Bir Montreal bölgesi savunma tedarikçisi, AlphV/BlackCat çetesinin son günlerde vurduğu ikinci askeri bağlantılı Kuzey Amerika şirketi olan fidye yazılımı tarafından vurulan en son Kanadalı firmalardan biri.
1 Ekim’de AlphV/BlackCat çetesi listelendi Simex Savunma A.Ş. Pointe-Claire, Que., veri ihlali sızıntısı sitesinde kurbanlarından biri olarak.
Pazartesi günü bir telefon görüşmesinde, Simex’in pazarlama ve iş geliştirme direktörü Fares Hamade, saldırıda belgelerin kopyalanıp kopyalanmadığını söylemedi. Ancak, herhangi bir fidye yazılımı kötü amaçlı yazılımının artık gittiğini söyledi. “Onu hafiflettik. Risk yok. Bir fidye ödemedik.”
Olayın şirketin faaliyetlerini nasıl etkilediği sorulduğunda, “Onu hafiflettik. Artık sistemimizde fidye yazılımı yok. Ve açıkçası bunun tekrar olmasını önlemek için daha katı politikalar uyguluyoruz. Biz de durumu polise bildirdik” dedi.
Saldırı haberi geldi Cybernews bildirdikten sonra bu Virginia merkezli NJVCsivil, ABD devlet kurumları ve Savunma Bakanlığı’na BT ve yazılım hizmetleri sağlayıcısı olan AlphV/BlackCat kurban listesinde yer aldı.
Web sitesinde kendisine “Kanada’nın 1 numaralı güvenilir savunma ve askeri müteahhit” adını veren Simex, 28 yıl önce kuruldu. Web sitesi, Kanada Kuvvetleri, RCMP, NATO ve Kanada Sahil Güvenlik’in yanı sıra imalat ve enerji sektörlerine tedarikçi olduğunu söylüyor.
Simex, güvenli dijital iletişim ekipmanı, Kanada hava kuvvetleri uçakları için parçalar, hafif mühimmat ve taşınabilir su arıtma sistemleri ve daha fazlasını dağıtır.
2018’de şirket, 36 milyon dolarlık rekor satış yaptığını söyledi.
İhlalin arkasındaki çete
AlphV/BlackCat çetesi, bağlı kuruluşların sıklıkla kurban organizasyonları hackleyip ardından dağıttığı bir hizmet olarak fidye yazılımı operasyonu sunuyor. bir nisanda grup arka plan kağıdıFBI, dünya çapında en az 60 örgütü tehlikeye attığını tahmin ediyor.
FBI’a göre yaygın bir taktik, kurban sistemine ilk erişim sağlamak için daha önce ele geçirilmiş kullanıcı kimlik bilgilerini kullanmaktır. Bundan sonra, saldırganlar Active Directory kullanıcı ve yönetici hesaplarının güvenliğini aşmaya çalışır. Kötü amaçlı yazılım, fidye yazılımı dağıtmak üzere kötü amaçlı Grup İlkesi Nesnelerini (GPO’lar) yapılandırmak için Windows Görev Zamanlayıcı’yı kullanır.
Temmuz ayında çetenin arka plancısı, Sophos’taki araştırmacılar vurguladı çeteye düşmek sadece kötü şans değil. Olay sonrası incelemeler, çetenin veya bağlı kuruluşların yama uygulanmamış veya güncel olmayan güvenlik duvarı/VPN cihazlarındaki güvenlik açıklarından sıklıkla yararlandığını gösteriyor.
Sophos’un incelediği beş olaydan dördünde, güvenlik açıkları, saldırganların güvenlik duvarı aygıtlarındaki bellekten VPN kimlik bilgilerini almalarına olanak tanıdı ve bu kimlik bilgilerini daha sonra yetkili bir kullanıcıymış gibi VPN’de oturum açmak için kullanabildiler. Sophos, hedeflerin hiçbirinin bu VPN’ler için çok faktörlü kimlik doğrulama kullanmadığını söyledi. Bir aykırı değer, dahili bir kullanıcının VPN oturum açma kimlik bilgilerini saldırganlara ifşa eden bir hedefli kimlik avı saldırısı gibi görünüyor.
Sophos, ağın içine girdikten sonra, saldırganların bilgisayarlar arasında yatay olarak hareket etmek için ağırlıklı olarak Windows’un RDP’sini (uzak masaüstü protokolü) kullandığını ve ağ içindeki makinelerdeki yönetici hesabına karşı VPN bağlantısı üzerinden kaba kuvvet saldırıları gerçekleştirdiğini söyledi.
Başka bir problem: Sophos’un incelediği beş kuruluşun her birindeki ağlar düzdü ve her makine ağdaki diğer tüm makineleri görebiliyordu – bu, saldırganların taramasını ve en büyük değere sahip hedefleri belirlemesini son derece kolaylaştıran bir şeydi. VLAN’ları kullanarak ağın bölümlerini birbirinden ayırmak yardımcı olabilirdi.
Kaynak : https://www.itworldcanada.com/article/montreal-defence-supplier-hit-by-ransomware/506506