“En tehlikeli mali suç gruplarından biri” ve giderek karmaşıklaşıyor. Bu, Microsoft’un, en son çarpıcı derecede yıkıcı MGM ve Caesars Entertainment fidye yazılımı saldırılarını gerçekleştirdiği için haberlerde yer alan 0ktapus siber saldırı topluluğu hakkındaki değerlendirmesidir.
İngilizce konuşan grup (aka Scatter Swine, UNC3944 veya Microsoft’un adlandırdığı şekliyle “Octo Tempest”) genellikle ortadaki rakip (AitM) teknikleriyle, hedefleri doğrudan çağırmayı içeren sosyal mühendislikle ve SIM değiştirmeyle ilgileniyor. Kripto para hırsızlığı, veri sızıntısı gaspı ve fidye yazılımı saldırıları gerçekleştirdiği biliniyor (2023 ortalarında BlackCat/ALPHV üyesi oldu). Eylül ayındaki kumarhane/konukseverlik galibiyetlerinin yanı sıra, geçtiğimiz ağustos ayında yaygın Twilio sızıntısı da dahil olmak üzere bir dizi saldırıda Okta kimlik bilgilerini başarılı bir şekilde ele geçirme konusunda uzmanlaşarak adından söz ettirmişti.
Bu hafta ayrıntılı bir Microsoft analizine göre tehdit, son kampanyalarda gelişme gösteriyor ve kuruluşların aktif olarak hazırlanması gereken dikkate değer düzeyde bir karmaşıklık sergiliyor.
0ktapus’un cephaneliğinin ayrıntılı ayrıntılarını inceleyen rapora göre, “Octo Tempest’in karmaşık hibrit ortamlarda gezinmek, hassas verileri sızdırmak ve verileri şifrelemek için çeşitli taktiklerden yararlandığını gözlemledik.” “Octo Tempest, pek çok kuruluşun tipik tehdit modellerinde sahip olmadığı ticari beceriden yararlanıyor. Octo Tempest’in saldırılarının iyi organize edilmiş, üretken doğası, kapsamlı teknik derinliğin ve klavyeyi kullanan çok sayıda operatörün göstergesidir.”
0ktapus’un Eşsiz Tekniği
Örneğin Microsoft, 0ktapus’un yakın zamanda veri taşıma platformu Azure Data Factory’yi ve otomatik geliştirme süreçlerini kullanarak benzersiz bir tekniğe dönüştüğü konusunda uyardı; Amaç, saldırganın kontrol ettiği Güvenli Dosya Aktarım Protokolü (SFTP) sunucuları aracılığıyla kurbanın meşru büyük veri operasyonlarının ortasında saklanmak amacıyla veri sızdırmak gibi görünüyor.
Microsoft’a göre “Ayrıca tehdit aktörü, SharePoint belge kitaplıklarının içeriğini dışa aktarmak ve veri sızmasını hızlandırmak için genellikle Veeam, AFI Backup ve CommVault gibi meşru Microsoft 365 yedekleme çözümlerini kaydediyor.”
KnowBe4’ün veri odaklı savunma savunucusu Roger Grimes, 0ktapus’un geniş yelpazedeki olası saldırı ve saldırı amaçlarının kuruluşlar için zorluklar yarattığını belirtti.
E-postayla gönderdiği bir açıklamada, “Her kuruluş, bu saldırıların riskini en iyi şekilde azaltmak için en iyi politika, teknik savunma ve eğitim kombinasyonunu kullanarak en iyi derinlemesine savunma siber savunma planını oluşturmalıdır” dedi. “Bu saldırıların yöntemleri ve karmaşıklığı çalışanlarla paylaşılmalıdır. Çok sayıda örneğe ihtiyaçları var. Çalışanların çeşitli siber saldırı yöntemlerini tanıyabilmesi ve bunları nasıl tanıyacakları, hafifletecekleri ve uygun şekilde rapor edecekleri öğretilmelidir.”
“%50 ila %90’ının sosyal mühendislik içerdiğini ve %20 ila %40’ının yama yapılmamış yazılım ve ürün yazılımını içerdiğini biliyoruz, dolayısıyla bir kuruluşun bu iki saldırı yöntemiyle en iyi şekilde mücadele etmek için yapabileceği her şey, muhtemelen başlaması gereken yerdir.”