İsviçreli finans kurumu Habib Bank AG Zürih, bir fidye yazılımı grubunun yaklaşık 2,5 terabayt dahili veriyi çalma sorumluluğunu üstlenmesinin ardından büyük bir siber saldırı raporlarını araştırıyor. Qilin olarak bilinen saldırganlar, bankadan hassas müşteri bilgileri ve dahili belgeler de dahil olmak üzere yaklaşık iki milyon dosya elde ettiklerini söyledi.
Grup, iddiayı 5 Kasım’da sızıntı sitesinde yayınladı ve pasaport taramalarını, banka hesap bakiyelerini, işlem kayıtlarını ve bankanın dahili yazılım kodunun bölümlerini gösteren ekran görüntüleri yayınladı. Sızdırılan materyali inceleyen siber güvenlik araştırmacıları, ihlalin henüz bağımsız olarak doğrulanmamasına rağmen, bunun bir finans kurumundan alınan verilerle tutarlı göründüğünü söyledi.
1967 yılında kurulan Habib Bank, İsviçre, Birleşik Krallık, Birleşik Arap Emirlikleri, Hong Kong ve Kenya dahil olmak üzere çeşitli bölgelerde faaliyet göstermektedir. Şirket, dünya çapında yaklaşık 8,000 şubede 600’e yakın kişiyi istihdam ediyor ve geçen yıl yaklaşık 750 milyon dolar gelir bildirdi. Banka henüz olayla ilgili kamuya açık bir yorumda bulunmadı veya sistemlerinin ele geçirilip geçirilmediğini doğrulamadı.
Doğrulanması halinde ihlal, bu yıl bir Avrupa finans kuruluşuna yönelik en ciddi saldırılardan biri olacak. Alındığı iddia edilen verilerin ölçeği, saldırganların operasyonel sistemlere derin erişime sahip olduğunu gösteriyor. Siber güvenlik uzmanları, dahili kaynak kodunun dahil edilmesinin daha fazla saldırıya izin verebileceğini veya bankanın dijital altyapısındaki zayıflıkları ortaya çıkarabileceğini söylüyor.
Birkaç büyük gasp kampanyasıyla bağlantılı olan Qilin grubu, tipik olarak çifte gasp modeli kullanır. Kurbanların sistemlerini şifreler ve büyük miktarda veri çalar, ardından fidye ödenmediği takdirde çalınan bilgileri serbest bırakmakla tehdit eder. Grubun sızıntı alanındaki kamuya açıklama, genellikle mağdur kuruluş üzerindeki baskıyı ve itibar kaybını artırmak için kullanılır.
Finansal kurumlar, sahip oldukları hassas bilgilerin hacmi ve saldırganların elde edebileceği potansiyel finansal kaldıraç nedeniyle bu tür operasyonların sık sık hedefi olmaya devam ediyor. Bankalar ayrıca birden fazla yargı alanında birbirine bağlıdır ve bu da müdahale ve düzenleyici gözetimi karmaşık hale getirir. Uzmanlar, fidye yazılımı gruplarının genellikle eski sistemlerden, üçüncü taraf yazılım bağımlılıklarından ve hızlı bir şekilde yamalanması zor olan karmaşık eski altyapıdan yararlandığı konusunda uyarıyor.
Habib Bank müşterileri için kişisel tanımlayıcıların ve işlem kayıtlarının potansiyel olarak açığa çıkması, dolandırıcılık ve kimlik hırsızlığı riskini artırır. Sızan veriler gerçekse, hesap sahiplerini ve personeli hedef alan kimlik avı veya sosyal mühendislik girişimlerine de olanak sağlayabilir. İsviçre ve Birleşik Krallık’taki yetkililerin, bankanın veri koruma yasası kapsamında düzenleyicileri veya etkilenen müşterileri bilgilendirmesi gerekip gerekmediğini gözden geçirmesi bekleniyor.
Soruşturmalar artık ihlalin boyutunu doğrulamaya ve saldırganların nasıl erişim sağladığını belirlemeye odaklanıyor. Adli tıp ekipleri muhtemelen güvenliğin dahili sistemlerden mi, satıcı erişiminden mi yoksa çalışanların kimlik bilgilerinden mi kaynaklandığını inceliyor. Dahili kaynak kodunun alındığı iddiası göz önüne alındığında, bankanın yazılım geliştirme araçlarını denetlemesi ve yeni açığa çıkan koddan yararlanma girişimlerini izlemesi gerekebilir.
Finansal kurumlara yönelik fidye yazılımı saldırıları daha yapılandırılmış ve profesyonel hale geliyor. Analistler, tehdit aktörlerinin fırsatçı kimlik avından, veri hırsızlığını finansal gasp ve piyasa manipülasyonu ile birleştiren çok aşamalı kampanyalara geçtiğini söylüyor. Suç grupları artık kurumsal tarzda hiyerarşilerle faaliyet gösteriyor ve genellikle veri aklama, müzakere ve altyapı bakımı için ortaklara güveniyor.
Bu dava aynı zamanda güvenlik ve şeffaflığı dengeleme konusunda süregelen zorluğu da yansıtıyor. Bankalar, piyasa güveni üzerindeki potansiyel etkisi nedeniyle siber olayları nadiren hemen teyit eder. Bununla birlikte, sızıntı siteleriyle ilgili kamuya açık iddialar hızla bir yanıt verilmesini zorlayabilir. Qilin grubu daha fazla veri yayınlarsa, düzenleyiciler ve kolluk kuvvetleri sınır ötesi bir soruşturmayı koordine etmek için müdahale edebilir.
Daha geniş finans sektörü için bu olay, operasyonel dayanıklılığın uyumluluk denetimlerinden veya standart siber güvenlik sertifikalarından daha fazlasına bağlı olduğunu bir kez daha hatırlatıyor. Kurumlardan gerçek zamanlı izlemeyi benimsemeleri, anormal dosya aktarımlarının tespitini iyileştirmeleri ve dahili erişim kontrollerini güçlendirmeleri isteniyor. Düzenli güvenlik testleri, personel bilinçlendirme programları ve dış denetimler de gerekli kabul edilir.
Habib Bank vakası, köklü finans kurumlarının bile modern fidye yazılımı saldırılarına karşı savunmasız olduğunu gösteriyor. İddiaların doğru olduğu kanıtlanırsa, hem müşteri verilerinin hem de kaynak kodunun açığa çıkması banka ve müşterileri için uzun vadeli sonuçlar doğurabilir. Soruşturmalar devam ederken olay, fidye yazılımlarının küresel bankacılık sektörü için en yıkıcı ve maliyetli tehditlerden biri olmaya devam ettiğine dair artan kanıtlara katkıda bulunuyor.