Askul’daki Ransomware Saldırısının Detayları
Japon e-ticaret devi Askul Corporation, Ekim ayında yaşanan bir ransomware saldırısında yaklaşık 740,000 müşteri kaydının çalındığını duyurdu. Yahoo! Japan Corporation’a ait olan Askul, hem işletmelere hem de bireysel müşterilere ofis malzemeleri ve lojistik hizmetleri sunan geniş bir e-ticaret platformudur.
Saldırı, şirketin IT sisteminde büyük bir arızaya yol açtı ve bu durum, perakende devi Muji de dahil olmak üzere, müşterilere yapılan gönderileri askıya almak zorunda bıraktı. Yapılan soruşturmalar sonucunda, ifşa edilen verilerin kapsamı ve etkileri belirlendi. Çalınan veriler arasında:
- İşletme müşteri hizmeti verileri: yaklaşık 590,000 kayıt
- Bireysel müşteri hizmeti verileri: yaklaşık 132,000 kayıt
- İş ortakları (taşeronlar, aracılar, tedarikçiler): yaklaşık 15,000 kayıt
- Yönetici ve çalışanlar (grup şirketleri dahil): yaklaşık 2,700 kayıt
Hedeflenen Veri ve Koruma Önlemleri
Askul, bilgilere yönelik kötüye kullanımı önlemek amacıyla bazı detayların gizli tutulduğunu belirtti. Ayrıca, kişisel verilerin korunması için ülkenin Kişisel Verileri Koruma Komisyonu’na bilgi vererek çalınan verilerin kötüye kullanılmasını önlemek amacıyla uzun vadeli izleme sistemleri kurduğunu da açıkladı.
Ancak, 15 Aralık itibarıyla, sipariş gönderimleri hâlâ etkilenmeye devam etmekte ve şirket sistemlerini tamamen geri yüklemek için çalışmaya devam etmektedir.
RansomHouse Saldırısının Altında Yatan Sebepler
Saldırıyı gerçekleştiren RansomHouse fidye grubu, Ekim 30 tarihinde ihlali duyurdu ve ardından Kasım 10 ile Aralık 2 tarihlerinde iki veri sızıntısı gerçekleştirdi.
Askul, saldırganların ağlarına nasıl sızdıklarını detaylandırdı. Saldırganlar, dış kaynaklu bir partnerin yöneticisine ait, çok faktörlü kimlik doğrulamasının (MFA) olmadığı bir hesap için ele geçirilmiş kimlik bilgilerini kullandılar. Başarılı bir şekilde ilk sızmayı gerçekleştirdikten sonra, ağın keşfine çıktılar ve birden fazla sunucuya erişim sağlamak için kimlik bilgilerini toplama girişiminde bulundular.
Askul, saldırıda birden fazla ransomware varyantının kullanıldığını ve bazılarının güncellenmiş EDR imzalarını atladığını belirtti. Ayrıca, ransomware zararlısı aynı anda birden fazla sunucuya dağıldı ve yedek dosyalar silinerek kolay kurtarılmalarının önüne geçildi.
Şirketin Aldığı Önlemler
Saldırıya yanıt olarak, Askul, etkilenen ağları fiziksel olarak ayırdı, veri merkezleri ile lojistik merkezleri arasındaki iletişimi kesti ve etkilenen cihazları izole etti. Ayrıca, EDR imzalarını güncelledi ve tüm ana sistemlere MFA uyguladı. Tüm yönetici hesaplarının şifreleri sıfırlandı.
Saldırının finansal etkileri henüz net bir şekilde belirlenemedi ve Askul, detaylı bir finansal değerlendirme yapmak için planlanan kazanç raporunu erteledi.
Bu tür siber saldırılar, büyük işletmeler için ne denli yıkıcı olabileceğinin somut bir örneğidir. Verilerin korunması için gerekli önlemlerin alınması, hem müşterilere hem de şirketin itibarına olan zararları minimize etmek açısından son derece önemlidir.
