Kolombiyalı enerji şirketi Empresas Públicas de Medellín (EPM) Pazartesi günü bir Blackcat/ALPHV fidye yazılımı saldırısı yaşadı, şirketin operasyonlarını bozdu ve çevrimiçi hizmetleri düşürdü.
EPM, Kolombiya'nın en büyük kamu enerjisi, su ve gaz sağlayıcılarından biridir ve 123 belediyeye hizmet sunmaktadır. Şirket, 2022'de 25 milyar doların üzerinde gelir elde etti ve Kolombiyalı Medellin Belediyesi'ne ait.
Salı günü şirket, yaklaşık 4.000 çalışana BT altyapısı ile birlikte evden çalışmasını ve şirketin web sitelerinin artık mevcut olmadığını söyledi.
EPM, yerel medyaya bir siber güvenlik olayına yanıt verdiklerini ve müşterilerin hizmetler için ödeme yapmaları için alternatif yöntemler sağladığını açıkladı.
Savcılık daha sonra El Colombiano'ya fidye yazılımının EPM'ye yapılan saldırının arkasında olduğunu ve bu da cihazların şifrelenmesine ve verilerin çalınmasına neden olduğunu doğruladı.
Ancak, saldırının arkasındaki fidye yazılımı işlemi açıklanmadı.
BleepingComputer o zamandan beri Blackcat fidye yazılımı operasyonunun, AKA Alphv'in saldırıların arkasında olduğunu ve saldırılar sırasında kurumsal verilerin çaldığını iddia ettiğini öğrendi.
BleepingComputer ayrıca EPM saldırısından şifreleme örneği ve fidye notlarını gördü ve Blackcat fidye yazılımı operasyonundan olduklarını doğruladı.
Saldırıda oluşturulan fidye notu, tehdit aktörlerinin çok çeşitli veriler çaldığını belirtirken, bunun tüm Blackcat fidye notlarında kullanılan ve EPM'ye özgü olmadığını belirtmelidir.
Bununla birlikte, diğer keşifler, bilgisayar korsanlarının saldırı sırasında EPM'den biraz veri çaldığını gösteriyor.
Chilean Güvenlik Araştırmacısı Germán Fernández, Blackcat'ın Kolombiya'dan kötü amaçlı yazılım analiz sitesine yüklenen 'exmatter' veri hırsızlığı aracının yeni bir örneğini keşfetti.
Exmatter, cihazlar şifrelenmeden önce kurumsal ağlardan veri çalmak için Blackcat fidye yazılımı saldırılarında kullanılan bir araçtır. Bu veriler daha sonra fidye yazılımı çetesinin çift uzatma girişimlerinin bir parçası olarak kullanılır.
Araç çalıştırıldığında, ağdaki cihazlardan veri çalacak ve çalındığı Windows bilgisayar adının adını taşıyan klasörler içinde saldırgan kontrollü sunucularda saklayacaktır.
Exmatter aracını analiz ederken Fernández, verileri yeterince güvenli olmayan bir uzak sunucuya yüklediğini ve herhangi bir ziyaretçinin üzerinde depolanan verileri görmesine izin verdiğini buldu.
Kolombiya'dan Exmatter varyantında, veriler aşağıda gösterildiği gibi 'EPM-' ile başlayarak çeşitli klasörlere yüklendi. Fernández, BleepingComputer'a bu bilgisayar isimlerinin Empresas Públicas de Medellín tarafından kullanılan bilinen bilgisayar adlandırma biçimleriyle eşleştiğini söyledi.
Toplam verilerin ne kadar çalındığı belirsiz olsa da, Fernández, BleepingComputer'a sitede 40'tan fazla cihaz listelendiğini söyledi.
BleepingComputer, saldırı ve ne kadar veri çalındığı hakkında daha fazla bilgi edinmek için EPM'ye ulaştı, ancak bir yanıt hemen mevcut değildi.
Bir fidye yazılımı saldırısı ilk kez bir Kolombiyalı enerji şirketini hedeflemedi.
2020'de Enel Grubu aynı yıl iki kez fidye yazılımı saldırısı yaşadı.
Kolombiya, son aylarda saldırılarda bir artış gördü ve ülkenin sağlık sistemi geçen ay çok uluslu bir sağlık kuruluşu olan Keralty'ye yönelik fidye saldırısı nedeniyle bozuldu.
Fidye Yazılımında Hafta - 16 Aralık 2022 - Güven kaybetmek
Ransomware'de Hafta - 2 Aralık 2022 - Sağlık hizmetlerini bozan
Keralty Fidye Yazılımı Saldırısı Kolombiya'nın Sağlık Sistemini Etkiler
Alman otel zinciri H-Hotels'e yönelik fidye yazılımı iddiaları saldırı
Microsoft yamaları Windows Sıfır Gün
Kaynak: Bleeping Computer