Tehdit istihbaratı firması Resecurity'in 11 Haziran'da yayımladığı analize göre, Anubis fidye yazılımı grubu Adriyatik Liman Otoritesi'ne (Autorità di Sistema Portuale del Mare Adriatico Centrale) siber saldırı düzenledi. İtalya'nın Ancona limanını yöneten otorite, ihlalin 11 Aralık 2025'te gerçekleştiğini ve Anubis'in Ocak 2026'da verileri sızdırarak sorumluluğu üstlendiğini doğruladı. Saldırı, liman operasyonlarını durma noktasına getirirken, gemilerin rotaları değiştirildi ve 10 milyon dolar Bitcoin fidyesi talep edildi.
Yetkililer, kaybın verilerin yalnızca %2'si olduğunu ve yedeklemeler sayesinde çoğu verinin kurtarıldığını belirtse de, çalınan bilgiler arasında çalışan kayıtları, sözleşmeler ve en kritiği liman güvenlik planları ile güvenlik operasyon detayları yer alıyor. Resecurity, bu tür hassas bilgilerin kaçakçılık veya içeriden adam toplama faaliyetleri yürüten gruplar için biçilmiş kaftan olduğunu vurguluyor. Çalınan verilerin bir kısmı karanlık ağda (dark web) yayınlanmış durumda.
Saldırının vektörü, limanı yöneten şirketin çalışanlarına gönderilen hedefli bir oltalama (spear-phishing) e-postası olarak belirlendi. Saldırganlar, bu e-posta aracılığıyla sisteme sızdıktan sonra yanal hareketle (lateral movement) çekirdek sistemlere erişti. Resecurity, saldırının operasyonel teknolojiyi (OT) hedef almadığını, tamamen bilişim teknolojisi (IT) zafiyetlerinden yararlandığını belirtiyor. Güvenli olmayan Office 365 ve Azure bulut hesapları, saldırganların işini kolaylaştırdı.
Detaylar ve Etkileri
Anubis grubu, Aralık 2024'te ortaya çıktı ve Şubat 2025'te bir ortaklık programı başlattı. Fidye yazılımı hizmeti (RaaS) modeliyle çalışan grup, çifte gasp (double extortion) taktiği uyguluyor. Ortaklarına fidye yazılımı dağıtımında %80, veri gaspında %60 ve ilk erişim aracılığında %50 komisyon sunuyor. Grubun, sağlık, inşaat ve mühendislik sektörlerindeki kurbanlardan 20 milyon doların üzerinde gelir elde ettiği iddia ediliyor.
Resecurity, Anubis'i internete açık sistemlerdeki bilinen ancak yamalanmamış güvenlik açıklarını kitlesel olarak sömürmekle ilişkilendiriyor. Bunlar arasında çok faktörlü kimlik doğrulama (MFA) kullanılmayan SonicWall VPN'ler, SolarWinds Web Help Desk (CVE-2025-26399), Cisco SSL VPN'ler ve CitrixBleed 2 (CVE-2025-5777) açıkları bulunuyor. Bu zafiyetler, saldırganların sisteme sızması için kritik öneme sahipti.
Adriyatik Limanı saldırısı, Maersk'ten Japonya'nın Nagoya Limanı'na kadar uzanan bir dizi fidye yazılımı saldırısının son halkası. Uzmanlar, limanların eskiyen bilişim altyapısı ve düşük siber güvenlik olgunluğu nedeniyle giderek daha savunmasız hale geldiğini belirtiyor. Dijitalleşmenin saldırı yüzeyini genişletmesi, denizcilik sektörünü 2030'a kadar daha büyük tehditlerle karşı karşıya bırakacak. Liman otoritelerinin, siber güvenlik yatırımlarını hızlandırması ve çalışanlarına düzenli eğitim vermesi hayati önem taşıyor.
Kaynak: infosecurity-magazine.com