Kanada'nın Calgary kentindeki Mount Royal Üniversitesi (MRU), yaşadığı siber saldırının ayrıntılarını paylaştı. Üniversite, hackerların ağına sızarak dosya depolama sistemlerindeki verileri çaldığını ve ardından orijinal kopyaları silerek kurtarma çalışmalarını zorlaştırdığını açıkladı. 17 Haziran'da gerçekleşen siber saldırı, çevrimiçi hizmetler, internet erişimi ve bazı iç sistemler dahil olmak üzere geniş bir yelpazedeki üniversite sistemlerini etkiledi.
MRU, saldırıyı araştırmak ve kurtarma çalışmalarını desteklemek için teknik ekipler ve dış siber güvenlik uzmanlarıyla çalıştığını belirtti. 100 yılı aşkın geçmişe sahip olan devlet üniversitesi, 11.560 öğrenci ve 12.500 lisans öğrencisine ev sahipliği yapıyor. Yapılan incelemeler, saldırganın öğrenciler ve çalışanlar tarafından dosya depolama için kullanılan 'H sürücüsü'ndeki verilere eriştiğini ve bunları kopyaladığını, ardından orijinal dosyaları silerek kurtarma operasyonlarını aksattığını ortaya koydu.
Üniversite tarafından yapılan resmi açıklamada, 'Topluluğumuza, üzülerek bildiriyoruz ki soruşturmamız, Üniversitenin H sürücüsündeki belirli klasörlerdeki verilere yetkisiz bir aktör tarafından erişildiğini ve alındığını gösterdi' ifadelerine yer verildi. Saldırıdan etkilenen klasörlerde, mevcut ve eski öğrenciler, mevcut ve eski çalışanlar ile 'diğer bireyler' olarak tanımlanan belirsiz bir kategorinin bilgileri bulunuyor. Ayrıca saldırganlar, departman verilerini depolayan 'J' sürücüsünü de sildi. MRU, J sürücüsündeki verilere silinmeden önce erişilip erişilmediğine dair henüz bir kanıt bulunmadığını belirtti.
Nasıl Önlem Alınmalı?
Üniversite, J sürücüsündeki silinen verileri kurtarmak için çalıştıklarını ancak tam bir kurtarmanın mümkün olmayabileceğini ifade etti. Olay, Alberta Bilgi ve Gizlilik Komiserliği'ne ve kolluk kuvvetlerine bildirildi. Üniversite, maruz kalan verilerin kişiden kişiye değiştiğini ve silinmiş olması nedeniyle her birey için kesin etkinin belirlenmesinin karmaşık olduğunu ve zaman alacağını vurguladı. Etkilenen bireyler tespit edildiğinde, kişiselleştirilmiş bildirimlerle doğrudan bilgilendirilecekleri duyuruldu.
Uzmanların Görüşleri
Saldırıyı, CMD Organization adlı tehdit grubu üstlendi. Grup, çalındığı iddia edilen verilerin örneklerini (pasaport taramaları ve diğer hassas belgeler) yayınlayarak 30 BTC (yaklaşık 1,9 milyon dolar) fidye talep etti. Üniversiteye, fidye ödenmezse çalınan bilgilerin tamamını sızdırmak üzere altı gün süre verildi. CMD Organization, açık artırma benzeri bir sistem kullanarak çalınan verileri en yüksek teklif verene satmayı teklif ediyor. Tehdit grubu, gasp sitesinde 30 kuruluşu listeliyor ve hem açık hem de karanlık web portalını işletiyor.
Teknik Analiz
MRU, etkilenen sistemlerin kurtarılmasının birkaç hafta ile aylar arasında sürebileceğini ve yeni ayrıntılar ortaya çıktıkça güncellemeler yapılacağını belirtti. Üniversite, tüm mevcut çalışanlara ve son beş yıl içinde istihdam edilen bireylere iki yıllık kredi izleme ve kimlik hırsızlığı koruması sunuyor. Bu olay, eğitim kurumlarının siber güvenlik açıklarını bir kez daha gözler önüne sererken, hassas verilerin korunması için daha güçlü önlemler alınması gerektiğini hatırlatıyor.
Kaynak: bleepingcomputer.com