REvil fidye yazılım çetesinden tedarik zinciri saldırısı - 1000'den fazla şirket etkilendi

REvil fidye yazılım çetesinden tedarik zinciri saldırısı - 1000'den fazla şirket etkilendi

REvil fidye yazılım çetesinin şirketler için uzaktan yönetim hizmetleri sunan ABD merkezli Kaseya’ya tedarik zinciri saldırısı sonrasında 1000’den fazla küçük, orta ve büyük ölçekteki müşterisinin verilerinin şifrelendiği belirtiliyor. REvil fidye yazılım çetesi Kaseya’nın VSA ürününe tedarik zinciri saldırısı sonrasında binden fazla müşteriyle birlikte şu ana kadar ortaya çıkmış 8 büyük MSP’de etkilenmiş durumda yer alıyor.

Saldırı nasıl gerçekleşiyor?

The Record‘un Sophos ve bazı Kaseya müşterileriyle yaptığı görüşmeye göre; Kaseya güncellemesi şeklinde gözüken güncelleme yazılımı, VSA şirket için sunucularına erişerek buradan dahili komut dosyası oluşturma motoru kullanılarak zararlı yazılımı tüm bağlı istemci sistemlerine dağıtılıyor.

Sophos analistlerinden Mark Loman’a göre, zararlı yazılım yereldeki antivirüs çözümlerini devre dışı bırakır ve ardından kurbanın dosyalarını şifreleyen gerçek fidye yazılımı ikili programını çalıştıran sahte bir Windows Defender uygulaması dağıtır.

Kaynak: Bleeping Computer

İstenilen fidye miktarı

Bleeping Computer tarafından istenilen fidye miktarı ile ilgili bir resim paylaşıldı. Resme göre fidye miktarı olarak ismi bilinmeyen bir kurbandan 5 milyon dolar istenmiş. Fakat bunun herhangi bir MSP için mi veya her kurban için mi istediklerine dair elle tutulur bir veri yok.

Etkilenen şirketler yavaş yavaş ortaya çıkıyor

Şuana kadar bu saldırıdan 1000’in üzerinde şirket etkilensede, hangi şirketlerin olduğu ile ilgili az bir bilgi ortaya çıkmış bulunuyor. Nbcnews‘in haberine göre; İsveç’in en büyük market zincirlerinden biri olan Coop, Cumartesi günü paylaştığı mailde, yapılan saldırıdan kendilerininde etkilendiğini ve 800 mağazasını geçici olarak kapattığını duyudu. Coop’un ise bu saldırıya hizmet aldıkları Avrupa merkezli Visma EssCom adlı şirketten dolayı maruz kaldığı belirtiliyor. Visma kaynaklı daha kaç şirketin benzer bir durumla kaldığı ile ilgili bir bilgi bulunmuyor. İkinci olarak California merkezli SoCal Computers’ın hem kendisinin hem de müşterilerinin bu saldırı sonucunda Cuma günü bilgisayarlarının kilitlendiğini belirtiliyor.

US-CERT ve FBI saldırıyı araştırdıklarını açıkladı

Ortaya çıkan ve büyük ses getiren bu saldırı sonrasında, US-CERT Cuma günü yaptığı açıklamada; saldırıyla ilgili gelişmeleri takip ettiklerini ve olayı nasıl ele alacaklarıyla ilgili çalıştıklarını belirtmiş. Bununla birlikte FBI’ında yaptığı açıklamada Kaseya ile birlikte çalıştıklarını, Kaseya tarafından belirtilen yönergelerin takip edilip, uyulması çağrısında bulundu.

Önerilen Önlemler

Kaseya tarafından yapılan açıklamaya göre; şirketin yapacağı bir sonraki açıklamaya kadar VSA serverlarının tamamen kapatılmasını şiddetle öneriyorlar. Herhangi bir güvenlik ihlali olmamasına rağmen SaaS sunucularınında bir sonraki açıklamaya kadar acilen kapatılmasını önerdiler.

Bu saldırıyla ilgili olarak aktif olarak şuraları takip edebilirsiniz:

1- Kaseya’nın bilgilendirme sayfası: https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689

2- Huntress Lab’ın MSP’ler ile ilgili Reddit sayfası: Şuanda 30 tane MSP ile iletişim halinde olduklarını ve sorunların çözümü üzerinde uğraştıklarını belirtiyorlar.

3- Sophos’un yardım sayfası: https://community.sophos.com/b/security-blog/posts/active-ransomware-attack-on-kaseya-customers

Bunlar ilginizi çekebilir

Apple, Intel tabanlı Mac'lere yönelik kullanılan iki 0-Day için güncelleştirme duyurdu

Apple, Intel tabanlı Mac'lere yönelik kullanılan iki 0-Day için güncelleştirme duyurdu

Apple, Intel tabanlı Mac sistemlerine yönelik saldırılarda tehdit aktörleri tarafından istismar edilen iki tane sıfırıncı gün açığı (0-Day) ile ilgili acil güvenlik güncellemeleri yayınladı. Şirket tarafından yayınlanan ayrıntılara göre MacOS Sequoia'da CVE-2024-44308 olarak izlenen JavaScriptCore ve CVE-2024-44309 olarak izlenen WebKit bileşenlerinde zafiyetler yer alıyor. Bu iki zafiyette Google

By Editor
Siber tehdit istihbaratı girişimi ThreatMon, Pragma Capital Partners'tan yatırım aldı

Siber tehdit istihbaratı girişimi ThreatMon, Pragma Capital Partners'tan yatırım aldı

Siber tehdit istihbaratı alanınında çözümler sunan ThreatMon, Pragma Capital Partners'tan (PCP) yatırım aldı. Gerçekleşen yatırım ile ilgili herhangi bir finansal veri paylaşılmadı. 2018 yılında kurulan ThreatMon'un verdiği hizmetler arasında atak yüzeyi istihbaratı, siber tehdit istihbaratı, marka koruması, darkweb izleme ve tedarik zinciri gibi alanlar yer alıyor

By Editor
Bitdefender, ShrinkLocker fidye yazılımı için şifre çözücü yayınladı

Bitdefender, ShrinkLocker fidye yazılımı için şifre çözücü yayınladı

Siber güvenlik şirketi Bitdefender, geçmişten kalma kalıntıları kullanan basit ama etkili bir fidye yazılımı olarak tanımladığı ShrinkLocker ile ilgili şifre çözücü yayınladı. Bitdefender tarafından ShrinkLocker ile ilgili hem şifre çözücü hem de fidye yazılımın nasıl çalıştığı ile ilgili ayrıntılı bir teknik araştırma yayınlandı. ShrinkLocker'ın daha karmaşık şifreleme algoritmalarına

By Editor