Otomotiv yan sanayide 800 endpoint ransomware · 9 günde tam kurtarma
Marmara'da bir otomotiv yan sanayi firması cuma akşamı LockBit varyantı ile karşılaştı. 800 endpoint + 12 PLC şifrelendi · üretim hattı 9 gün durdu. DSET olay müdahale + adli bilişim + sıkılaştırma süreciyle fidye ödemeden tam kurtarma.
01 Karşılaşılan Durum
Cuma 22:14'te bakım pencereli sonrasında LockBit 3.0 varyantı ağda yatay yayıldı. Pazartesi sabahına kadar 800 Windows endpoint · 12 Siemens PLC · 3 dosya sunucu · 1 ERP DB şifrelendi. Talep edilen fidye 1.8M USD. Otomotiv OEM müşterileri 'tedarik edemiyorsanız sözleşme iptal' uyarısı verdi. Tedarik zinciri kesintiye dakikada 12.000 € kayıp yansıyordu.
02 DSET'in Yaklaşımı
T+0 · İlk müdahale
DSET olay müdahale ekibi 47 saniyede telefonla bağlantı kurdu · 2 saat 11 dakikada sahada. Network'te lateral movement'ı izole etmek için 3 önemli core switch'i offline aldık.
T+8h · Forensic toplama
Etkilenen sistemlerin imajlarını aldık. Initial access vector tespit edildi: 4 hafta önce tedarikçi VPN üzerinden brute force ile giren saldırgan dormant beklemiş.
T+24h · Decryption analizi
LockBit 3.0 builder leak'ini kullanarak şifreleme anahtarlarının yeniden üretilebilirliğini test ettik. Bazı dosyalar için key recovery mümkün oldu.
T+72h · Backup forensics
Offline tape backuplar (3-2-1 stratejisinin -1'i) saldırgan tarafından yok edilmemişti. 14 gün önceki tam yedeğe restore başladı.