BBC ve British Airways dahil birçok şirkette çalışan 100 binden fazla personelin bordro verilerinin çalınmış olabileceği düşünülüyor.
BBC News’te yer alan habere göre, merkezi Rusya’da olduğu düşünülen bir siber suç grubu, siber saldırıya maruz kalan organizasyonlara ültimatom verdi.
Clop adlı grup, siber saldırıdan etkilenenleri 14 Haziran’dan önce e-postalarına yanıt vermeleri konusunda uyardı.
Grup, aksi takdirde bu kişilerden çalınan verilerin yayınlanacağını söyledi.
BBC tarafından görülen bildiride, “Progress MOVEit ürününü kullanan şirketlere, istisnai bir yazılım açığını kullanarak verilerinizin çoğunu indirmiş olabileceğimiz konusunda bilgi vermek isteriz” ifadelerini kullanıldı.
Ardından organizasyonlara müzakere süreci başlatmak için e-posta gönderme talebinde bulunuldu.
Bu aslında bir siber suç olayı için alışılmadık bir taktik.
Bu tip olaylarda normalde fidye talepleri siber suç çeteleri tarafından mağdur kuruluşlara e-posta ile doğrudan gönderiliyor.
Bu durumda ise etkilenen organizasyonların iletişime geçmesi talep ediliyor.
Clop’un işlemiş olduğu siber suçun boyutuyla başa çıkamadığı için böyle bir taktik uyguladığı düşünülüyor.
İşverenler, etkilenen personellerini Clop’a herhangi bir ödeme yapmamaları konusunda uyarıyor.
Siber güvenlik araştırmaları, ilk olarak geçen hafta gündeme gelen siber saldırıdan Clop’un sorumlu olabileceğine işaret etmişti.
Microsoft analistleri de Pazartesi günü yaptıkları açıklamada kullanılan tekniklere dayanarak Clop’un sorumlu olduğunu düşündüklerini söyledi.
Siber suç grubunun iş hayatında kullanılan MOVEit adlı popüler bir yazılımı ele geçirip buradan yüzlerce farklı şirketin veri tabanına eriştiği düşünülüyor.
İngiltere merkezli bordro hizmetleri sağlayıcısı Zellis, MOVEit kullanıcılarından biriydi.
Zellis, personellerin ev adresleri, ulusal sigorta numaraları ve bazı durumlarda banka bilgileri dahil olmak üzere sekiz kuruluşun verilerinin çalındığını doğruladı.
Şimdiye kadar bilgilerin çalınmış olabileceğini söyleyen şirketler şu şekilde:
-BBC
-British Airways
-Lingus Havayolu
-Boots
-Nova Scotia Hükümeti
-Rochester Üniversitesi
Uzmanlar etkilenen kişilerin paniğe kapılmamasını ve kuruluşların ABD’deki Siber Güvenlik ve Altyapı Kurumu gibi yetkililer tarafından verilen güvenlik kontrollerini gerçekleştirmesini tavsiye ediyor.
Clop, hükümet, şehir veya polis teşkilatlarında kayıtlı verileri sildiğini iddia ediyor.
“İfşa etmekle ilgilenmiyoruz”
Grubun kullandığı bir web sitesinde, “Merak etmeyin, verilerinizi sildik, bizimle iletişime geçmenize gerek yok. Bu tür bilgileri ifşa etmekle ilgilenmiyoruz” yazıyor.
Ancak araştırmacılar bu duyurulara güvenilmemesi gerektiğini söylüyor.
Emsisoft adlı antivirüs şirketinde araştırmacı olan Brett Callow, “Clop’un kamu sektörü kuruluşlarıyla ilgili bilgileri sildiği iddiasına şüpheyle yaklaşılmalı. Bilginin parasal değeri varsa veya kimlik avı için kullanılabilecekse, onu silmiş olmaları pek olası değil” diyor.
Siber güvenlik uzmanları, ağırlıklı olarak Rusça konuşulan forumlarda faaliyet gösterdiği için Rusya merkezli olduğu düşünülen Clop’u uzun süredir takip ediyor.
Rusya uzun zamandır fidye yazılımı çeteleri için güvenli bir sığınak olmakla suçlanıyor ama bu iddiaları reddediyor.
“Fidye yazılımı hizmeti sunan bir grup” olan Clop’un dünyanın her yerinden saldırı gerçekleştirebilmek için sistemler kiraladığı düşünülüyor.
2021’de Ukrayna, ABD ve Güney Kore arasındaki ortak bir operasyonda Ukrayna’da Clop ile bağlantılı olduğu iddia edilen kişiler gözaltına alınmıştı.