Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve FBI, Avustralya Siber Güvenlik Merkezi ile koordinasyon halinde, Citrix Bleed güvenlik açığının LockBit 3.0 fidye yazılımı tarafından istismar edilmesine ilişkin güncellenmiş bir tavsiye yayınladı. Rusya bağlantılı bu siber suç grubu, Ekim 2023'te yamalanmadan önce haftalarca gizlice istismar edilen Citrix Sistemlerinde daha önce tespit edilmemiş bir açığı kullanarak Boeing Co. şirketinin bir yan kuruluşunu hedef aldı.
Güncellenen danışmanlık, CVE-2023-4966 olarak bilinen güvenlik açığının Ekim ayında yamanmasından önceki ilk saldırılara ilişkin bilgiler içeriyor. Mandiant bu ilk saldırıları doğruladı ve ayrıntılar Boeing Distribution Inc. şirketinin bu fidye yazılımı türüyle kendi karşılaşmasına dayanarak sağlandı. CISA'nın yönetici müdür yardımcısı Eric Goldstein, olay sırasında gözlemlenen tehlike göstergelerini (IOC'ler) ve taktik, teknik ve prosedürleri (TTP'ler) açıkladı.
Bu ayın başlarında LockBit, 2 Kasım'da Boeing'e bir fidye talebi yayınladı ve şirketi veri sızıntısı sitesinden kısa bir süre için kaldırdı, ancak 10 Kasım için yeni bir son tarih belirleyerek yeniden listeledi. Bu hareket, fidye pazarlıklarının sürmekte olabileceğini düşündürdü. Boeing, dağıtım iştirakinde bir siber güvenlik olayı olduğunu kabul etmesine rağmen, o sırada fidye yazılımı veya Citrix Bleed ile bağlantısı hakkında ayrıntı vermedi.
Boeing ve FBI arasındaki işbirliği, yaklaşık 300 kuruluşun sistemlerinin güvenlik açıkları konusunda uyarılmasında çok önemliydi ve bu siber güvenlik tehdidine yanıt verilmesinde önemli bir rol oynadı. CISA'dan Eric Goldstein, hem siber suçluların hem de ulus devlet aktörlerinin veri hırsızlığı ya da ağlara daha fazla erişim sağlamak için Citrix Bleed'i kullanma potansiyelinin altını çizdi. Goldstein ayrıca Boeing Distribution Inc. şirketine yapılan LockBit saldırısının ardından Boeing'in kamu-özel sektör işbirliğinden övgüyle söz etti ve bu işbirliğinin CISA'ya önemli teknik veriler sağladığını belirtti.
LockBit 3.0, ICBC, İngiltere Kraliyet Postası ve bir İngiliz fintech firmasına yönelik olanlar da dahil olmak üzere çeşitli yüksek profilli siber saldırılarda aktif rol oynamıştır. Bir siber saldırının Boeing'in parça web sitesini Ekim 2023'te çevrimdışı hale getirmesinin ardından LockBit, ilk fidye süresinin geçmesinin ardından sözde şirket belgelerini çevrimiçi olarak yayınladı. Boeing, bu ihlalden kaynaklanan uçuş güvenliği riski bulunmadığını savunuyor.
Bu makale yapay zekanın desteğiyle oluşturulmuş, çevrilmiş ve bir editör tarafından incelenmiştir. Daha fazla bilgi için Şart ve Koşullar bölümümüze bakın.