İtalyan tekstil üreticisi Fulgar, şirketi ulusal BT ağını kapatmaya ve sistemlerini adli incelemeye başlamaya zorlayan bir fidye yazılımı saldırısının etkisini değerlendiriyor. Olay, 3 Kasım’da güvenlik ekiplerinin izinsiz girişe işaret eden olağandışı bir faaliyet tespit etmesiyle tespit edildi. Fulgar, saldırıyı bir kamu duyurusunda bildirdi ve şirket henüz herhangi bir spesifik veri ifşası vakasını doğrulamamış olsa da, dahili verilere erişimin gerçekleşmiş olabileceğini belirtti.
Fidye yazılımı grubu RansomHouse daha sonra sorumluluğu üstlendi ve Fulgar’ın adını sızıntı sitesinde yayınladı. Gruba göre, iddiayı Kasım ortasında kamuoyuna açıklamadan önce 31 Ekim’de şirketin sistemlerine sızmaya başladı. Saldırganlar, dahili finansal bilgiler ve yazışmalar içeriyor gibi görünen bir dizi örnek dosya yayınladı. Bu tür örneklerin yayınlanmasının ardındaki amaç, verilerin izinsiz giriş sırasında alındığını göstererek mağdurları müzakerelere zorlamaktır.
Fulgar, çok çeşitli küresel markalar için sentetik iplikler ve teknik elyaflar üretmektedir. Malzemeleri spor giyim, iç çamaşırı, çorap ve teknik kumaşlarda kullanılmaktadır ve şirketin İtalya, Sri Lanka ve Türkiye’de tesisleri bulunmaktadır. Müşterileri arasında Adidas ve H&M gibi uluslararası tanınmış şirketler olduğu için saldırı, küresel tedarik zincirlerindeki olayları takip eden güvenlik analistlerinin dikkatini çekti. Bu ölçekteki bir tedarikçideki bir aksaklık, sürekli malzeme üretimine bağımlı olan markalar için aşağı yönlü zorluklar yaratabilir.
Fulgar, saldırı tespit edildiğinde derhal güvenlik protokollerini başlattığını söyledi. Şirket, kritik sistemlerin bağlantısını kesti, harici siber güvenlik uzmanlarıyla temasa geçti ve yerel yetkilileri bilgilendirdi. Kamuoyuna yapılan açıklamada, olayın uzun vadeli etkisinin incelenmeye devam ettiği belirtildi. Fulgar, izinsiz girişin kapsamını anlamak ve herhangi bir kişisel veya ticari açıdan hassas bilginin sızdırılıp sızdırılmadığını belirlemek için çalıştığını belirtti.
Soruşturmanın erken aşaması, operasyonel etkiyle ilgili ayrıntıların sınırlı olduğu anlamına geliyor. Fulgar, herhangi bir tesisindeki üretim faaliyetlerinin BT ağının kapatılmasından etkilenip etkilenmediğini belirtmedi. Şirket, daha fazla hasarı veya veri kaybını önlemek için izinsiz girişi kontrol altına almaya ve sistemleri kontrollü bir şekilde geri yüklemeye odaklandı. Ayrıca soruşturma sırasında müşteri operasyonlarının devam edeceği belirtildi ancak herhangi bir gecikme veya aksaklık yaşanıp yaşanmayacağı belirtilmedi.
Saldırganlar tarafından gönderilen veriler ve potansiyel iş etkisi
RansomHouse tarafından yayınlanan örnek dosyalar, mali kayıtları, harici ortaklarla iletişimleri ve çeşitli faturaları listeleyen elektronik tabloları içerir. Müfettişler her belgenin gerçekliğini kamuya açık bir şekilde doğrulamamış olsa da, grup tarafından yayınlanan materyal, benzer saldırılarda alınan yaygın veri türleriyle uyumludur. Bu tür bilgiler fiyatlandırma yapıları, üretim programları veya stratejik planlama hakkında fikir verebilir. Saldırganların elinde bu bilgiler, çalışanları veya ortak şirketleri tehdit edebilecek hedefli kimlik avı girişimleri oluşturmak için de kullanılabilir.
Tedarikçilerden sızdırılan veriler, daha ikna edici kimliğe bürünme girişimlerine olanak tanıyan bir bağlam sunduğundan suç grupları için değerli olabilir. Saldırganların bir şirketin dahili olarak nasıl iletişim kurduğunu veya müşterileriyle ne tür belgeler alışverişinde bulunduğunu anladığını varsayalım. Bu durumda, ek tehlikelere yol açabilecek sahte mesajlar geliştirmek için daha iyi bir konumdadırlar. Bu risk, Fulgar’ın ötesinde, şirketle rutin iletişim halinde olan herhangi bir kuruluşa kadar uzanır.
Fulgar davası aynı zamanda Avrupa ve Asya’daki üreticileri etkileyen siber olayların sayısının arttığının da altını çiziyor. Endüstriyel şirketler, tümü saldırganlar için değerli olabilecek üretim verileri, lojistik bilgileri ve mali kayıtların bir karışımını işler. Bu ayrıntılar ortaya çıktığında diğer piyasa oyuncularına ticari avantaj sağlayabilecek rekabetçi bilgiler ortaya çıkabilir. Ayrıca saldırganlara daha geniş bir iş ortağı ağında var olan güvenlik açıkları hakkında fikir verebilirler.
RansomHouse, kurbanların taleplere uymadığı durumlarda verileri aşamalı olarak yayınlamasıyla tanınır. Grup, zamanla artan baskı taktikleri kullanıyor ve anlaşmaya varılamazsa genellikle ek dosyalar yayınlıyor. Bu model, operasyonlarını sürdürürken olayı yönetmeye çalışan şirketler için uzun süreli belirsizlik yaratır.
Fulgar, saldırının sonuçlarını değerlendirirken müfettişlerle birlikte çalışmaya devam ediyor. Dava aktif olmaya devam ediyor ve yetkililer soruşturmanın tamamının ne zaman sonuçlanacağına dair bir zaman çizelgesi yayınlamadı. Daha fazla bilgi ortaya çıktıkça, olayın uluslararası tedarik zinciri maruziyeti olan üreticileri etkileyen daha geniş bir modelin parçası olarak incelenmesi muhtemeldir.