‘Donut Leaks’ adlı yeni bir veri hırsızlığı grubu, Yunan doğal gaz şirketi DESFA, İngiltere mimarlık firması Sheppard Robson ve çok uluslu inşaat şirketi Sando’nun da aralarında bulunduğu son siber saldırılarla bağlantılı.
İki kurban, kimin dahil olduğu hakkında fazla bilgi vermeden bu saldırıları ifşa etti.
Hafta sonu boyunca, DESFA siber saldırıya uğradıklarını doğruladı Ragnar Locker, çalındığı iddia edilen verilerin ekran görüntülerini sızdırdıktan sonra.
Bu aydan daha erken, Sheppard Robson bir fidye yazılımı saldırısını açıkladı ve bir gasp girişimi, ancak ağını kimin hacklediği hakkında ayrıntılı bilgi vermedi.
Son olarak, Hive Ransomware geçen ay Sando’ya saldırdığını iddia etti, ancak saldırının ‘kanıtı’ olarak yalnızca küçük bir dosya arşivi yayınladı.
Garip bir şekilde, bu kurbanların verileri, Donut Leaks olarak bilinen daha önce bilinmeyen bir gasp çetesinin veri sızıntısı sitesinde ortaya çıktı. Ayrıca Donut Leaks sitesinde paylaşılan veriler, fidye yazılımı sitelerinde paylaşılanlardan çok daha kapsamlı ve bu yeni tehdit aktörünün saldırılara karıştığını gösteriyor.
Donut Leaks kimdir?
BleepingComputer, Donut Leaks gasp grubunu ilk olarak, bize tehdit aktörlerinin veri çalmak için şirket ağını ihlal ettiğini söyleyen kurbanlardan birinin bir çalışanından öğrendi.
Tehdit aktörleri verileri çalmayı bitirdiğinde, BleepingComputer’a Tor gasp sitelerinin URL’lerini kurbanın iş ortaklarına ve çalışanlarına e-postayla gönderdikleri söylendi.
Bu Tor siteleri, utanç verici bir blog ve ziyaretçilerin çalınan, sızdırılan tüm verilere göz atmasına ve indirmesine izin veren bir veri depolama sitesinden oluşur.
Utanç verici blog şu anda beş kurban için girişler içeriyor, biri hariç hepsi şirketin genel açıklamalarını ve çalınan verilerine bir bağlantı içeriyor.
Bununla birlikte, girişlerden biri için, tehdit aktörlerinin daha agresif bir yaklaşım benimsediği, çalınan Noel partisi fotoğraflarını paylaştığı ve şirkete karşı uzun bir rant olduğu ortaya çıktı.
Çalınan veri depolama sunucusu, Dosya tarayıcısı Ziyaretçilerin sunucuda saklanan tüm çalıntı verilere göz atmalarını sağlayan, kurban tarafından kırılan uygulama.
Utandırma sitesinde listelenen yalnızca beş kurban varken, depolama sunucusunda görünen on kurban var.
Aşağıda görebileceğiniz gibi, üç kurban Sheppard Robson ve DESFA tarafından açıklanan ve Sando’nun daha önce Hive tarafından talep edildiği son saldırılarla ilgili. BleepingComputer, siber saldırıya uğradıklarını açıklamadıkları için diğer şirketlerin isimlerini redakte etti.
Dosya Tarayıcı istatistiklerine göre, tehdit aktörleri bu on kurbandan yaklaşık 2,8 TB çalıntı veri sızdırdı.
Tehdit aktörlerinin ağları ihlal ederken fidye yazılımı mı dağıttığı yoksa sadece bir veri hırsızlığı grubu mu olduğu bilinmiyor.
Ancak Sheppard Robson, son saldırılarının bir fidye yazılımı saldırısı olduğunu açıkladı.
Sheppard Robson, “Bir fidye yazılımı saldırısında olduğu gibi, suçlular gasp amacıyla bizimle iletişime geçti” dedi.
“ICO ve NCSC rehberliğinde saldırganlara herhangi bir para ödemeyi reddettik ve olayı polise bildirdik.”
Ayrıca, iki farklı fidye yazılımı operasyonu, DESFA (Ragnar Locker) ve SANDO (Hive) için sorumluluk üstlendi.
Bu, muhtemelen Donut Leaks’i çalıştıran tehdit aktörünün, hem Hive, Ragnar Locker hem de muhtemelen diğer fidye yazılımı operasyonları için bir kalem testçisi veya bağlı kuruluşu olduğu anlamına gelir.
Ragnar Locker için ‘pentester’larla önceki konuşmalarda, tehdit aktörleri bize bağlı kuruluşların iç ağlara erişimini sağlamak için birden fazla Hizmet Olarak Fidye Yazılımı operasyonu için çalıştıklarını söylediler. Bazı durumlarda, bu saldırganlar verileri çalacak ve verilerin kendisi için değerli olduğunu düşünürlerse kendileri için saklayacaktır.
Bu yeni gasp grubu, çalınan verilerin, her biri kurbanları gasp etmek için kendi yöntemlerini deneyen birden fazla grubun eline nasıl geçtiğini gösteriyor.
Ayrıca, fidye talebini ödemenin verilerinizin sızdırılmasını her zaman engellemeyebileceğini ve yine de daha fazla gasp taleplerine yol açabileceğini gösteriyor.