BlackCat (ALPHV) fidye yazılımı çetesi, Şubat ayında Reddit’e yapılan ve tehdit aktörlerinin şirketten 80 GB veri çaldığını iddia ettiği bir siber saldırının arkasında.
9 Şubat’ta Reddit, bir çalışanın bir kimlik avı saldırısına kurban gitmesinin ardından 5 Şubat’ta sistemlerinin saldırıya uğradığını açıkladı .
Bu kimlik avı saldırısı, tehdit aktörlerinin Reddit’in sistemlerine erişmesine ve dahili belgeleri, kaynak kodunu, çalışan verilerini ve şirketin reklamverenleri hakkındaki sınırlı verileri çalmasına izin verdi.
Reddit CTO’su Christopher Slowe, diğer adıyla KeyserSosa, “Saldırgan, tek bir çalışanın kimlik bilgilerini başarıyla aldıktan sonra, bazı dahili belgelere, kodlara ve ayrıca bazı dahili panolara ve iş sistemlerine erişim elde etti . “
“Birincil üretim sistemlerimizin (yığınımızın Reddit’i çalıştıran ve verilerimizin çoğunu depolayan bölümleri) ihlal edildiğine dair hiçbir belirti göstermiyoruz.”
Ancak Reddit, üretim sistemlerinin ihlal edilmediğini ve hiçbir kullanıcı şifresinin, hesabının veya kredi kartı bilgisinin etkilenmediğini söyledi.
Reddit, oltalama saldırısıyla ilgili pek fazla ayrıntı paylaşmazken, bunun Riot Games’e yapılan ve bilgisayar korsanlarının sistemlere erişim sağlayarak League of Legends (LoL), Teamfight Tactics (TFT) için kaynak kodunu çalmasına olanak tanıyan bir kimlik avı saldırısına benzediğini söylediler. ve şirketin Packman’ın eski hile karşıtı platformu.
Riot’a yapılan saldırı sırasında tehdit aktörleri, çalınan verilerin sızdırılmaması için 10 milyon dolar talep etti . Ancak fidye ödenmeyince, tehdit aktörleri verileri bir bilgisayar korsanlığı forumunda 1 milyon dolara satmaya çalıştı.
Reddit hack’inin arkasındaki BlackCat
İlk olarak Dominic Alvieri tarafından fark edildiği ve BleepingComputer ile paylaşıldığı üzere, daha yaygın olarak BlackCat olarak bilinen ALPHV fidye yazılımı operasyonu, şimdi 5 Şubat’ta Reddit’e yapılan siber saldırının arkasında olduğunu iddia ediyor.
Çetenin veri sızdırma sitesindeki bir “Reddit Dosyaları” gönderisinde, tehdit aktörleri saldırı sırasında şirketten 80 GB sıkıştırılmış veri çaldıklarını ve şimdi de verileri sızdırmayı planladıklarını iddia ediyor.
Tehdit aktörleri, 13 Nisan ve 16 Haziran tarihlerinde Reddit ile iki kez iletişime geçmeye çalıştıklarını ve verilerin silinmesi için 4,5 milyon dolar talep ettiklerini ancak bir yanıt alamadıklarını söylüyor.
Fidye yazılımı operasyonu, “Onlara ilk e-postamda halka arzlarının gelmesini bekleyeceğimi söyledim. Ancak bu mükemmel bir fırsat gibi görünüyor! Reddit’in verileri için herhangi bir para ödemeyeceğinden çok eminiz” dedi.
“Ama halkın, kullanıcıları hakkında takip ettikleri tüm istatistikleri ve aldığımız tüm ilginç gizli verileri okuyabileceğini bilmek beni çok mutlu ediyor. Kullanıcıları da sessizce sansürlediklerini biliyor muydunuz? GitHub’larından eserlerle birlikte! “
Reddit, BlackCat’in gönderisi hakkında yorum yapmaktan kaçınırken, BleepingComputer bunun Reddit tarafından Şubat ayında açıklanan saldırıyla aynı olduğunu doğrulayabildi.
BlackCat bir fidye yazılımı çetesi olsa da bu saldırıda cihazları şifrelemediklerini belirtelim.
Aynı bilgisayar korsanlığı grubunun , Mart 2023’te Western Digital’e yapılan ve şirketin My Cloud bulut hizmetinde büyük bir kesintiye neden olan benzer bir saldırıyla bağlantılı olduğuna inanılıyor .
Western Digital saldırısının arkasındaki tehdit aktörleri başlangıçta bir isme sahip olmadıklarını iddia ederken, tehdit aktörlerinin saldırı hakkında şirketle alay etmesiyle çalınan verilerin ekran görüntüleri ALPHV veri sızıntısı sitesinde sızdırıldı .
Western Digital, Mayıs ayında çevrimiçi mağaza müşterilerini verilerinin saldırı sırasında çalındığı konusunda uyaran veri ihlali bildirimleri gönderdi.
Kaynak: https://www.bleepingcomputer.com/