Avustralya’nın en büyük ikinci liman işletmecisine siber saldırı düzenlendi. Saldırı deniz operasyonlarını felç etti.
Melbourne, Sydney, Brisbane ve Fremantle’da limanlar işleten ve deniz taşımacılığının yüzde 40’ından sorumlu olan DP World Australia, kendilerine siber saldırı düzenlendiğini ve saldırının malların ülkeye giriş ve çıkışını etkilediğini açıkladı.
DP World Australia Melbourne’nün, Sydney ve Brisbane’deki üç liman işletmecisinden biri olduğu biliniyor.
Deniz taşımacılığının yüzde 40’ından sorumlu olan DP World Australia’ya yapılan saldırının malların ülkeye giriş çıkışını etkilediği belirtildi.
Gemilerin yük sahasını terk edemediğini belirten yetkililer, internet bağlantısını kestiklerini ve yetkisiz erişimin durdurulması için acil önlemler aldıklarını belirtti.
Şirket sözcüsü “Çalışanlarımızı, müşterilerimizi ve ağlarımızı korumak için soruşturmamız devam ediyor. Bunun yanı sıra Avustralya liman operasyonlarımıza da karadan erişimi kısıtladık.” ifadelerini kullandı.
İÇİŞLERİ BAKANLIĞI OLAYA MÜDAHALE ETTİ
Söz konusu kesinti Avustralya limanlarındaki operasyonları destekleyen kilit sistemlerin kesinti yaşamasına neden oldu.
DP World sözcüsü, kapsamlı bir müdahale içinde olduklarını, siber güvenlik uzmanlarıyla birlikte çalıştıklarını, olayı aktif bir şekilde araştırdıklarını ve ilgili makamları bilgilendirdiklerini söyledi.
İçişleri Bakanı Claire O’Neil, federal hükûmetin olaydan haberdar olduğunu ve DP World’den düzenli bilgilendirmeler aldığını duyurdu.
Bununla birlikte İçişleri Bakanlığı, hükûmetin “Bir dizi deniz limanı tesisini etkileyen ulusal çapta önemli bir siber olaya” müdahale ettiğini duyurdu.
Fidye yazılım saldırısı 70 Alman belediyesinin hizmetlerin aksamına neden oldu.
Geçtiğimiz hafta gerçekleşen bir fidye yazılım saldırısı, Almanya’nın batısındaki birçok şehir ve ilçede yerel yönetim hizmetlerini felç etti.
Almanya’da henüz kimin gerçekleştirdiği bilinmeyen bir fidye yazılımı çetesi tarafından yerel belediye hizmet sağlayıcısı Südwestfalen IT’nin sunucularına siber saldırı düzenlendi.
70’TEN FAZLA BELEDİYENİN ALTYAPISINA ERİŞİM KISITLANDI
Almanya’da büyük bir hizmet sağlayıcısı olan Südwestfalen IT’ye bir fidye yazılım çetesi tarafından düzenlenen fidye yazılımı saldırısı, Almanya’daki yerel yönetim hizmetlerini kısıtladı.
Saldırı sonucu Südwestfalen IT’nin sunucuları şifrelenirken, kötü amaçlı yazılımın yayılmasını önlemek için şirket, başta Almanya’nın Kuzey Ren-Vestfalya eyaletinde olmak üzere 70’ten fazla belediyenin altyapısına erişimi kısıtladı.
Şirket, olayın ardından ana sitesine erişilemediği için geçici bir web sitesinde yayınladığı açıklamada, saldırının yerel yönetim hizmetlerini “ciddi şekilde sınırlandırdığını” söyledi.
Bölgedeki neredeyse tüm belediye binaları saldırıdan etkilendi.
Saldırının gerçekleştiği gün, Almanya’nın Siegen kentinin yönetimi, bilişim sistemlerinin çoğunun kapatılması nedeniyle vatandaşlarla olan randevularını iptal etti. Saldırıyla birlikte, idarenin çevrim içi hizmetlerinin çoğu kullanılamaz durumda kaldı.
Wermelskirchen ve Burscheid şehir yönetimlerinin web siteleri de saldırının ertesi günü hizmet veremedi.
Wermelskirchen belediyesi sözcüsü Alman medyasına yaptığı açıklamada, “Kesinti nedeniyle Südwestfalen IT üzerinden çalışan uygulamalara erişimimiz yok.” ifadelerini kullandı.
YÜZ YÜZE HİZMETE DÖNÜLDÜ
Saldırıdan etkilenen belediyeler, çevrim içi sistemleri çökmüş olsa da vatandaşlara yüz yüze hizmet sunmaya devam edeceklerini açıkladı.
Alman polisi ve siber güvenlik kurumları ise saldırıyı hakkında soruşturma yürütüldüğünü ve şehir yönetimlerinin hizmetlerini eski hâline getirmek için çalıştıklarını ifade etti.
Burscheid sözcüsü, “Ancak müşterilerimize spesifik bir şey söyleyemeyiz, bu insanlar üzerinde çok fazla stres yaratıyor.” dedi.
Alman siber güvenlik uzmanlarına göre, yerel yönetimler genellikle ay sonunda mali işlemler gerçekleştirdiğinden, saldırının zamanlaması özellikle hassas. Uzmanlar, maaşlar, sosyal yardım ve bakım fonundan yapılan transferler gibi ödemelerin saldırı nedeniyle engellenebileceğini söyledi.
Siber saldırı nedeniyle altyapı sistemleri kesintiye uğrayan ve çeşitli hizmetlerini hâlâ kullanamayan gazete için siber saldırganlar fidye talebinde bulundu.
Saldırının etkilerinin sürmesi nedeniyle okurlarına açıklama yapan gazete, söz konusu istisnai durum kapsamında baskıda daraltmaya gidildiğini ancak elektronik baskıda herhangi bir kısıtlama olmadığını duyurdu.
NZZ ise konuyla alakalı yorum taleplerine soruşturmanın devam etmesi nedeniyle cevap vermeyeceklerini açıkladı.
LockBit fidye yazılımı çetesi çocuk hastanesine düzenlediği saldırı için özür dileyip ücretsiz şifre çözücü yayımladı.
Kanada’da çocuklar için sağlık hizmeti veren bir eğitim ve araştırma hastanesine saldıran fidye yazılımı çetesi özür diledi.
LockBit, üyelerinden birinin sağlık kuruluşuna saldırarak kuralları ihlal ettiğini söyleyerek ücretsiz bir şifre çözücü yayımladı.
SALDIRI HASTANEDE HİZMETLERİ AKSATTI
Toronto’da SickKids hastanesine 18 Aralık tarihinde LockBit fidye yazılımı çetesi tarafından saldırı düzenlenmişti.
Saldırıda kurumun dâhili ve kurumsal sistemleri, hastane telefon hatları ve web sitesi etkilenmişti.
Saldırı yalnızca birkaç sistemi şifrelemiş olsa da SickKids, olayın laboratuvar ve görüntüleme sonuçlarının alınmasında gecikmelere neden olduğunu ve hastaların uzun süre beklemesine yol açtığını belirtmişti.
SickKids 29 Aralık’ta, teşhis veya tedavi gecikmelerine neden olanlar da dâhil olmak üzere öncelikli sistemlerinin yüzde 50’sini geri yüklediğini duyurmuştu.
SickKids’in son duyurusundan iki gün sonra LockBit fidye yazılımı çetesi hastaneye yapılan saldırı için özür diledi ve ücretsiz bir şifre çözücü yayınladı.
Fidye yazılım grubu üyeleri paylaştıkları duyuruda, “Sickkids’e yapılan saldırı için resmen özür diliyoruz ve şifre çözücüyü ücretsiz olarak temin ediyoruz. Bu hastaneye saldıran kişi, ortak kurallarımızı ihlal etti, bu sebeple engellendi ve ilişiği kesildi.” ifadelerine yer verdi.
LockBit’in yayımladığı dosyanın ücretsiz olarak mevcut olduğu ve bir Linux/VMware ESXi şifre çözücü olduğu doğrulandı.
LockBit fidye yazılımı çetesi, bağlı kuruluşlarının ilaç şirketlerine, diş hekimlerine ve plastik cerrahlara saldırmasına izin verirken, saldırıların ölümle sonuçlanabileceği “tıbbi kurumlara” saldırmayı yasaklıyor.
Fidye yazılım çetesi, kurallarını şöyle açıklıyor: “Kardiyoloji merkezleri, beyin cerrahisi bölümleri, doğum hastaneleri ve benzerleri gibi dosyaların zarar görmesinin ölüme yol açabileceği kurumları, yani bilgisayar kullanan yüksek teknolojili ekipmanlar üzerinde cerrahi prosedürlerin gerçekleştirilebileceği kurumları şifrelemek yasaktır.”
Çetenin kurallarına göre tıbbi kurumlardan veri çalınmasına izin veriliyor. Fidye yazılımı çetesine göre, bağlı kuruluşlarından biri hastanenin cihazlarını şifrelediği için, bu kuruluş çeteden çıkarıldı ve ücretsiz bir şifre çözücü sağlandı.
DAHA ÖNCE NEDEN PAYLAŞMADILAR?
Hasta bakımının etkilendiği Aralık ayının 18’inden bu yana SickKids, eski düzenine dönmek için çalışıyor. Aradan uzun zaman geçtikten sonra LockBit’in şifre çözücü paylaşması, daha önce neden paylaşmadıkları konusunu akıllara getiriyor.
HASTANELERE SALDIRILARI İLK DEĞİL
LockBit’in hastaneleri şifreleme ve şifreleyici sağlamama konusunda bir mazisi bulunuyor. Daha önce de Fransa’daki Center Hospitalier Sud Francilien’e (CHSF) saldıran LockBit bir de 10 milyon dolarlık bir fidye talep etmişti. Üstelik LockBit daha sonra da hastane verilerini yayımlamıştı.
Fransız hastanesine yapılan saldırı, hastaların başka tıp merkezlerine sevk edilmesine ve ameliyatların ertelenmesine yol açmış, bu da hastalar için önemli bir risk oluşturmuştu.
ÇETELERİN YAYIMLADIĞI İLK ŞİFRE ÇÖZÜCÜ DEĞİL
Saldırı bir fidye yazılımı çetesinin bir sağlık kuruluşuna ücretsiz bir şifre çözücü sağladığı ilk olay değil.
Mayıs 2021’de Conti Ransomware operasyonu, uluslararası kolluk kuvvetlerinin artan baskısıyla karşılaştıktan sonra İrlanda’nın ulusal sağlık hizmeti HSE’ye ücretsiz bir şifre çözücü sağlamıştı.
Fidye yazılım çetesi LockBit, Lizbon limanının internet sitesini çökertti. Saldırı sonrası siteye henüz erişim sağlanamadı.
Portekiz’in 3. büyük limanı ve Avrupa’nın önemli limanlarından biri olan tesisin resmi internet sitesi 25 Aralık’ta düzenlenen siber saldırıdan günler geçmesine karşın çalışmıyor.
Siteye girmek isteyen şu mesajla karşılaşıyor:
Liman yönetiminden yapılan açıklamada söz konusu saldırının operasyonel işlemleri aksatmadığı ve kritik alt yapılara zarar vermediği belirtildi. Yetkililer ayrıca olayın Ulusal Siber Güvenlik Merkezi ve Adli Polis’le paylaşıldığını ifade etti.
Saldırıyı üstlenen LockBit grubu konuya ilişkin sızıntı sitesinden paylaştığı mesajda,, “Portekiz Liman İdaresi ile başarılı bir çalışmanın ardından bizim elimizde. Tüm finansal raporlar, denetimler, bütçeler. Sözleşmeler, kargolar hakkında bilgileri ele geçirdik. Mürettebatla ilgili tüm bilgileri içeren gemi günlükleri, müşterilerin kişisel verileri, tüm bağlantı noktası belgeleri, tüm e-posta yazışmaları, sözleşmeler ve daha fazlasına eriştik. Bizimle iletişime geçilmemesi durumunda verinin tamamı yayımlanacak.” ifadeleri yer aldı.
Siber tehdit aktörleri verileri paylaşmak için son tarih olarak 18 Ocak 2023’ü gösterdi.
Limanlar uzun süredir siber saldırganların hedefinde. Geçtiğimiz Şubat ayında Avrupa’nın en büyük limanlarından Antwerp limanı siber saldırıya uğramış, olayda limanda bulunan petrol tesisleri hedef alınmıştı.
Daha önce 2017 yılında Rotterdam limanı da siber saldırıya maruz kalmış ve limandaki iki konteyner terminalinin faalyetleri durmuştu. 2020’de ise İran’ın Shahid Rajaee limanı, hackerların saldırısı sonrası operasyonlarının neredeyse tamamen durdurmak zorunda kalmıştı.
