Yamaha Motor’un Filipinler’deki motosiklet üretim yan kuruluşu geçen ay bir fidye yazılımı saldırısına uğradı ve bunun sonucunda bazı çalışanların kişisel bilgileri çalındı ve sızdırıldı.
Motosiklet üreticisi, ihlalin ilk kez 25 Ekim’de tespit edilmesinin ardından işe alınan harici güvenlik uzmanlarının yardımıyla olayı araştırıyor.
“tarafından yönetilen sunuculardan biri [..] Filipinler’deki motosiklet üretim ve satış yan kuruluşu Yamaha Motor Filipinler, Inc.’e (YMPH), üçüncü bir tarafça izinsiz olarak erişildi ve bir fidye yazılımı saldırısına uğradı ve çalışanların şirket tarafından saklanan kişisel bilgilerinin kısmen sızdırıldığı doğrulandı, ” dedi Yamaha’da.
“YMPH ve Yamaha Motor genel merkezindeki BT Merkezi bir karşı önlem ekibi kurdu ve etkinin kapsamını vb. araştırırken daha fazla hasarı önlemek için çalışıyor ve harici bir internet güvenlik şirketinden gelen girdilerle birlikte bir kurtarma üzerinde çalışıyor.”
Yamaha, tehdit aktörlerinin Yamaha Motor Filipinler’deki tek bir sunucuyu ihlal ettiğini ve saldırılarının genel merkezi veya Yamaha Motor grubu içindeki diğer yan kuruluşları etkilemediğini söyledi.
Şirket ayrıca olayı ilgili Filipin makamlarına bildirdi ve şu anda saldırının etkisinin tam boyutunu değerlendirmek için çalışıyor.
Bugün erken saatlerde BleepingComputer ile iletişime geçildiğinde Yamaha Motor sözcüsü yorum yapmak için hemen müsait değildi.
İhlal INC Ransom çetesi tarafından iddia edildi
Şirket henüz saldırıyı belirli bir operasyonla ilişkilendirmemiş olsa da, INC Ransom çetesi saldırıyı üstlendi ve Yamaha Motor Filipinler ağından çalındığını iddia ettikleri verileri sızdırdı.
Tehdit aktörleri, şirketi 15 Kasım Çarşamba günü karanlık web sızıntı sitesine ekledi ve o zamandan bu yana, diğerlerinin yanı sıra çalışan kimlik bilgileri, yedek dosyalar, şirket ve satış bilgilerini içeren yaklaşık 37 GB çalındığı iddia edilen verileri içeren çok sayıda dosya arşivi yayınladı.
INC Ransom ortaya çıktı Ağustos 2023 ve çifte şantaj saldırılarıyla sağlık, eğitim ve hükümet gibi çeşitli sektörleri kapsayan kuruluşları hedef aldı.
O zamandan bu yana INC Ransom, sızıntı web sitesine 30 kurban ekledi. Ancak, yalnızca fidyeyi ödemeyi reddedenlerin kamuya açıklanması ve ardından gelen veri sızıntılarıyla karşı karşıya kalması nedeniyle, ihlal edilen kuruluşların sayısı muhtemelen daha fazladır.
SentinelOne’a göre tehdit aktörleri, hedef odaklı kimlik avı e-postaları yoluyla hedef ağlarına erişim sağlıyor ancak aynı zamanda Citrix NetScaler CVE-2023-3519 açıklarını kullandıkları da gözlemleniyor.
Erişim elde ettikten sonra, ağ üzerinde yanal olarak hareket ederler, önce fidye için hassas dosyaları toplayıp indirirler, ardından ele geçirilen sistemleri şifrelemek için fidye yazılımı yüklerini dağıtırlar.
Ek olarak, INC-README.TXT ve INC-README.HTML dosyaları, şifrelenmiş dosyaların bulunduğu her klasöre otomatik olarak bırakılır.
Mağdurlara, fidye yazılımı çetesinin çalınan tüm verileri sızıntı bloglarında kamuya açıklayacağı tehdidi altında, tehdit aktörleriyle müzakerelerde bulunmaları için 72 saatlik bir ültimatom veriliyor.
Fidye talebine uyanlar aynı zamanda dosyalarının şifresinin çözülmesine yardım edileceğine dair güvence de alıyor.
Ek olarak saldırganlar, ilk saldırı yöntemiyle ilgili ayrıntıları, ağlarının güvenliğini sağlamaya yönelik rehberliği, veri imhasına ilişkin kanıtları ve INC Ransom operatörleri tarafından bir daha saldırıya uğramayacaklarına dair bir “garanti” sağlamayı taahhüt ediyorlar.