ABD Sağlık ve İnsani Hizmetler Bakanlığı (HHS), bilgisayar korsanlarının artık Sağlık ve Kamu Sağlığı (HPH) sektöründeki BT yardım masalarını hedef almak için sosyal mühendislik taktikleri kullandığı konusunda uyarıyor.
Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi (HC3) tarafından bu hafta yayınlanan sektör uyarısında, bu taktiklerin saldırganların kendi çok faktörlü kimlik doğrulama (MFA) cihazlarını kaydettirerek hedeflenen kuruluşların sistemlerine erişmelerine olanak tanıdığı belirtiliyor.
Bu saldırılarda tehdit aktörleri, finans departmanı çalışanı gibi davranan kuruluşları aramak ve kurumsal kimlik ve sosyal güvenlik numaraları da dahil olmak üzere çalıntı kimlik doğrulama ayrıntılarını sağlamak için yerel alan kodunu kullanıyor.
Bu hassas bilgiyi kullanarak ve akıllı telefonlarının bozuk olduğunu iddia ederek BT yardım masasını, saldırganın kontrolü altında MFA’ya yeni bir cihaz kaydetmeye ikna ederler.
Bu onlara kurumsal kaynaklara erişim sağlıyor ve iş e-postası güvenliği saldırılarında banka işlemlerini yeniden yönlendirmelerine olanak tanıyor.
HC3, “Tehdit aktörü özellikle ödeme yapan web siteleriyle ilgili giriş bilgilerini hedef aldı ve ardından ödeme yapan hesaplarda ACH değişiklikleri yapmak için bir form gönderdi.” dedi. [PDF].
“Çalışanların e-posta hesaplarına erişim sağlandıktan sonra, ödeme işlemcilerine meşru ödemeleri saldırganların kontrolündeki ABD banka hesaplarına yönlendirmeleri için talimatlar gönderdiler.”
“Fonlar daha sonra denizaşırı hesaplara aktarıldı. Kötü niyetli kampanya sırasında, tehdit aktörü ayrıca hedef kuruluşun tek harfli varyasyonunu içeren bir alan adı kaydettirdi ve hedef kuruluşun Finans Direktörü’nün (CFO) kimliğine bürünen bir hesap oluşturdu.”
Bu tür olaylarda saldırganlar, hedefleri aldatmak için yapay zeka ses klonlama araçlarını da kullanabilir ve bu da kimliklerin uzaktan doğrulanmasını zorlaştırır. Bu artık çok popüler bir taktik; yakın zamanda yapılan küresel bir araştırmaya göre, insanların %25’i yapay zeka ses kimliğine bürünme dolandırıcılığı deneyimi yaşıyor veya bu deneyimi yaşayan birini tanıyor.
Dağınık Örümcek titreşimleri
Sağlık Bakanlığı uyarısında açıklanan taktikler, ilk ağ erişimini kazanmak için kimlik avı, MFA bombalaması (diğer adıyla MFA yorgunluğu) ve SIM değiştirmeyi de kullanan Dağınık Örümcek (diğer adıyla UNC3944 ve 0ktapus) tehdit grubu tarafından kullanılan taktiklere çok benziyor.
Bu siber suç çetesi, müşteri hizmetleri personelini kendilerine kimlik bilgileri sağlamaları veya hedeflerin ağlarına sızmak amacıyla uzaktan erişim araçları çalıştırmaları için kandırmak amacıyla sıklıkla BT çalışanlarının kimliğine bürünüyor.
Dağınık Spider korsanları yakın zamanda MGM Resorts’un sistemlerini BlackCat/ALPHV fidye yazılımını kullanarak şifreledi. Ayrıca Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games ve Best Buy dahil 130’dan fazla kuruluşu hedef aldıkları 0ktapus kampanyasıyla da ünlüler.
FBI ve CISA, Scattered Spider’ın çok sayıda yüksek profilli şirkete yönelik veri hırsızlığı ve fidye yazılımı saldırılarına yanıt olarak taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) vurgulamak için Kasım ayında bir tavsiye belgesi yayınladı.
Ancak HC3, şu ana kadar bildirilen benzer sağlık sektörü olaylarının henüz belirli bir tehdit grubuna atfedilmediğini söylüyor.
BT yardım masalarını hedef alan saldırıları engellemek için sağlık sektöründeki kuruluşlara şunları yapmaları tavsiye edilir:
- Parola sıfırlama ve yeni MFA cihazları isteyen çalışanların doğrulanması için geri arama yapılmasını zorunlu kılın.
- Şüpheli ACH değişikliklerini izleyin.
- Ödeme yapan web sitelerine erişimi olan tüm kullanıcıları yeniden doğrulayın.
- Hassas konularda şahsen yapılan talepleri değerlendirin.
- Denetçilerin istekleri doğrulamasını zorunlu kılın.
- Sosyal mühendislik tekniklerini belirleyip raporlamak ve arayanların kimliklerini doğrulamak için yardım masası personelini eğitin.