Johnson Controls International, VMware ESXI sunucuları da dahil olmak üzere şirketin ve iştiraklerinin operasyonlarını etkileyen şirket cihazlarının çoğunu şifreleyen büyük bir fidye yazılımı saldırısı olarak tanımlanan şeylere maruz kaldı.
Johnson Controls, endüstriyel kontrol sistemleri, güvenlik ekipmanları, klimalar ve yangın güvenliği ekipmanları geliştiren ve üreten çokuluslu bir holdingdir.
Şirket, York, Tyco, Luxaire, Coleman, Ruskin, Grinnel ve Simplex dahil olmak üzere kurumsal operasyonları ve iştirakleri aracılığıyla 100.000 kişiyi istihdam ediyor.
Dün bir kaynak, BleepingComputer'a Johnson Controls'un Asya ofislerinde başlangıçta ihlal edildikten sonra fidye yazılımı saldırısına maruz kaldığını söyledi.
BleepingComputer o zamandan beri şirketin hafta sonu boyunca şirketin BT sistemlerinin bölümlerini kapatmasına neden olan bir siber saldırı yaşadığını öğrendi.
O zamandan beri, York, Simplex ve Ruskin dahil olmak üzere iştiraklerinin çoğu, web sitesi oturum açma sayfalarında ve müşteri portallarında teknik kesintiler göstermeye başladı.
Simplex web sitesinde, "Şu anda Simplex Müşteri Portalı gibi bazı müşteri uygulamalarını sınırlayabilecek BT kesintileri yaşıyoruz."
Diyerek şöyle devam etti: "Hizmetlerimiz için herhangi bir potansiyel etkiyi aktif olarak azaltıyoruz ve bu kesintiler çözüldüğünden müşterilerle iletişimde kalacağız."
Bu saldırı veya diğer saldırılar hakkında herhangi bir bilginiz varsa, 646-961-3731 numaralı telefondan Signal aracılığıyla bize gizlice iletişime geçebilirsiniz.
Başka bir Johnson kontrol iştiraki olan York'un müşterileri, şirketin sistemlerinin aşağı olduğu söylendiğini bildiren, bazılarının bir siber saldırıdan kaynaklandığını söyledikleri belirtiliyor.
Reddit'e gönderilen bir York müşteri, "Bilgisayar sistemi hafta sonu boyunca çöktü. Üretim ve her şey düştü."
"Temsilcimizle konuştum ve birisinin onları hacklediğini söyledi," diye gönderdi başka bir müşteri.
Bu sabah, Nextron Systems Tehdit Araştırmacısı Gameel Ali, Johnson Controls'a karşı kullanıldığını belirten bir fidye notu içeren bir Dark Angels VMware ESXI şifrelemesinin bir örneğini tweetledi.
BleepingComputer, fidye notunun fidye yazılımı çetesinin bir şifreleme sağlamak ve çalıntı verileri silmek için 51 milyon dolar talep ettiği bir müzakere sohbetine bağlandığı söylendi.
Tehdit aktörleri ayrıca 27 TB'tan fazla kurumsal veri çaldığını iddia ediyor ve saldırı sırasında şirketin VMware ESXI sanal makinelerini şifreledi.
BleepingComputer, saldırı ile ilgili sorularla Johnson Controls ile temasa geçti, ancak yanıt almadı.
Hikayemizin yayınlanmasından sonra Johnson Controls, siber güvenlik olayını SEC ile 8. K dosyasında bir formda doğruladı ve olayı araştırmak ve sigortacılarla koordine etmek için dış siber güvenlik uzmanlarıyla birlikte çalıştıklarını belirtti.
"Johnson Controls International PLC (“ Şirket ”), iç bilgi teknolojisi altyapısının ve siber güvenlik olayından kaynaklanan uygulamaların bölümlerinde kesintiler yaşadı. Sorunu hemen tespit ettikten sonra şirket, dış siber güvenlik uzmanlarının önde gelen yardımıyla soruşturmaya başladı ve IS ayrıca sigorta şirketleri ile koordinasyon. Şirket, hangi bilgilerin etkilendiğini değerlendirmeye devam ediyor ve olayın etkisini azaltmak için iyileştirme önlemleri uygulamak da dahil olmak üzere olay yönetimi ve koruma planını yürütüyor ve uygun şekilde ek adımlar atmaya devam edecek. Birçok kişi Şirketin başvuruları büyük ölçüde etkilenmez ve operasyonel kalır. Mümkün olduğu ölçüde ve iş sürekliliği planları doğrultusunda, şirket belirli operasyonlar için kesintileri azaltmak ve müşterilerine hizmet vermeye devam etmek için geçici çözümler uyguladı. Ancak olay neden oldu ve olay oldu. Neden olmaya devam etmesi, şirketin iş operasyonlarının kısımlarında bozulması bekleniyor. Şirket, olayın dördüncü çeyreğini ve tam mali yıl sonuçlarını zamanında serbest bırakma yeteneğini ve finansal sonuçlarının etkisini etkileyip etkilemeyeceğini değerlendiriyor. Şirketin soruşturma ve iyileştirme çabaları devam ediyor. "
Dark Angels, dünya çapında organizasyonları hedeflemeye başladığında Mayıs 2022'de başlatılan bir fidye yazılımı operasyonudur.
Hemen hemen tüm insan tarafından işletilen fidye yazılımı çeteleri gibi, Dark Melekler de kurumsal ağları ihlal eder ve daha sonra ağdan yanal olarak yayılır. Bu süre zarfında, tehdit aktörleri çift genişlemeli saldırılarda kullanılacak dosya sunucularından veri çalıyor.
Windows etki alanı denetleyicisine eriştiklerinde, tehdit aktörleri ağdaki tüm aygıtları şifrelemek için fidye yazılımlarını dağıtır.
Tehdit oyuncusu başlangıçta Babuk fidye yazılımı için kaynak kodu sızıntısına dayanarak Windows ve VMware ESXI şifrelemelerini kullandı.
Bununla birlikte, siber güvenlik araştırmacısı MalwarehunterTeam, BleepingComputer'a Johnson Controls saldırısında kullanılan Linux şifrelemesinin 2021'den beri Ragnar Locker tarafından kullanılanlarla aynı olduğunu söylüyor.
Dark Angels, Nisan 2023'te kurbanlarını zorlamak için kullanılan 'Dunghill Sızıntıları' adlı bir veri sızıntısı sitesi başlattı ve fidye ödenmezse verileri sızdırmakla tehdit etti.
Bu gasp sitesi şu anda yakın zamanda siber saldırıları açıklayan Sabre ve Sysco da dahil olmak üzere dokuz kurbanı listeliyor.
GÜNCELLEME 9/27/23: Form 8-K dosyalamasından ifade eklendi.
Caesars Entertainment fidye ödemesini, Müşteri Veri Hırsızlığı
İlk Erişim Broker Ekonomisi: Karanlık Web Hacking Forumlarına Derin Dalış
Logicmonitor müşterileri bildirilen fidye yazılımı saldırılarında hacklendi
Fidye yazılımı hackerları bekleme süresi 5 güne düşer, RDP hala yaygın olarak kullanılmıştır
FBI: İkili fidye yazılımı saldırısı kurbanları artık 48 saat içinde vuruluyor
Kaynak: Bleeping Computer