Rus siber suç forumları RAMP ve XSS’de yayımlanan bazı konuşmalar Çinli tehdit aktörleriyle iş birliği çağrıları içeriyor. Uzmanlar, ABD’ye karşı iş birliği ihtimali üzerinde duruyor.
Gelişmeler, Rus bilgisayar korsanlarının iş birliği için Çinli meslektaşlarıyla iletişime geçtiğini gösteriyor.
Çinli tehdit aktörlerinin desteğini almaya yönelik bu girişimler, esas olarak, Çince konuşan aktörleri forumdaki sohbetlere katılmaya, bildikleri bazı ipuçlarını paylaşmaya ve saldırılar konusunda iş birliği yapmaya teşvik eden RAMP hack forumunda görülüyor.
RUS FORUMLARINDAKİ ÇİNLİ KULLANICILAR
Flashpoint tarafından hazırlanan yeni bir rapora göre, üst düzey kullanıcılar ve RAMP yöneticileri artık yeni forum üyeleriyle otomatik tercüme araçları vasıtasıyla Çince’de iletişim kurmaya çalışıyor.
Forumun Çin merkezli en az otuz yeni kullanıcı kaydı aldığı ortaya çıkarken, raporda bu durumun önemli bir sürecin başlangıcına olabileceği değerlendirmesine yer verildi.
Uzmanlar, bu gelişmenin Rus fidye yazılımı çetelerinin ABD hedeflerine karşı siber saldırı planlamasından kaynaklandığını düşünüyor. Buna göre, hackerlar bildikleri güvenlik açıklarını birbirleriyle paylaşmak ve fidye yazılım operasyonları için yeni yeteneklere ulaşmak için Çinli aktörlerle ittifaka yöneliyor.
Diğer yandan, bilgisayar korsanlık forumu XSS’te de benzer bir işbirliğinin sezildiğini ifade eden uzmanlar, Rus-Çin işbirliğinin tek bir forumla sınırlı olmadığını altını çiziyor.
Flashpoint’in raporunda yer alan bir görselde kendisini Çinli olarak tanıtan iki forum üyesinin XSS kullanıcısı ‘hoffman’ tarafından selamlandığı görülüyor. Çince olduğu görülen ve fidye yazılımı ve çeşitli sistem güvenlik açıklarına dair konuşmaların makine çevirisi olduğu değerlendiriliyor.
“SAYGI GEREĞİ ÇİNLİLERE İSTİSNA YAPABİLİRİZ”
Conti fidye yazılımı operasyonunun RAMP forumunda yer alan bir ilanında normalde sadece Rusça konuşanlarla çalıştıkları ancak saygı gereği Çinliler için bir istisna yapabilecekleri notu yer alıyor. İlanda RAMP forumunun Çince konuşan tehdit aktörlerini konuşmalara ve saldırılara katılmaya aktif olarak davet ettiği açıkça görülüyor.
Diğer yandan, “Orange” veya “boriselcin” olarak bilinen ve “Groove” sitesini yöneten bir RAMP yöneticisi, geçen ay tehdit aktörlerine ABD’ye saldırı düzenleme çağrısında bulunmuştu. Daha sonra ise aynı kaynaklar, çok sayıda medya organında yayınlanan çağrının başından beri sahte olduğu ve medya ile güvenlik araştırmacılarını trollemeyi ve manipüle etmeyi amaçladığını iddia etmişti. Ancak McAfee ve Intel 471 güvenlik araştırmacıları, bu iddianın sadece operasyonun başarısızlığını örtbas etmeyi amaçladığına inanıyor.
Forumun yukarıdaki gibi hedef şaşırtma hamleleri, bu kaynaktan gelen açıklamalara şüpheyle yaklaşılmasına sebep oluyor. Çinli tehdit aktörlerine yapılan davetlerin ciddi bir iş birliğinin önemli adımları mı yoksa bir hedef şaşırtma hamlesi mi olduğu henüz bilinmiyor.
İsviçre merkezli Türk Siber Güvenlik girişimi PRODAFT, Conti fidye yazılım grubunun üyelerini deşifre etti.
Çetenin işlettiği clearnet ve dark web ödeme portalları, çetenin iç işleyişiyle ve üyeleriyle ilgili ayrıntılar kamuya açıklandıktan sonra altyapılarını yenileme girişiminde bulundu.
MalwareHunterTeam’e göre, “Bilgileri sızdırılan Conti fidye yazılımı çetesine ait hem clearweb hem de Tor alan adları hala çevrimiçi ve çalışıyor durumda olsa da ödeme sitesine ait clearweb ve Tor alanları (ki bu sızıntıdan daha önemli görünüyor) azaldı.”
Kapatmaya neyin yol açtığı henüz net değil ancak gelişme Türk siber güvenlik firması PRODAFT’ın, grubun “hizmet olarak fidye yazılımı” modeline dikkat çekmesinin ardından yaşandı.
Söz konusu modelde yazılım geliştiriciler, fidye yazılımı teknolojilerini dark net forumlarında bağlı kuruluşlara satıyor veya kiralıyor. Bu şirketler de daha sonra onlar adına saldırılar gerçekleştirirken kurbanlardan zorla alınan her bir fidye ödemesinin yaklaşık %70’ini mahsup ediyorlar.
Sonuç olarak Conti ekibinin şu ana kadar biri admin (“Tokyo”), ikincisi asistan (“it_work_support@xmpp.jp”) ve üçüncüsü de yeni iştirakleri ağlarına çekmek için görev yapan insan kaynakları görevlisi (“ıt_work”) olmak üzere 3 üyesi tespit edildi.
BİLGİLERİ ŞİFRELEYİP SIZDIRMAKLA TEHDİT EDİYORLAR
Fidye yazılımı saldırıları kurbanların hassas bilgilerini şifrelemeye ve erişilemez hale getirmeye çalışırken, gittikçe daha fazla tehdit aktörü iki yönlü bir strateji uygulama yoluna gidiyor. Söz konusu strateji, belirli bir zaman diliminde fidye ödemesi yapmayan kurbanların hem bilgilerini şifreleme hem de çalınan bilgileri yayınlamakla tehdit edilmesini öngörüyor.
Araştırmacılar, Conti müşterilerinin ve kendileri ile ortak çalışan tehdit aktörlerinin “yeni fidye yazılımı örnekleri” oluşturmak, kurbanları idare etmek ve veri toplamak için dijital bir yönetim paneli kullandıklarını belirtiyor.
SADECE 5 AYDA 25 MİLYON DOLAR KAZANDILAR
Ekim 2019’da siber suçlar piyasasına giren Conti’nin, aynı zamanda kötü bir şöhreti olan bankacılık odaklı kötü amaçlı yazılım TrickBot’un operatörü olan Wizard Spider adlı Rusya merkezli bir tehdit grubunun çalışması olduğuna inanılıyor. O zamandan beri, en az 567 farklı şirketin kritik verilerini açığa çıkaran fidye yazılımı karteli, Temmuz 2021’den bu yana 500’den fazla bitcoin (25.5 milyon $) ödeme aldı.
Dahası, fidye yazılımı örneklerinin ve ödeme almada kullanılan bitcoin cüzdanına dair yapılan bir analiz, Conti ve Ryuk arasındaki bağlantıyı ortaya çıkardı. Her iki grup da saldırılarını gerçekleştirirken TrickBot, Emotet ve BazarLoader gibi zararlı yazılımlara bel bağlıyor.
PRODAFT uzmanları, grubun kurtarma hizmetine ve bir Onion etki alanında gizli bir Tor hizmeti olarak barındırılan bir yönetici yönetim paneline erişebildiklerini ve bağlı kuruluşlardan şifre çözme anahtarlarını satın alma talimatlarını içeren “[contirecovery[.]ws]”adlı bir clearnet web sitesinin kapsamlı ayrıntılarını ortaya çıkardığını açıkladı. İlginç bir şekilde, ayrıntıları geçen ay Team Cymru tarafından yayımlanan Conti’nin fidye yazılımı müzakere sürecine ilişkin bir soruşturma da “contirecovery.info” adlı URL’ye vurgu yapmaktaydı.
Araştırmacılar, “Siber suç örgütlerini çökertmenin zorluğunun üstesinden gelmek için, kamu ve özel kuvvetlerin tehdidin yasal ve ticari etkilerini daha iyi anlamak ve azaltmak için birbirleriyle iş birliği içinde çalışması gerekiyor” diyor.
Fidye yazılım grupları hedefledikleri fidye miktarını ödetebilmek için her geçen gün yeni bir yöntem deniyor. Siber tehdit aktörleri bu kez DDoS saldırıları düzenleyerek şantaj yapıyorlar.
Kurbanları üzerinde baskıyı artırmak ve şantaj yapmak için ele geçirdikleri verileri şifrelemeden yayımlamak, sızan verilerden etkilenen üçüncü tarafları tehdit etmek gibi çeşitli yollar bulunan fidye yazılım çetelerinin şantaj için kullandığı yeni taktik ise DDoS saldırıları oldu.
ABD, DDOS SALDIRILARINA KARŞI UYARDI
FBI Siber Departmanı, HelloKitty veya diğer adıyla FiveHands’in şantaj için DDoS saldırılarını kullandığını bildirdiği bir uyarı notupaylaştı.
CISA ile ortak hareket eden FBI, HelloKitty’nin taleplerine uyulmaması hâlinde fidye yazılım grubunun, kurbanların resmi web adreslerine DDoS saldırıları düzenleyebileceğini bildirdi.
FBI, HelloKitty tarafından yürütülen saldırı girişimlerinden korunmak için kapsamlı uyarılar dizisi de yayımladı.
HELLOKITTY NASIL ORTAYA ÇIKTI?
Kasım 2020’den beri aktif olduğu bilinen HelloKitty, hedef sistemlerden elde ettikleri veri şifrelemeden önce veri sızıntı sitelerinde yayımlayarak kurbanlar üzerinde baskı oluşturduğu biliniyordu.
Bununla birlikte söz konusu baskının artması ve fidyeyi alabilmek için HelloKitty, kurbanların web sitelerine DDoS saldırıları düzenlemeye başladı.
Henüz doğrulanmasa da CD Project Red sistemlerinin ihlal edilmesi ve bazı oyunların kaynak kodlarının çalınmasıyla gündeme gelen HelloKitty, VMware’in ESXi sanal makinelerini hedeflediği Linux varyantı kullanmasıyla da biliniyor.
ID Ransomware platformuna yapılan gönderiler doğrultusunda HelloKitty, Linux varyantını kullanmaya başladıktan sonra etkinliği artırmıştı.
BAŞKA FİDYE YAZILIM GRUBU DA DENEDİ
Yakın zamanda benzer bir yol başka bir fidye yazılım grubunda da keşfedilmişti.
Yanluowang olarak bilinen fidye yazılım grubu da kurbanlarına fidyeyi ödetebilmek için yalnızca ağı şifrelemekle kalmayıp DDoS saldırılarını şantaj için kullanmaya başlamıştı.
LockBit fidye yazılımı grubu Eylül 2019’dan bu yana faaliyet gösterse de fidye yazılımı alanında marjinal bir oyuncu haline gelmeleri bu yılın haziran ayına uzanıyor.
LockBit 2.0 adı verilen “Hizmet olarak Fidye Yazılımı platformunun” yeni bir sürümünün yayınlanmasının ve rakip operasyonlar Darkside, Avaddon ve Revil’in aniden piyasadan çekilmesinin ardından LockBit, günümüzün en büyük “Hizmet olarak Fidye Yazılımı” platformlarından biri haline geldi.
Daha önce diğer çetelerden fidye yazılımı yükleri kiralayan siber suç grupları, yaz boyunca LockBit grubuna akın etmiş gibi görünüyor ve Avustralyalı yetkililerin yerel şirketleri uyarmasına yol açacak derecede saldırılarda artışa neden oldu. Öte yandan, Recorded Future tarafından toplanan istatistikler, Lockbit’in geçen ay Eylül ayında en aktif fidye yazılımı grubu olduğunu ve fidye yazılımı sızıntısı sitelerinde listelenen tüm kurbanların neredeyse üçte birini oluşturduğunu gösterdi.
LockBit grubu therecord.media yazarı Dmitry Smilyanets ile gerçekleştirdiği röportajda nasıl bir anda piyasanın lideri konumuna geldiklerini anlatırken kendilerinin de bir gün hacklenebileceği gerçeğini dile getirdiler.
Dmitry Smilyanets: Eylül ayında ihbar edilen fidye yazılımı saldırılarının yüzde 34’ünü LockBit oluşturdu. Piyasayı nasıl fethedebildiğinizin sırrını bize anlatabilir misiniz? Yoksa kurbanlarınızın çoğu fidye ödememeye karar verdiği için mi rakamlar bu kadar yüksek?
LockBitSupp: Henüz piyasayı fethetmeye başlamadık. Şu anda yazılımı geliştirme ve iyileştirme aşamasındayız. Sırrı çok basit: Kusursuz bir itibar. Kimseyi aldatmayan veya markamızı değiştirmeyen tek oluşum biziz. İnsanlar bize güveniyor. Bunun sonucunda da, daha fazla ortaklık, daha fazla saldırıyı beraberinde getiriyor. LockBit Blog, fidyeyi ödemeyi reddeden şirketlerin sadece küçük bir kısmını oluşturuyor. Son 3 ayda 700’den fazla şirkete saldırdık.
DS: Bazı ülkeler fidye yazılım saldırılarının gerçekleştikten birkaç gün sonra ifşa edilmesini zorunlu kılmayı tartışıyor. Bu tür saldırılar söz konusu olduğunda, grubunuz bugün en büyük tehditlerden biri olarak öne çıkacaktır. Saldırılarınızla çok fazla dikkat çekmemek için “Hizmet olarak Fidye Yazılımı” programınızı sınırlandırmayı düşündünüz mü?
LB: Kısıtlamalar maaşla yaşamak isteyen insanlar için geliştirilmiştir. Herhangi bir kısıtlama getirmeyi planlamıyoruz. Hayata bir kere geliyoruz. Dikkat çeksin çekmesin, anonimlikte yapacağınız herhangi bir hata sizi yok olmaya götürür. Şirketin saldırı hakkında bilgi ifşa etmesi umurumuzda değil, bu tamamen şirketin özel bir işi.
DS: Sizi diğer gruplardan ayıran şey StealBit. Bu zararlı yazılım hakkında biraz bilgi verebilir misiniz?
LB: Şirketi şifrelemek yeterli değildir, bazen ifşa edilmemesi için şirketin şifre çözme işleminden daha fazlasını ödemeye hazır olduğu değerli bilgileri çalmak çok daha önemlidir. StealBit, bilgileri olabildiğince hızlı ve basit bir şekilde çalmanızı sağlar.
DS: Ortak kuruluşlarınızın kurbanlarıyla konuşmasına ve ödemeleri doğrudan kabul etmesine izin veriyorsunuz. Bu başarılı bir model mi?
LB: Ortaklıklarımıza güvenmemek için hiçbir sebep yok. Bir kişi uzun vadeli iş birliğine meyilliyse, bizi asla terk etmeyecektir. Ancak en önemli şey kusursuz bir itibarı korumaktır. Avvadon, Darkside ve Revil’in yaptığı gibi reklam verenlerimizi kandıramayız ve onların fidyelerini çalamayız.
REVIL’İN DAĞILMASININ LOCKBIT’İN BÜYÜMESİNDE HİÇBİR ETKİSİ YOK
DS: “Hizmet olarak Fidye Yazılımı” iş modelinin varlığını devam ettireceğine inanıyor musunuz? Önümüzdeki 5 yıl içinde ne yönde değişecek sizce?
LB: Rekabet artacak, şirketlerin savunma seviyesi artacak, ortaklıklarımızın serveti de artacak.
DS: Revil’in geçtiğimiz yaz dağılması başarınızda rol oynadı mı? Unknown ortadan kaybolduğundan beri kaç şirket size katıldı?
LB: Revil’in “dağılması” başarımızı hiçbir şekilde etkilemiyor, onlardan bize 4 reklam geldi. Bir ortaklık programı başlatmak kolaydır, ancak bunu daim kılmak bir sanat biçimidir.
DS: Unknown’a gerçekte ne olduğunu biliyor musunuz?
LB: Kimse gerçekten ne olduğunu bilmiyor, ama bunun klasik bir “çıkış” aldatmacası olduğuna eminim, aynı şey Avvadon ve Darkside’da da yaşandı. Büyük bir ödeme söz konusu olduğunda, bu ortaklık programının sahibi daha fazla çalışmaya ve hayatını riske atmaya değip değmeyeceğini ya da şu anda çıkıp hayatının geri kalanı için parayı sakince harcamanın daha iyi olup olmadığını düşünüyor. Bizim durumumuzda, böyle bir şey imkansızdır, çünkü temel olarak bize bağlı kuruluşlarımızın parasına dokunmuyoruz.
DS: Forumlarda çok aktifsiniz. Exploit hesabınızı neden yasakladı?
LB: Siber suçluların belirli siber suç türlerini nasıl yasaklayabilecekleri çok açık değil, çünkü aslında bu forumdaki herkes yasaları çiğniyor. Zengin şirketler için ödeme sonrası bir pentest yapmanın yasak olduğu, ancak milyonlarca kişinin banka kartlarından para çalmasına izin verildiği ortaya çıktı. Ayrıca, ağ erişimi satın almaya ve satmaya devam eden ve Exploit forumunda pentest yapacak kişi arayan rakiplerimizin hesaplarının neden engellenmediği de çok açık değil. Belki de bu bir çeşit seçici politikadır – bunun rakiplerin işi ve dünyadaki bir numaralı ortaklık programı ile uğraşmanın onursuz yolları olabileceğini düşünüyorum. “Tüm bu saçmalıklar uyuşturucunun yasak olup votkanın yasal olmasına benziyor”. Utanç verici, sinir bozucu ama yapacak bir şey yok.
HASTANELERE SALDIRMIYORUZ
DS: REvil ve Hive’ın hastaneleri kilitlediklerinden bahsettiniz, siz böyle saldırılar düzenliyor musunuz?
LB: Hastanelere saldırmıyoruz, iştiraklerimizin yanlışlıkla diş muayenehanelerini ve bakım evlerini şifrelediği olmuştu. Bu durumlarda şifre çözme anahtarlarını ücretsiz olarak yayımladık.
DS: ABD ve Rusya cumhurbaşkanları haziran ayında bir araya geldikten sonra herkes değişim için bir sinyal bekliyor. Ve bazı değişiklikler görüyoruz – yaz aylarında geçici bir yavaşlamadan sonra saldırılar arttı. Bu olaylarla ilgili mi yoksa iştirakçiler uzun bir tatile mi çıktılar?
LB: Bu sadece bir yaz tatili. Gezegendeki tüm insanlar gibi, hiç kimse yaz aylarında çalışmak istemiyor ve milyonlarca dolarınız olduğunda bu çalışmama isteği daha da fazla oluyor. Başkanların toplantıları hiçbir şeyi etkilemeyecek, ciddi çalışan herkes ABD’de veya Rusya’da yaşamıyor. Şahsen ben Çin’de yaşıyorum ve kendimi tamamen güvende hissediyorum.
DS: Bazı fidye yazılımı aileleri, bağlı kuruluşların Amerikan şirketlerine ve altyapısına saldırmasını önlüyor. Ortaklarınız için bu tür özel önerileriniz oluyor mu? Reklamlarınız Lockbit’i isteğiniz dışında kritik altyapıya dağıtırsa ne olur?
LB: Bu henüz gerçekleşmedi. Tek bir bağlı kuruluş dahi irademize karşı çıkmayacaktır, çünkü yalnızca ahlak kurallarına sahip güvenilir kişilerle çalışıyoruz, bağlı kuruluşlarımızın her biri sözlerinden ve eylemlerinden sorumludur.
DS: 30 ülkeden temsilciler fidye yazılım saldırılarının nasıl ele alınacağını tartışmak üzere bu ay bir araya geldi. Bu sizi herhangi bir şekilde endişelendiriyor mu yoksa bunun sadece siyasi bir manevra mı olduğuna inanıyorsunuz?
LB: Eğer düşmanı yenemiyorsan- ona liderlik et. Kimse Newton’un üçüncü yasasını iptal etmedi.
KİMSE HACKLENMEKTEN MUAF DEĞİL
DS: Bazı ülkelerdeki kolluk kuvvetleri, çalınan verileri yok etmek ve şifreleme anahtarlarını almak için fidye yazılımı altyapısını hacklemeyi açıkça tartışıyor. Bu sizi endişelendiriyor mu? Depolama sistemleriniz yeterince güvenli mi?
LB: Bu, bizimle başa çıkmanın en etkili yöntemlerinden biri. Hiç kimse sıfırıncı günlerin yardımıyla altyapılarının hacklenmesinden muaf değildir. NSA donanım arka kapılarını kullanarak, gezegendeki herhangi bir sunucuya erişmek mümkün. Bu nedenle, saldırıya uğrama riski her zaman mevcut. Dünyanın çeşitli bölgelerindeki sunucularda çalınan şirket verilerinin birkaç yedeğinin yanı sıra, verilerin saklanması için maaş alan güvenilir tarafların tuttuğu şifreli çevrimdışı yedeklemelerimiz de bulunuyor.
DS: ABD hükümeti, fidye yazılım gruplarının fonları aklamasına yardımcı olan kripto para birimi hizmetlerinin işinin zorlaşacağını söyledi. Bunun sizin ve gelecekte fidye yazılımı ortamı için bir sorun olacağını düşünüyor musunuz, yoksa para aklamak için başka yollarınız var mı?
LB: Bana ABD’nin sözlerini dinleyecek ve Hong Kong’da nakit dolar alışverişi yaparken bizden kripto para birimini kabul etmeyecek en az bir Çinli gösterin.
DS: Ekim ayında para kaynağı bulamayan şirketler için ücretsiz şifre çözme anahtarı sağlamaya hazır mısınız?
LB: Parasız şirket yok, ağlarını korumak için para harcamak, kalifiye sistem yöneticileri için maaş ödemek ve sonra da fidye ödemek istemeyen kurnaz şirketler var. Belki de “para kaynağı bulamayan” bir şirket için ücretsiz bir şifre çözücü yayımlarız, ancak bu durumda, bu şirketin verileri sonsuza dek blogumuzda kalacaktır.
Otomobil parçası üreten Alman Eberspächer’e yapılan siber saldırı, firmanın IT sistemlerini kilitledi ve tüm çalışmalar durdu. Sendikanın müzakereleri sonucunda, çalışanların ücretlerinin büyük oranda devlet tarafından ödenmesi kararlaştırıldı.
4.500’ü Almanya’da olmak üzere 28 ülkede 10.000’e yakın çalışanı bulunan Eberspächer Gruppe GmbH & Co KG isimli Alman otomobil parçası üreticisi, siber saldırıların hedefi oldu. Sendikadan yapılan açıklamada, egzoz teknolojisi, otomotiv elektroniği ve otomobiller için termal sistemler sektöründe yer alan firmada üretimin tamamen durduğunu ve çalışmalarını yürütemeyen binden fazla çalışanın devletten yardım aldığı belirtildi.
Eberspächer’den yapılan açıklamada, bilgisayar korsanlarının geçen hafta pazar günü şirketin sistemlerine girdiği belirtildi. Almanya’nın güneybatısındaki Esslingen am Neckar’da bulunan şirket, “organize saldırı” olarak tanımladığı saldırının “IT altyapısını etkilediğini” açıkladı. Şirketten yapılan açıklamada, “Müşterilerimizi, çalışanlarımızı ve ortaklarımızı korumak için hedefe yönelik tedbirlerle saldırıya karşı gerekli adımlar anında atıldı.” ifadelerine yer verildi.
Çalışanların alacağı ödeneklerin müzakerelerini yürüten IG Metall sendikasının bölge müdürü Jürgen Gross, “Bütün sistemler arızalı, hiç kimse normal işini yapamıyor.” değerlendirmesinde bulundu. Gross, Almanya’nın kısa çalışma programı kapsamında, şirket merkezindeki çalışanların geçen hafta çarşamba günü aileleri olup olmamasına bağlı olarak maaşlarının %60’ı veya %67’si tutarında devlet desteği almaya başladıklarını açıkladı. Eberspächer geçen hafta pazartesi ve salı günü maaşların tamamını ödedi. Devlet tarafından finanse edilen ödemelere ise çarşamba günü başlandı.
Gross, Esslingen’deki yaklaşık 1.200 veya 1.300 çalışanın, Eberspächer temsilcileriyle sendika tarafından müzakere edilen şartlara göre normal maaşlarının %86,5’ini devletten alacağını ve kalan miktarın ise şirket tarafından ödeneceğini söyledi.
SİBER SALDIRILAR ÜRETİMİ SEKTEYE UĞRATIYOR
Siber saldırılar, bu yıl aralarında Colonial Pipeline Co. ve JBS SA’nın da bulunduğu bazı büyük şirketlerin faaliyetlerini alt üst etti. Saldırıların her ikisi de mayıs ayında gerçekleşti. Üreticilere yönelik saldırılar, üretim ve iş operasyonlarını haftalarca kesintiye uğrattı.
Eberspächer, “tehdidi ortadan kaldırmak ve normal operasyonlarını geri getirmek için” siber güvenlik ve adli tıp uzmanlarıyla birlikte çalıştığını bildirdi.
Açıklamayı yapan şirket sözcüsü, şirketin Almanya’daki diğer bölgelerindeki çalışanlar ve sendikaların da ödeme koşulları için müzakere yaptığını ancak bunların tümünün toplu müzakere yoluyla görüşülen sözleşmelerin kapsamına girmediği için yardım almaya uygun olmadığını belirtti.
FİDYE YAZILIMI İHTİMALİ ÜZERİNDE DURULUYOR
Berlin merkezli siber güvenlik firması HiSolutions AG’de güvenlik danışmanı olan Manuel Atug, saldırının ardından farklı konumlardaki çalışanların çalışamaması ve telefon hizmetinin kesintiye uğraması nedeniyle bunun bir fidye yazılımı saldırısı olabileceğini söyledi. Atug, Alman üreticilerin fidye yazılımı gruplarının hedefi olduğunun altını çizdi.
Gross, şirket hesapları henüz çalışmadığı için Eberspächer’in karar alıcılarıyla özel e-posta adresleri ve telefon numaraları aracılığıyla iletişim kurduğunu söylüyor. Çalışanların işe dönüş tarihlerinin belirsiz olduğunu belirten Gross, devlet tarafından yapılan ödemelerin Mart 2022’ye kadar devam edebileceğine işaret ediyor.
Sendikaların kısa çalışma programı kapsamında ödemeleri müzakere etmelerinin normalde üç hafta sürdüğünü söyleyen Gros, Eberspächer ve IG Metall’in saldırıdan sadece birkaç gün sonra anlaşmaya varabildiklerini dile getirdi. “Böyle bir sorun varsa çaresine bakarız. Çözüm, insanların paralarını almasıdır.” dedi.
Sendikanın Esslingen bölge ofisi de, otomasyon araçları üreten Pilz GmbH’in 2019’da uğradığı saldırının ardından işçilerin benzer ödemeleri için müzakere yürüttü. Bilgisayarlarına erişimi olmayan çalışanlar, bazı işleri için kalem ve kağıt kullanmak durumunda kalmıştı. Şirket, saldırıdan bir hafta sonra tekrar siparişleri teslim edebilecek duruma geldiğini açıklamıştı.
Zorlu bir ekonomik süreçten geçtiği için çalışanlarının ödemelerini kısa çalışma sistemi kapsamında yaptıklarını söyleyen Pilz sözcüsü, devlet tarafından yapılan ödemelerin işten çıkarmaların önüne geçtiğini ve daha sonra çalışanların normal düzene dönmelerine yardımcı olduğunu söyledi. Sözcü, “Siber saldırıdan sonra üretimde yardımın her türlüsüne ihtiyacımız vardı.” diye konuştu.
