Telekom Argentina firması cumartesi günü (18 Temmuz 2020) fidye yazılımı saldırısı ile karşı karşıya kaldı. Tehdit aktörünün ISS firmasına ait 18,000 bilgisayarı fidye yazılımı ile şifrelediği öğrenildi.
Tehdit aktörü, ülkenin en büyük internet servis sağlayıcılarından biri olan Telecom Argentina’nın iç ağına bulaştı ve şifrelenmiş dosyaların kilidini açmak için yaklaşık 7,5 milyon dolarlık bir fidye talep etti.
Olay, 18 Temmuz Cumartesi günü gerçekleşti ve Arjantin’in en büyük saldırılarından biri olarak kabul edildi.
ISS içerisindeki kaynaklara göre, tehdit aktörünün bir domain admin üzerinde kontrol sahibi olmayı başardıktan sonra iç ağa fidye yazılımını bulaştırdığı ve 18,000 bilgisayara yayılarak şirketin ağına büyük bir zarar verdiği söylendi.
Yaşanan olay, ISS firmasına ait müşterilerin internet bağlantısında, sabit telefon veya kablolu TV hizmetlerinde bir soruna yol açmadı; ancak, Telecom Argentina’nın resmi web sitelerinin çoğunun olayın yaşandığı günden itibaren kapalı olduğu görüldü.
Saldırının başlaması itibariyle çok sayıda telekom çalışanı da olay hakkında ve ISS’nin krizi nasıl yönettiği ile ilgili ayrıntıları paylaşmak için sosyal medyayı kullandı. Çevrimiçi ortamlarda paylaşılan görüntülere göre, ISS saldırıları hemen tespit etmiş gibi gözüküyor. Şirket hızlı tespitin yanı sıra, çalışanların şirket ağı ile etkileşimlerini sınırlamak, VPN ile iç ağa bağlanmak ve arşiv dosyaları içeren e-postaları açmamak gibi konularda şirket içi duyurular ile aktif olarak uyarılar da yapmaktadır.
Saldırı yapan tehdit aktörünün dark web ortamında (kurbanların ödeme yapmaya yönlendirildiği sayfa) şu an aktif olmayan bir tweet’e göre, tehdit aktörü REvil (Sodinokibi) grubu olarak tanımlandı.
Tehdit aktörünün yönlendirmiş olduğu Resim 3’de görülen web sayfasında 109345,35 Maestro jeton (~ 7,53 milyon dolar) fidye talep ettiği görüldü.
ISS firması olayla ilgili olarak herhangi bir yorum yapmadı ve fidye talebine nasıl bir cevap verecekleri konusunda da bilgi vermedi.
Arjantin yerel medyası, ISS’nin düşüncesinin, tehdit aktörünün giriş noktası olarak şirket çalışanlarından birisine gönderilen e-posta içerisinde bulunan kötü amaçlı bir e-posta eki olduğunu belirtti, ancak bu genellikle REvil tehdit aktörünün normal operasyonları ile uyuşmamaktadır.
Güvenlik şirketi olan Advanced Intel’in geçtiğimiz yıl yayınladığı rapora göre, REvil tehdit aktörü, ağ tabanlı saldırıları gerçekleştirme, güncel olmayan ağ ürünlerini hedefleme ve şirket ağı içerisinde yanal hareket (lateral movement) ile yayılma konusunda uzmanlaşmış bir aktördür.
REvil tehdit aktörünün geçmişte yaptığı saldırılardan örnek vermek gerekirse ilk adımları Pulse Secure ve Citrix VPN veya kurumsal ağ geçidi sistemlerini hedeflemişti.
Kaynaklar: