Siyah şapka hacker grubu Maze, Corona virüs ile ilgili araştırma yapan bir şirketin altyapısına fidye yazılımı ile sızarak hassas verileri çaldı ve yayınladı.

Tıbbi bilgiler çalındı

Siber güvenlik şirketi Emsisoft, 23 Mart'ta Cointelegraph'a yaptığı açıklamada Maze grubunun Birleşik Krallık merkezli sağlık şirketi Hammersmith Medicines Research'e sızdıklarını söyledi. Yayınlanan verilerin arasında tıbbi testlere katılan gönüllülerin pasaport bilgileri, tıbbi geçmişi ve testlerin detayı gibi hassas veriler yer alıyor. Emsisoft tehdit analisti Brett Callow, şöyle belirtti:

“Veriler, internet bağlantısına sahip herkes tarafından erişilebilir durumda. Suçlular çalınan tüm verileri yayınlamadılar. Çalışma tarzları ilk önce ele geçirdikleri şirketlerin isimlerini web sitesinde yayınlamak, ödeme yapmaya ikna olmazlar ise daha sonra verilerin bir kısmını yayınlamak, ki bu durumda da öyle olmuş gözüküyor.’”

ComputerWeekly'nin haberine göre Hammersmith Medicines Research, gün sonunda sistemlerini tekrar çalışır hale getirdi. Callow, ''Sistemlerini yedeklemelerden hızlıca kurtardılar.'' diye belirtti. Callow, aynı zamanda saldırganların web sitesinde yayınlanan verilerin de artık erişilebilir olmadığını ekledi:

“ComputerWeekly'nin haberinden sonra HMR'dan çalınan veriler suçluların web sitesinden 'geçici olarak' kaldırıldı. Fakat problem şurada: Diğer suçlular bu verileri indirip kendi çıkarları için kullanabilirler.”

Callow, fidye talebinin ne kadar olduğunu bilmediğini açıkladı. Diğer yanda grup, daha önce verilere erişimi geri vermek için 1 milyon dolar değerinde Bitcoin, verilerin kopyalanmasını ve yayınlanmasını durdurmak için ise 1 milyon dolar değerinde daha Bitcoin talep etmişti.

Maze, şubat ayında ABD'li beş hukuk firmasını da ele geçirmiş ve verilerin kurtarılması ve kopyalanmasının durdurulması için 100 Bitcoin talep etmişti. Callow, fidyecilerin neredeyse tüm zamanlarda Bitcoin ile ödeme talep ettiklerini belirtti:

“Fidye taleplerinin yüzde 99'u Bitcoin ile oluyor. Maze'in tercihi de şimdiye kadar öyle oldu.”

Suçlular Robin Hood değil

Maze, geçmiş olaylarda çalıntı verileri Rus siber suç forumlarında yayınlamış ve ''Bunu istediğiniz kötü amaçlar ile kullanın.'' notunu eklemişti. Callow, Maze gibi fidyeci grupların salgın zamanı saldırılarını durdurduklarını yazan çok sayıda yayını eleştirdi:

“Göz ardı edilemeyecek sayıda birçok yayın, Maze dahil bazı fidyeci grupların Covid-19 salgını boyunca tıbbi kuruluşları rahat bırakacaklarını duyurduklarını aktardı. O zamandan beri bu grupların Robin Hood gibi değerlendirildiğine şahit oluyorum. Bu olay, suçlulara güven olmayacağını ve onlara söz hakkı vermenin hata olacağını kanıtlamış oldu.”