İtalya'daki Lazio bölgesi, Covid-19 aşılama kaydı portalı da dahil olmak üzere, bölgenin BT sistemlerini engelleyen bildirilen bir Ransomware saldırısı yapmıştır.
Pazar sabahının başlarında, Lazio bölgesi, veri merkezindeki her dosyayı şifreleyen ve BT ağını bozan bir fidye yazılımı saldırısı geçirdi.
"Cumartesi ve Pazar arasındaki gecelik, Regione Lazio, ceza matrisinin ilk siber saldırısına maruz kaldılar. Lazio Bölgesi'nin başkanı olan Nicola Zingaretti, Facebook'taki bir açıklamada," Kimin sorumlu olduğunu ve hedeflerini bilmiyoruz.
"Saldırı, veri merkezindeki hemen hemen her dosyayı engelledi. Aşılama kampanyası, rezervasyonu olan herkes için normal olarak devam ediyor. Aşı rezervasyonları şu anda önümüzdeki birkaç gün içinde askıya alındı. Sistem şu anda iç doğrulamaya izin vermek için kapanıyor. saldırı ile tanıtılan virüsün yayılmasından kaçının. "
Ransomware çetelerinin, uzatma girişimlerinde kaldıraç olarak bir saldırı sırasında veri çaldığı bilinirken, bölge sağlık, finansal ve bütçe verilerinin güvende olduğunu belirtir.
Kesinti, Covid-19 aşılarına kaydolmak için kullanılan Selam Lazio Sağlık Portalını da etkiledi.
"Bölgesel CED'de güçlü bir hack saldırısı var. Sistemlerin tümü, tüm Selam Lazio portalını ve aşı ağı da dahil olmak üzere devre dışı bırakıldı. Tüm savunma ve doğrulama işlemleri, yanlış kullanımdan kaçınmak için yola çıkıyor. Aşılama işlemleri gecikmeleri yaşayabilir" bir açıklamada dedi.
Haziran ayında, İtalya, insanların aşılandıklarını kanıtlamalarını, negatif olduklarını veya daha önce COVID-19'u olduğunu kanıtlamalarını sağlayan yeni bir 'Yeşil Geçiş' sertifika sistemi kurdu.
Bu yeşil geçiş, restoran ve barlarda iç mekanlarda yemek için gerekli olacaktır ve 6 Ağustos'ta başlayan büyük bir kalabalığa sahip fitness merkezlerine, eğlence parklarına, müzelere ve diğer yerlere erişmeniz gerekmektedir.
Lazio popülasyonunun% 70'inden fazlası ile aşılanmış ve Yeşil Geçiş Politikası'nın duyurulmasından bu yana kayıtlarda büyük bir dalgalanma, çevrimiçi Covid-19 aşılamasının bozulmasının endişesi var.
Bununla birlikte, bölge, mevcut randevularda aşılar için bir aksama olmadığını ve çevrimiçi kayıt sisteminin birkaç gün içinde çevrimiçi olarak geri dönmesi gerektiğini belirtir.
"Aşılama kampanyası durmayacak! Dünkü günün günündeki 50 bin aşama," en büyük siber saldırıya rağmen, "dedi. Facebook'ta belirtti.
Bu veya diğer bildirilmemiş cyberattacks hakkında birinci el bilgileriniz varsa, +16469613731 veya @ LawrenceAbrams-BC'deki tel üzerinde sinyalle ilgili olarak bizimle iletişime geçin.
Bugün, kaynaklar, BleepingBomputer'a Lazio'ya yapılan siber saldırının Ransomexx olarak bilinen bir fidye yazılımı operasyonu tarafından yapıldığını söylediler.
Redakted bir fidye notunda Lazio'ya yapılan saldırıdan, tehdit aktörleri devleti, "Merhaba, Lazio!" ve bölgeyi dosyalarının şifrelenmiş olduğu konusunda uyarın. Ransom notu ayrıca, Lazio'nun fidyeware çetesiyle müzakere etmek için kullanabileceği özel bir karanlık web sayfasına bir bağlantı içerir.
Ransom Notu, saldırıyı hangi operasyonun yapıldığını belirtmez, ancak listelenen soğan URL'si Ransomexx işlemi için bilinen bir TOR bölgesidir.
BleepingComputer ayrıca, bölgenin dosyalarını şifresini çözmek için bir fidye ödemesi gereken müzakere sayfasının bir ekran görüntüsü aldı. Tehdit aktörleri hiçbir fidye talebi vermedi.
Ransomexx müzakere sayfaları kurban başına özgüdür ve tehdit aktörleri saldırı sırasında veri çalıyorsa, tehdit aktörleri, dosyaların çalınan veri ve ekran görüntüleri de dahil olmak üzere sayfada ayrıntılar sağlar.
Bu durumda, müzakere sayfası, RANSOMEXX'in herhangi bir veri çaldığını gösterdi.
Güncelleme: Makalemizi gönderdikten sonra, İtalyan Güvenlik Araştırmacısı Jameswt, İtalya'da saldırının Loctbit 2.0 tarafından yapıldığı ancak daha fazla bilgi paylaşamayacağını belirtti.
BleepingComputer, daha fazla bilgi mevcut olduğunda bu makaleyi güncelleyecektir.
Ransomexx Gang, faaliyetlerini başlangıçta 2018'de Defrey adı altında başlattı. Ancak, 2020 yılının Haziran ayında, operasyon, büyük kurumsal kurumları daha aktif olarak hedeflemeye başladığı Ransomexx olarak yeniden düzenlendi.
Diğer fidye yazılımı operasyonlarına benzer şekilde, Ransomexx güvenlik açıklarını kullanarak veya çalınan kimlik bilgilerini kullanarak bir ağı ihlal edecektir.
Tehdit aktörleri bir ağa erişim kazandığında, şifrelenmemiş dosyaları gasp girişimleri için çalarken ağdan sessizce yayılırlar.
Windows etki alanı denetleyicisine erişim kazandıktan sonra, tüm cihazları şifrelemek için ağdaki fidye yazılımını dağıtıyorlar.
Ransomexx Gang, Brezilya'nın hükümet ağları, Texas Ulaştırma Bakanlığı (TXDOT), Konica Minolta, IPG Photonics ve Ekvador'un CNT dahil olmak üzere yüksek profilli saldırıların öyküsü var.
Güncelleme 8/3/21: Muhtemelen Lockbit 2.0 olduğu hakkında bilgi eklendi.
Enerji Grubu ERG, Ransomware saldırısından sonra küçük aksaklıkları bildirdi
Lockbit fidye yazılımı, kurumsal ağları ihlal etmek için içerdekileri işe alıyor
Ekvador'un devlet tarafından işletilen CNT Telco Ransomexx Ransomware tarafından Hit
Kaseya, Revil Ransomware Mağdurları için Evrensel Decryptor'u alır.
Arzu kurbanları kusurlu Kaseya Ransomware saldırısından sonra ödeme yapmayı reddediyor
Kaynak: Bleeping Computer