Dünyada birçok firmaya darbe vuran şok saldırı Kaseya, son yılların en büyük fidye yazılım saldırısı olarak nitelendiriliyor.
Rusya destekli REvil fidye yazılım çetesi, Kaseya’nın VSA yazılımındaki bir zafiyetten faydalanarak birden fazla yönetilen hizmet sağlayıcısına (MSP) ve onların müşterilerine yönelik bir tedarik zinciri fidye yazılımı saldırısı gerçekleştirdi.
Şu ana kadar fidye talebi rekorunu elinde bulunduran grub bu kez talebi daha da yükselterek 70 milyon dolara çıkardı. REvil daha önce Tayvanlı teknoloji devi Acer’e düzenlediği saldırı sonrası 50 milyon dolar fidye istemişti.
İsveç’te bir market zinciri, Yeni Zelanda’daki okullar ve ABD’de KOBİ’ler saldırının kurbanları arasında yer alıyor.
ABD Başkanı Joe Biden da fidye yazılım saldırısı tehdidini milli güvenlik açısından birinci öncelik seviyesine çıkardı.
KAÇ ŞİRKET ETKİLENDİ?
Geçen hafta sonu Rusya destekli REvil grubunun düzenlediği saldırıdan şu ana kadar Kaseya firmasının da teyit ettiği en fazla 60 müşteri bulunuyor. Ancak dolaylı olarak etkilenen firma sayısı 1500’ü buluyor.
NEDEN BU TARİH SEÇİLDİ?
Siber tehdit aktörleri özellikle ABD’de bağımsızlık bayramı olarak kutlanılan 4 Temmuz Pazar gününün olduğu haftasonu gelmeden cuma günü harekete geçti. Bu periyotta firmalar çalışanlarına izin veriyor ve IT çalışanları da aynı izinden faydalanıyor.
Saldırının bu zaman diliminde gerçekleşmesi firmaları savunması yakalaması açısından daha yıkıcı oldu.
SALDIRI NEDEN FİRMALARI BÜYÜK ÇAPTA ETKİLEDİ?
Tehdit aktörlerinin Kaseya üzerinden bulduğu zafiyet onların binlerce sisteme sızmaları için büyük bir fırsat oldu. Çünkü ABD merkezli teknoloji firması Kaseya birçok firmaya IT yönetim yazılımı hizmeti sunuyor.
Söz konusu networke sızmak isteyen REvil grubu hackerları Kaseya’nın VSA yazılımını hedef aldı. Zafiyetten faydalanarak sisteme erişim sağlayan saldırganlar zararlı yazılımlarını bu yolla binlerce firmaya bulaştırdı ve sistemler kullanılamaz hale geldi.
Kaseya’nın müşterilerine ivedilikle sunucularını kapatma uyarısı ise yeterli olmadı.
SALDIRIDAN KİMLER ETKİLENDİ?
Saldırıdan en az 17 ülkeden birçok kurum ve şirket etkilendi. Etkilenen sektörler arasında finans hizmetleri, turizm firmaları, kamu kuruluşları bulunuyor.
Kaseya CEO’su Fred Voccola, saldırıdan diş klinikleri, mimarlık ofisleri, estetik cerrahi klinikleri ve kütüphaneler gibi küçük çaptaki firmaları etkilediğini açıkladı.
REvil grubu ise 1 milyondan fazla sistem ve networkün saldırıdan etkilendiğini öne sürüyor.
İsveç’ten süpermarket zinciri Coop, kasalarda meydana gelen yazılım probleminden dolayı 800 mağazasının çoğunu kapatmak zorunda kaldı. Ülkede bir eczane zinciri ve demir yolları firması da saldırıdan etkilenen kuruluşlar arasında.
Yeni Zelanda’da ise birçok okul saldırıdan dolayı kapısına kilit vurmak zorunda kaldı. Almanya ve Hollanda’da ise IT firmaları saldırıdan olumsuz etkilendi.
HANGİ ÖNLEMLER ALINMALI?
Öncelikle MSP’lerin Kaseya VSA Tespit Etme Aracını (Kaseya VSA Detection Tool) indirmesi gerekiyor. Söz konusu araç VSA sunucusu veya yönetilen uç noktayı analiz ediyor ve herhangi bir güvenlik ihlali (IoC) göstergesinin mevcut olup olmadığını tespit ediyor.
Şirketin kontrolündeki tüm hesaplarda ve müşteriye yönelik hizmetler için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeleri tavsiye ediliyor.
Firmaların izin verilenler listesi uygulaması veya Uzaktan Görüntüleme ve Yönetim (RMM) arabirimlerini bir VPN ya da ayrılmış bir yönetim ağı üzerindeki bir güvenlik duvarının arkasına yerleştirmesi ise uzmanların önerileri arasında yer alıyor.
