Rhysida fidye yazılımı grubu, büyük otomotiv şirketlerine alet ve malzeme sağlayan Michigan merkezli bir üretici olan Gemini Group’tan çalınan yaklaşık iki terabaytlık dahili veriyi yayınladı. Sızıntı, Ekim ayı sonlarında sona eren ve hem çalışanlara hem de müşterilere ait hassas kayıtları açığa çıkaran bir fidye süresinin ardından geldi.
Rhysida, Gemini Group’u sızıntı sitesinde listeledi ve 1,7 milyondan fazla dosya içeren yaklaşık 1,9 terabayt veri yayınladı. Çalınan malzemenin bordro kayıtlarını, sigorta belgelerini, müşteri veritabanlarını, iç iletişimleri ve üretim raporlarını içerdiği bildiriliyor. Güvenlik araştırmacıları, veri kümesinin finansal ayrıntıları, çalışanların kişisel bilgilerini ve şirket belgelerini içerdiğini ve bu belgelerin iç operasyonları ve fiyatlandırma yapılarını ortaya çıkarabileceğini doğruladı.
Gemini Group, Amerika Birleşik Devletleri ve Meksika’da 18 tesis işletiyor ve birkaç bin işçi çalıştırıyor. Şirket, bir siber güvenlik olayı yaşadığını doğruladı ancak saldırganların nasıl erişim sağladığı, fidye yazılımının dağıtılıp dağıtılmadığı veya herhangi bir fidye talebinin ödenip ödenmediği hakkında ayrıntılı bilgi vermedi. Firma, ihlalin kapsamını belirlemek için siber güvenlik uzmanları ve kolluk kuvvetleriyle birlikte çalıştığını söyledi.
31 Ekim’de yayınlanan veri sızıntısı, önemli gizlilik ve iş endişelerini artırıyor. İnternette dolaşan dosyalar, çalışan adlarını, iş unvanlarını, işe alım tarihlerini, doğum tarihlerini, adresleri, Sosyal Güvenlik numaralarını, maaş bilgilerini ve sağlık sigortası ayrıntılarını içeriyor gibi görünüyor. Bazı belgeler, ticari stratejileri ve ilişkileri açığa çıkarabilecek satın alma siparişlerine ve tedarikçi iletişimlerine de atıfta bulunur.
Siber güvenlik analistleri, bu tür ayrıntılı kişisel ve kurumsal verilerin açığa çıkmasının uzun vadeli sonuçları olabileceğini söylüyor. Sosyal Güvenlik numaraları gibi kişisel tanımlayıcılar kolayca değiştirilemez, bu da sürekli bir kimlik hırsızlığı ve mali dolandırıcılık riski oluşturur. Aynı zamanda, ticari verilerin yayınlanması, rakiplerin tedarik zinciri dinamiklerini veya fiyatlandırmayı incelemesine olanak tanıyarak Gemini Group’un iş ilişkilerine potansiyel olarak zarar verebilir.
Rhysida endüstriyel tedarik zincirlerini hedefliyor
İlk olarak 2023’te gözlemlenen bir fidye yazılımı operasyonu olan Rhysida, üretim, sağlık ve eğitim kurumlarına yönelik çok sayıda saldırıyla ilişkilendirildi. Grup, verileri çalmadan ve kamuya açıklanma tehdidinde bulunmadan önce genellikle güvenliği ihlal edilmiş kimlik bilgileri veya savunmasız uzaktan erişim sistemleri aracılığıyla erişim elde eder. Uzmanlar, Rhysida’nın, kesinti süresinin kurbanları fidye ödemeye zorlayabileceği kritik operasyonlara sahip kuruluşlara odaklandığına inanıyor.
Bu durumda, saldırganların sistem kesintisi yerine veri hırsızlığına öncelik verdiği görülüyor. Büyük hacimli belgelerin sızdırılması, itibara ve mali zarara yol açmak için tasarlanmış organize bir sızma sürecine işaret ediyor. Grubun duyurusu, Gemini Group’u “stratejik endüstriyel operatörler” olarak adlandırdığı bir kampanyanın parçası olarak tanımladı ve bu, diğer Kuzey Amerikalı üreticilerin dahil olduğu son olaylarla uyumlu bir iddia.
Güvenlik analistleri, üretim ve endüstriyel tedarik ağlarının, birbirine bağlı sistemleri ve üçüncü taraf satıcılara olan bağımlılıkları nedeniyle kilit hedefler haline geldiğini belirtiyor. Bir tedarikçideki ihlal, birden fazla şirketteki hassas bilgileri açığa çıkarabilir ve her saldırının ölçeğini artırabilir. Dijital tedarik zinciri koordinasyonunun önemli olduğu otomotiv üretimi gibi sektörlerde riskler tek bir firmanın ötesine uzanıyor.
Gemini Group’un ihlali, saldırganların tedarikçileri giderek daha büyük ağlara açılan kapılar olarak gördüklerini gösteriyor. Endüstriyel satıcılar genellikle hem suçlu hem de devletle bağlantılı tehdit aktörleri için değerli olan müşteri belgelerini, tasarım planlarını ve operasyonel verileri depolar. Uzmanlar, bu ağların büyük üreticilerle aynı siber güvenlik standartlarını gerektiren kritik altyapılar olarak ele alınması gerektiği konusunda uyarıyor.
Şirket, sızdırılan dosyaların gerçekliği hakkında kamuya açık bir yorumda bulunmadı, ancak örnekleri inceleyen siber güvenlik forumları, verilerin meşru göründüğünü bildiriyor. Gemini Group, harici müfettişlerle çalışmaya devam ederken, etkilenen çalışanlara kredi ve finansal hesapları izlemeleri ve çalınan bilgileri kullanan kimlik avı girişimlerini izlemeleri tavsiye ediliyor.
Olay, endüstriyel sektörlerdeki veri ihlalleri ile fidye yazılımı kampanyaları arasındaki artan örtüşmeyi vurguluyor. Sistemler çalışır durumda kalsa bile, gizli bilgilerin çalınması iş sürekliliğini bozacak kadar zarar verici olabilir. Gemini Group gibi şirketler için zorluk artık geniş bir satıcı ağındaki dijital operasyonları güvence altına alırken iş ortaklarına veri bütünlüğünün yeniden sağlanabileceği konusunda güvence vermekte yatıyor.