grup daha önce birkaç ABD sağlık ve halk sağlığı (HPH) kuruluşunu hedef aldı.
Araştırmacılar ayrıca Cl0P operatörlerinin kurbanları seçerken hem “spreyle ve dua et” yaklaşımı hem de daha hedefli bir yaklaşımın bir kombinasyonunu kullandıklarını belirlediler, bu da operasyonlarında bir düzeyde takdir yetkisi olduğunu gösteriyor.
Cl0p fidye yazılımı grubu, şüphelenmeyen kurbanları hedeflemek için Yönetilen Dosya Aktarımı (MFT) yazılımındaki güvenlik açıklarından yararlanmaya özel bir ilgi gösterdi. En son örnek, kurumsal bir MFT yazılımı olan MOVEit Transfer’deki bir SQL enjeksiyon güvenlik açığından yararlanmayı içeriyordu.
Bundan önce grup, aşağıdaki olaylarda benzer istismarlara girişmişti:
- Şubat 2023’te Cl0p, Fortra GoAnywhere MFT’deki (CVE-2023-0669) sıfır gün güvenlik açığından yararlanarak 130’dan fazla saldırının sorumluluğunu üstlendi.
- Aralık 2020’de Clop grubu, Accellion’ın eski dosya aktarım uygulama yazılımındaki sıfır gün güvenlik açıklarından yararlanarak veri hırsızlığına neden olan 100’den fazla şirketi hedef aldı.
İlginç bir şekilde, her üç kampanyada da Cl0p, kendi adını taşıyan fidye yazılımlarını dağıtma konusundaki olağan yaklaşımlarından saptı. Bunun yerine, veri gasp etme taktiklerini seçtiler.
Cl0p, kurbanlarının sistemlerini şifrelemek yerine, güvenliği ihlal edilmiş MFT yazılımından çalınan hassas verilerin kamuya açıklanmasıyla tehdit etmeyi seçti. Kurban bildirimindeki bu değişikliğin, Cl0p’nin aynı anda birden çok kurbanı hedef almasına olanak tanıyarak acımasızca etkili olduğu kanıtlanmıştır.
Taktiklerdeki bu değişikliğe rağmen, Cl0p’nin ileriye dönük standart uygulamalarını sürdüreceği tahmin edilmektedir.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.