Ransomhub fidye yazılımı çetesi, şirketin BT sistemlerini ve iş operasyonlarını bozan petrol ve gaz hizmetleri devi Halliburton'daki son siber saldırının arkasında.
Saldırı yaygın bir bozulmaya neden oldu ve BleepingComputer'a müşterilerin gerekli sistemler düştüğü için faturalar veya satın alma siparişleri üretemedikleri söylendi.
Halliburton, geçen Cuma günü saldırıyı, 21 Ağustos 2024'te yetkisiz bir parti tarafından siber saldırıya uğradıklarını belirterek bir SEC dosyalamasında açıkladı.
"21 Ağustos 2024'te Halliburton Company (" Şirket "), yetkisiz bir üçüncü tarafın bazı sistemlerine erişim sağladığını fark etti."
Diyerek şöyle devam etti: "Şirket konuyu öğrendiğinde, şirket siber güvenlik müdahale planını etkinleştirdi ve yetkisiz faaliyeti değerlendirmek ve iyileştirmek için dış danışmanların desteğiyle dahili olarak bir soruşturma başlattı."
Şirket, kuyu inşaatı, sondaj, hidrolik kırılma (fracking) ve BT yazılım ve hizmetleri gibi petrol ve gaz şirketlerine çok sayıda hizmet sunmaktadır. Şirketin geniş hizmet yelpazesi nedeniyle, müşterileri arasında çok fazla bağlantı var.
Bununla birlikte, şirket, petrol ve gaz endüstrisindeki bir müşteri BleepingComputer'a saldırının kendilerini etkileyip etkilemediğini ve kendilerini nasıl koruyacağını belirleme konusunda karanlıkta bırakıldıklarını söyleyen saldırı hakkında birçok ayrıntı paylaşmadı.
Bu, diğer müşterilerin paylaşılan bilgi eksikliği nedeniyle Halliburton'dan kopmasına neden oldu.
BleepingComputer, bazı şirketlerin petrol ve gaz endüstrisine karşı fiziksel ve siber güvenlik tehditleri için merkezi bir koordinasyon ve iletişim noktası olarak hareket eden bir ajans olan ONG-ISAC ile çalıştığı da söylendi. da ihlal edildi.
Günlerce, Halliburton'un Ransomhub fidye yazılımı saldırısına maruz kaldığına dair söylentiler var, kullanıcılar bunu Reddit'te ve iş işleri tartışma sitesi Thelayoff'da kısmi bir Ransomhub fidye notu yayınlandığı iddia ediyor.
BleepingComputer bu iddialar hakkında Halliburton ile temasa geçtiğinde, Halliburton daha fazla yorum yapmadıklarını söyledi.
Halliburton, BleepingComputer'a verdiği demeçte, "Dosyalamamıza dahil edilenlerin ötesinde yorum yapmıyoruz. Sonraki herhangi bir iletişim 8 K şeklinde olacak." Dedi.
Bununla birlikte, 26 Ağustos'ta tedarikçilere gönderilen ve BleepingComputer ile paylaşılan bir e -postada, Halliburton, şirketin onları korumak için sistemleri çevrimdışı aldığını ve olayı araştırmak için maniant ile birlikte çalıştığını belirten ek bilgi verdi.
"Halliburton'u etkileyen bir siber güvenlik sorunu hakkında sizi güncellemek için uzanıyoruz."
"Konuyu öğrendiğimiz anda, siber güvenlik müdahale planımızı etkinleştirdik ve (1) bunları korumaya yardımcı olmak için proaktif olarak çevrimdışı almak, (2) Maniant da dahil olmak üzere önde gelen dış danışmanların desteğini almak da dahil olmak üzere bunu ele almak için adımlar attık. ve (3) kolluk kuvvetlerini bildirmek. "
Ayrıca, e -posta sistemlerinin Microsoft Azure altyapısında barındırıldıkları için çalışmaya devam ettiklerini belirttiler. Satınalma siparişlerinin işlem yapmak ve verilmesi için bir çözüm de mevcuttur.
Bu e -posta, müşterilerin ağlarındaki benzer etkinliği tespit etmek için kullanabileceği saldırı ile ilişkili dosya adları ve IP adresleri içeren IOC'lerin bir listesini içerir.
Bu IOC'lerden biri, BleepingComputer'ın bir RansomHub fidye yazılımı şifrelemesi olduğunu doğruladığı bir Windows Compenenenence.exe adlı bir Windows içindir.
Örneği analiz ettikten sonra, dosyaları şifrelemeden önce cihazda bir komut yürütecek yeni bir "-cmd String" komut satırı argümanı içerdiği için, daha önce analiz edilenden daha yeni bir sürüm gibi görünmektedir.
RansomHub Fidye Yazılımı Operasyonu Şubat 2024'te başlatıldı ve çalınan dosyaları en yüksek teklif verene satan bir veri hırsızlığı ve gasp grubu olduğunu iddia etti.
Bununla birlikte, kısa bir süre sonra, operasyonun, tehdit aktörlerinin ağları ihlal ettiği, verileri çaldığı ve daha sonra şifrelenmiş dosyalarda fidye yazılımı şifrelemelerini de kullandığı keşfedildi.
Şifrelenmiş dosyalar ve çalıntı verileri sızdırma tehdidi, şirketleri fidye ödemeye korkutmak için kaldıraç olarak kullanıldı.
Symantec, fidye yazılımı şifrelemelerini analiz etti ve daha önce Cyclops olarak bilinen Şövalye Fidye Yazılımı şifrelemelerine dayandıklarını bildirdi.
Şövalye operasyonu, Şubat 2024'te kaynak kodlarını sattıklarını ve Ransomhub'ın piyasaya sürülmesiyle kapatıldıklarını iddia etti. Bu, birçok araştırmacının Ransomhub'ın Şövalye Fidye Yazılımı operasyonunun yeniden markası olduğuna inanmasını sağladı.
Bugün, FBI, Ransomhub hakkında bir danışmanlık yaptı, tehdit oyuncunun taktiklerini paylaştı ve Şubat ayından bu yana en az 210 kurbanı ihlal ettikleri konusunda uyardı.
FBI ve CISA'nın, Halliburton gibi kritik altyapıya son derece etkili bir saldırı yaptıktan hemen sonra tehdit aktörleri hakkında koordineli tavsiyeler yayınlaması yaygındır. Ancak, danışma ve saldırının bağlantılı olup olmadığı bilinmemektedir.
Yılın başlangıcından bu yana, Ransomhub, Amerikan kar amacı gütmeyen kredi birliği Patelco, Rite Aid Eczane Zinciri, Christie's Müzayede Evi ve ABD Telekom Sağlayıcı Frontier Communications da dahil olmak üzere çok sayıda yüksek profilli saldırıdan sorumludur.
Fidye yazılımı operasyonunun veri sızıntı sitesi, BlackCat ve ALPHV fidye yazılımı işleminin kapatılmasının ardından Change Healthcare'e ait çalıntı verileri sızdırmaya çalıştırılmıştır.
Blackcat kapandıktan sonra, bazı bağlı kuruluşlarının Ransomhub'a taşındığına ve deneyimli fidye yazılımı tehdit aktörleriyle saldırılarını hızla artırmalarına izin verdiğine inanılmaktadır.
FBI: Ransomhub fidye yazılımı Şubat ayından bu yana 210 kurbanı ihlal etti
Patelco 726.000 müşteriye fidye yazılımı veri ihlali bildiriyor
ABD petrol devi Halliburton, sistemlerin kapanmasının arkasındaki siber saldırıyı onayladı
Ransomware Gang, güvenlik yazılımını öldürmek için yeni kötü amaçlı yazılımları dağıtıyor
Fransa'nın Grand Palais, Olimpiyat Oyunları sırasında siber saldırıyı açıklıyor
Kaynak: Bleeping Computer