Yeraltı fidye yazılımı çetesi, 5 Ekim’de Japon teknoloji devi Casio’ya yapılan, sistem kesintilerine neden olan ve firmanın bazı hizmetlerini etkileyen saldırının sorumluluğunu üstlendi.
Bu haftanın başlarında Casio, saldırıyı web sitesinde açıkladı ancak olayla ilgili ayrıntıları gizleyerek, saldırıda kişisel verilerin veya diğer gizli bilgilerin çalınıp çalınmadığını araştırmak için harici BT uzmanlarını görevlendirdiğini söyledi.
Bugün, Yeraltı fidye yazılımı grubu, Casio’yu karanlık web şantaj portalına ekleyerek, Japon firmasından çalındığı iddia edilen çok sayıda veriyi sızdırdı.
Sızdırılan veriler şunları içeriyor:
- Gizli belgeler (社外秘)
- Yasal belgeler
- Çalışanların kişisel verileri
- Gizli Gizlilik Sözleşmeleri
- Çalışan maaş bordrosu bilgileri
- Patent bilgileri
- Şirketin mali belgeleri
- Proje bilgileri
- Olay raporları
Yukarıdakiler doğruysa saldırı Casio’nun iş gücünü ve fikri mülkiyetini tehlikeye atmış demektir ve bu da şirketin işini olumsuz etkileyebilir.
Kaynak: BleepingComputer
BleepingComputer, tehdit aktörlerinin iddiaları ve veri sızıntısı hakkında yorum talep etmek için Casio ile tekrar iletişime geçti ancak yayın yoluyla bir yanıt alamadık. Dolayısıyla tehdit aktörünün iddiaları henüz doğrulanamadı.
Yeraltı fidye yazılımlarına genel bakış
Fortinet’in Ağustos 2024 sonundaki raporuna göre Underground, Temmuz 2023’ten bu yana Windows sistemlerini hedef alan nispeten küçük ölçekli bir fidye yazılımı operasyonudur.
Söz konusu türün, daha önce ihlal edilen sistemlere Küba fidye yazılımı dağıtan Rus siber suç grubu ‘RomCom’ (Storm-0978) ile ilişkilendirildiği belirtildi.
Fortinet, yaz aylarında Yeraltı fidye yazılımı operatörlerinin Microsoft Office’teki bir uzaktan kod yürütme kusuru olan ve muhtemelen bir enfeksiyon vektörü olarak kullanılan CVE-2023-36884’ten yararlanmaya çalıştığını bildirdi.
Bir sistem ihlal edildiğinde saldırganlar, Uzak Masaüstü oturumlarını kullanıcının bağlantısı kesildikten sonraki 14 gün boyunca canlı tutacak şekilde kayıt defterini değiştirerek onlara sisteme erişimi sürdürmeleri için rahat bir pencere sağlar.
Underground, şifrelenmiş dosyalara herhangi bir dosya uzantısı eklemez ve sistemi kullanılamaz hale getirmemek için Windows işletimi için gerekli olan dosya türlerini atlayacak şekilde yapılandırılmıştır.
Ayrıca, verileri hırsızlık ve şifreleme için serbest bırakmak üzere MS SQL Server hizmetini durdurarak saldırının etkisini en üst düzeye çıkarır.
Çoğu Windows fidye yazılımında olduğu gibi, Underground da kolay veri restorasyonunu imkansız hale getirmek için gölge kopyaları siler.
Kaynak: Fortinet
Underground’ın gasp taktiklerinin sıra dışı bir özelliği de Mega’da çalınan verileri sızdırması, Telegram kanalı aracılığıyla orada barındırılan arşivlere bağlantıları teşvik etmesi, verilerin görünürlüğünü ve kullanılabilirliğini en üst düzeye çıkarmasıdır.
Yeraltı fidye yazılımının şantaj portalı şu anda çoğu ABD’de bulunan 17 kurbanı listeliyor.
Casio saldırısının, tehdit grubunun ana akıma yönelik bir atılımı olup olmayacağını ve ardından daha yüksek bir saldırı hacmi/hızı oluşturup oluşturmayacağı henüz bilinmiyor.