ABD’li ağ teknolojisi devi, Çinli Yanluowang fidye yazılım çetesinin sızdırdığı bilgilerin şirket kayıtlarıyla uyuştuğunu açıkladı.
Fidye çetesi firmadan geçtiğimiz mayıs ayında ele geçirdiği ve 55 GB büyüklüğünde olduğunu iddia ettikleri bilgilerin bir kısmını dün sızıntı sitesinde paylaşmıştı. Paylaşımın ardından şirket de çalıntı verilerin doğruluğunu kabul etti.
Firmadan yapılan konuya ilişkin açıklamada saldırının şirkete yönelik herhangi bir olumsuz etkisinin bulunmadığı iddiası yinelendi.
Açıklamada tehdit aktörlerinin sızdırdığı bilgilerin firma kayıtlarıyla uyuştuğu ve daha önce tespit edilen veriler olduğu ifade edildi. Firmanın açıklamasında şu değerlendirmelere yer verildi: “Saldırıya ilişkin Cisco ürünleri, hizmetleri, hassas müşteri verileri, çalışan bilgileri, fikri mülkiyet ve tedarik zinciri operasyonlarına herhangi bir etkisi gözlemlenmemiştir.”
Tehdit aktörleri firmaya ait kaynak kodlarını da ele geçirdiğini öne sürmüş ancak şirketten bunu ispat eden bir bulguya rastlanmadığı açıklaması gelmişti.
Geçen ay firmadan yapılan açıklamaya siber saldırı doğrulanmıştı. Açıklamada saldırının tarihi 24 Mayıs olarak bildirilirken Cisco ekibi, bir çalışanının kişisel Google hesabının ele geçirildiği, ele geçirilen Google hesabında kayıtlı olan Cisco uzantılı kurumsal ağa giriş parolası çalınarak VPN üzerinden uzaktan sisteme erişildiğini tespit ettiklerini açıklamıştı.
Ukrayna’nın işgaline tepki gösteren bir hacker grubu, Rusya yanlısı Conti grubunun sızdırılmış fidye yazılımı ile Rus şirketlerine saldırdığı ortaya çıktı.
Hackerlar, kendi fidye yazılımını oluşturmak için Conti’nin sızdırılan ransomware kaynak kodunu kullandı. Grup, kaynak kodu Rus kuruluşlara yönelik siber saldırılarda kullanmak üzere ele geçirdi.
Şirketleri hedef alan ve verileri şifreleyen fidye yazılım saldırılarını duymaya alışkın olsak da Rus kuruluşlarının benzer şekilde saldırıya uğradığını nadiren duyuyoruz. Bunun sıklıkla gerçekleşmiyor olmasının sebebi ise şu şekilde: Yetkililerin Rus hackerların Rusya’nın çıkarlarını ihlal etmedikleri sürece diğer ülkelere yönelik saldırılar gerçekleştirmesine göz yumduğu yönündeki genel inanış.
SEBEP RUSYA’NIN UKRAYNA’YI İŞGALİ
Ancak, NB65 olarak bilinen bir hacker grubunun fidye yazılım saldırılarıyla Rus kuruluşları hedef almasıyla durum değişmiş oldu. Geçtiğimiz ay boyunca, NB65 olarak bilinen bir hacker grubu, Rus şirketlerinin güvenliğini ihlal etti, verilerini çaldı ve bunları çevrimiçi sızdırdı. Grup, saldırıların sebebinin Rusya’nın Ukrayna’yı işgali olduğu konusunda uyarıyor.
Hacker grubu tarafından saldırıya uğradığı iddia edilen Rus kuruluşlar arasında belge yönetimi operatörü Tensor, Rus uzay ajansı Roscosmos ve devlete ait Rus Televizyon ve Radyo yayıncısı VGTRK yer alıyor.
NB65’TEN VGTRK SALDIRISINA İLİŞKİN TWEET
VGTRK’ya yapılan saldırı, DDoS Secrets web sitesinde yayınlanan 900 bin e-posta ve 4 bin dosya dahil olmak üzere 786.2 GB verinin çalındığı iddiasıyla özellikle önem arz ediyor. Daha yakın zamanlarda, NB65 hackerları mart ayının sonundan bu yana fidye yazılım saldırılarıyla Rus kuruluşlarını hedef alan yeni bir stratejiye yöneldiler.
Daha da ilginç olan ise hacker grubunun, üyelerinin Rusya’daki kuruluşlara saldırmasını yasaklayan Rus tehdit aktörleri Conti Fidye Yazılımı operasyonu için sızan kaynak kodunu kullanarak fidye yazılımlarını oluşturmuş olması.
CONTI RUSYA’YI DESTEKLEYİNCE KAYNAK KOD SIZDIRILDI
Kaynak kod, Conti’nin Ukrayna’ya yapılan saldırıda Rusya’nın yanında yer almasının ardından sızdırıldı ve bir güvenlik araştırmacısı, operasyonları için 170 bin sohbet mesajını ve kaynak kodunu sızdırdı.
Tehdit aktörleri ayrıca R3ADM3.txt adıyla bir fidye notu da yayınladı. Notta şu ifadeler yer aldı:
“Sizi çok yakından izliyoruz. Başkanınız savaş suçu işlememeliydi. Mevcut durum için suçlayacak birini arıyorsanız, Vladimir Putin’den başka bir yere bakmayın”
NB65 hacker grubunun bir temsilcisi BleepingComputer’a şifreleyicilerini ilk olarak Conti kaynak kodu sızıntısına dayandırdıklarını, ancak her kurban için mevcut şifre çözücülerin çalışmayacağı şekilde değiştirdiklerini söyledi.
Hacker grubu, “Bizimle temas kurmadan şifreyi çözmenin gerçekten bir yolu yok.” diyor ve ekliyor: “Bucha’dan sonra, sivillere ait olabilecek, ancak yine de Rusya’nın normal çalışma kabiliyeti üzerinde bir etkisi olacak bazı şirketleri hedef almayı seçtik. Putin’in savaş suçlarına Rus halkının verdiği destek büyük. En başından beri bunu açıkça belirttik. Bizler Ukrayna’yı destekliyoruz. Rusya, Ukrayna’daki tüm düşmanlıkları durdurduğunda ve bu saçma savaşı sona erdirdiğinde NB65, Rus internetine saldırmayı durduracak. O zamana kadar canları cehenneme.”
