İngiltere Ağı ve Telekom hizmetleri sağlayıcısı Colt’ın verilerini fidye olarak tuttuğunu iddia eden acil siber suç çetesi olan Warlock, son birkaç hafta içinde başka birçok kurban vurmuş gibi görünüyor, ortaya çıktı.
Bu, şu anda yüzlerce karanlık web forumu, pazar ve diğer kanallarda 475 fidye yazılımı çetesini izleyen açık kaynak Ransomlook.io bilgi hizmeti aracılığıyla verilen verilere göre. Verilere göre, Warlock 16 Ağustos’tan bu yana toplam 22 yeni kurban talep etti.
COLT’nin yanı sıra, bugün (20 Ağustos) Belçika iştiraki etkileyen bir siber saldırıyı doğrulayan mobil operatör Operator Orange da dahil olmak üzere bir dizi diğer teknoloji firması ve geçen ay kendi ülkesi Fransa’da büyük bir güvenlik olayı bildirdi.
Orange, yaptığı açıklamada, BT sistemlerine siber bir saldırı tespit ettiğini ve 850.000 müşteri üzerindeki verilere cezai erişim sağladığını söyledi. Hiçbir kimlik bilgisi, e -posta adresleri veya bankacılık veya finansal detayların tehlikeye atılmadığını iddia etti, ancak isimler, telefon ve SIM kart numaraları, tarife planı verileri ve kişisel açma anahtarı (PUK) kodları gibi bilgiler.
PUK kodlarının uzlaşması özellikle acil bir endişe kaynağıdır, çünkü bu sekiz basamaklı sayılar, kullanıcı SIM’lerini yanlışlıkla kilitliyorsa SIM kartlarını yetkisiz kullanımdan korumak için bir güvenlik önlemi olarak tasarlanmıştır.
Bir sözcü, “Olay tespit edilir edilmez, ekiplerimiz etkilenen sisteme erişimi engelledi ve güvenlik önlemlerimizi sıkılaştırdı. Orange Belçika da yetkili makamları uyardı ve yargı yetkililerine resmi bir şikayette bulundu” dedi.
Colt kısıtlandı
Bu arada Colt, soruşturması ortaya çıkmaya devam ederken Warlock’un saldırısının etkisini hesaba katmaya devam ediyor. Günümüzde kuruluş, bazı müşteri verilerinin çalındığını belirlediğini ve bu verilerin kesin doğasını oluşturmanın mevcut önceliği olduğunu doğruladı.
Şu anda kullanılamıyor COLT Online Müşteri Portalı, Sayı Barındırma Uygulama Programlama Arabirimleri (API’lar), COLT On Hizmet Olarak Talep Ağı Portalı, yeni hizmetler sipariş etme veya sunma yeteneği ve birkaç Müşteri odaklı otomatik süreç ve sistemdir.
COLT sözcüsü, “Bu siber olayın, müşteri altyapımızdan kesinlikle ayrılan ve iki ortam arasında kimlik doğrulama sistemlerinin paylaşılmamasını sağlayan iş destek sistemlerimizle sınırlı olduğundan emin olmak istiyoruz” dedi. “Sistemlerimizi geri yüklemek için 24 saat çalışıyoruz. Şu anda kesin bir zaman çizelgesi vermek için henüz çok erken, ancak sizi bilgilendirmek için düzenli güncellemeler sağlayacağız.”
Bağımsız güvenlik analisti Kevin Beaumont tarafından elde edilen ekran görüntülerine göre, Warlock, veri kümesini satma girişimi başarısız olursa önümüzdeki hafta Colt’un verilerini sızdıracak.
SharePoint Warlock’un yükselişinin arkasındaki vulns
Microsoft’un güvenlik uzmanlarına göre, Warlock, SharePoint Server’daki – Temmuz ayında keşfedilen ve ortaya çıkan istismar zincirinin Çin devlet siber casusları tarafından kullanıldığı uyarılarında hızla yamalanan iki güvenlik bypass güvenlik açıklarından yararlanıyor.
Siber Güvenlik Haber Outlet tarafından elde edilen verilere göre Kayıtlı Gelecek İngiltere Bilgi Özgürlüğü Yasası (FOIA) uyarınca, Bilgi Komiseri Ofisi (ICO), 28 Temmuz itibariyle araç köyünün sömürülmesinden kaynaklanan üç kişisel veri ihlali örneğinin farkındaydı. Bununla birlikte, araç kaşıkının kullanımı, büyücünün katılımını göstermez.
Bu arada, trend mikro araştırmacılar, Warlock kampanyasının tehdit aktörlerinin yüksek etkili faaliyetler için kurumsal güvenlik açıklarını silahlandırma hızını nasıl örneklediğini ortaya koydu.
“Saldırganlar, SharePoint güvenlik açıklarından yararlanarak kimlik doğrulamasını atlayabildiler, uzaktan kod yürütmeyi başardılar [RCE]ve hızla tehlikeye atılan ağlar arasında dönüyor, ”dedi trend mikro ekibi.
Trend Micro, Warlock’un Webshells’i savunmasız SharePoint sunucularına yüklemek için hedeflenen HTTP Post isteklerini kullandığı karmaşık ama etkili bir saldırı zincirini tanımladı, daha sonra grup politikasının kötüye kullanılması, hem yasal pencere araçları hem de özel yapım hatalarıyla yanal hareketle saldırılarını yükseltti, sonuçta ransmware locks ile yürütülmeye yol açarken, sonuçta icra. RCLone kullanılarak pefiltratlanır.
Soyunma kötü amaçlı yazılımları, sızdırılmış Lockbit 3.0 inşaatçısının özel bir türevi gibi görünüyor Trend, Warlock’un, gelecek, daha karmaşık kampanyalar için aşamayı belirleyen araç kutusunun hevesli olarak benimsenmesi ile hızla büyüyen bir küresel tehdide nasıl dönüştüğünü belirtti.
Ekip, “Bu uçtan uca saldırı, gecikmiş yamanın tehlikelerini ve katmanlı savunmanın önemini vurguluyor” diye ekledi.