Siber suç, veri ihlali bildirimi, veri güvenliği
Uzmanlar Şüpheli Dağınık Örümcek Son Sigortacı İhlallerinin Döşemesinin Arkasında
Marianne Kolbasuk McGee (Healthinfosec) •
20 Haziran 2025
En büyük ABD Ek Sağlık Sigortası Sağlayıcısı AFLAC, son haftalarda sigorta şirketlerini hedefleyen koordineli bir kampanyanın en son kurbanı olduğunu söylüyor. Tehdit araştırmacıları, saldırıların tek bir siber suç grubuyla bağlantılı olabileceğini söylüyor.
Ayrıca bakınız: 2024 Sahtekarlık Anlaşmaları Raporu
Bir ABD Menkul Kıymetler ve Borsa Komisyonu dosyalama ve 12 Haziran’da keşfedilen olay hakkında kamuoyunun açıklamasında, “Bu saldırı, birçok sigorta şirketinin şu anda yaşadığı gibi, sofistike bir siber suç grubundan kaynaklandı. Bu, sigorta endüstrisine karşı bir siber suç kampanyasının bir parçasıydı.”
Bazı uzmanlar, AFLAC ve Pennsylvania merkezli iki sigorta şirketine yapılan son saldırıların siber suç çetesi dağınık örümceklerin tüm ayırt edici özelliklerine sahip olduğunu söyledi.
Güvenlik firması Silent Push tehdidi araştırmacısı Zach Edwards, “Dağılımlı Spider’ın sigorta endüstrisini bir kez daha hedeflemeye kaydırdığını gösteren özel ve halka açık olarak gördüğümüz güvenilir ayrıntılar var.” Dedi.
Diyerek şöyle devam etti: “Bu sektördeki tüm şirketlerin bu hedefleme ve potansiyel saldırılara hazırlanmanın farkında olması gerektiğine inanıyoruz. Bu sektörün son hedeflendiği zaman, sektörde en az 12 şirket gördük.”
AFLAC’ın açıklaması, Erie Insurance ve Philadelphia sigorta şirketleri olarak iş yapan Erie Tazminat Co. dahil olmak üzere 8 Haziran’dan bu yana en az iki büyük ABD sigortacısına saldırılara geliyor. Her iki şirket de olaylarından kurtulmaya devam ediyor (bkz: İki sigortacı, fidye yazılımı tabanlı değil, devam eden kesintileri söylüyor).
AFLAC gibi, bu sigortacılar da kamuya açık bir şekilde, şirketlerin girişleri içermek için çalıştıkça her birinin BT’nin katıldığı olaylarının fidye yazılımı şifrelemesini içermediğini belirtti.
Ne AFLAC ne de diğer sigorta şirketleri saldırılarının arkasına inanılan siber suç gruplarını kamuya açık bir şekilde adlandırmamış olsa da, bazı güvenlik uzmanları parmağın dağınık örümceğe işaret ediyor çünkü olayların özellikleri çetenin saldırılarıyla tutarlı.
Dağınık Örümcek, Marks & Spencer, Co-op ve İngiltere’deki Harrods dahil olmak üzere perakendecilere yönelik son saldırı dalgasının arkasında olduğuna inanılıyor (bkz: bkz: Dağınık örümcek artıda perakende sektörü).
Güvenlik firması Halcyon’un fidye yazılım araştırma merkezi kıdemli başkan yardımcısı Cynthia Kaiser, “Dağınık örümcek aktörleri, yüksek değerli verilere ve kesinti için düşük toleransa sahip hedeflere odaklanıyor, genellikle yeni bir sektördeki hedeflere geçmeden önce belirli bir sektördeki birden fazla hedefe odaklanıyor.” Dedi.
Halcyon yeni bir raporda, dağınık örümcek, şirket içi sistemleri, bulut hizmetlerini ve sanal ev sahiplerini kapsayan hibrid ortamlara nüfuz etmek için tasarlanmış gelişmiş sosyal mühendislik yakıtlı kimlik avı taktiklerini kullandığını söyledi.
Dağınık örümceğin diğer göstergeleri arasında “gizli ayrıcalık artma ve kalıcılık” yer alıyor. Halcyon, Active Directory Sertifika Hizmetlerinin Kötüye Kullanımı, İmzalı Korunmasız Sürücüler, İmzalı Sürücüler, Kimlik Bilgisi Döküm ve Tek İşaret Açma/Servis Hesaplarını/Hizmet Hesaplarını da içerir.
Saldırıların birçoğu çift uzatma ve çevre çapında bozulma içeriyor: “Birkaç saat içinde, saldırganlar Dragonforce, Qilin, Akira veya Fidye yazılımı oynamadan önce hassas verileri ortaya çıkarıyor.” Dedi.
Ayrıca, çete, Anydesk, Ngrok ve Fleetdeck gibi araçları uzaktan ortamlar arasında gizli, kalıcı bağlantıyı sürdürmek için dağıtıyor.
Saldırılarda dağınık örümcek şüphesi olsa da, üç sigorta şirketinin tümü fidye yazılım şifrelemesinin dahil olmadığını söyledi. Edwards, “Saldırıların fidye yazılımlarını başarıyla konuşlandırmadan önce bozulması çok olası, ancak dağınık Spider’ın saldırı stratejilerini geliştirmeye devam etmesi de mümkün.” Dedi.
“Bazı fidye yazılımı gruplarının verileri açıkladığı, kaynakların şifrelemesini veya kilitlenmemeyi denemeyi seçtiği ve yalnızca özel bilgilerini açığa çıkarma tehdidine dayanarak ödemeler için şirketleri şantaj yapmaya çalıştıkları bilinmektedir.” Dedi.
Ayrıca, “her dağınık örümcek saldırısının şifreleme sistemlerini içermediğini belirtmek önemlidir” dedi Kaiser. “Çeşitli fidye yazılımı gruplarıyla ortaklık kurarken, kampanyaları gerçekten veri hırsızlığı, gasp ve ilk erişimi yeniden satmaya odaklanıyor.”
Ek detaylar kamuya açıklanana kadar, dağınık örümcek tarafından hedeflenen şirketler, grubun doğal olarak yıkıcı olmayabilecek erişiminden para kazanmaya çalışmasının birçok yolu olabileceğini varsaymalıdır.
“Ancak şu anda, ilk saldırıları müşteri desteğini ve yardım masalarını hedeflemeye odaklanmıştır ve bu nedenle algılanan ‘zincirdeki en zayıf bağlantıyı’ sertleştirme ilkesini takip etmek, takip saldırılarının gerçekleşmesini önlemeye yardımcı olmak için önerilen bir strateji olmaya devam etmektedir.”
AFLAC, açıklamasında, 12 Haziran’da ABD’deki ağında şüpheli etkinlik belirlediğini ve “Siber olay müdahale protokollerimizi derhal başlattığını ve saatler içinde saldırıyı durdurduğunu söyledi. Önemli olarak, işimiz faaliyete geçti ve sistemlerimiz fidye yazılımlarından etkilenmedi.”
Üçüncü taraf siber uzmanlarla olaya yanıt verirken çalışırken, şirket, sigorta politikaları ve talepleri gözden geçirme de dahil olmak üzere müşterilere hizmet etmeye devam ettiğini söyledi.
AFLAC, “Soruşturma ilk aşamalarında, müşterilerimize şeffaflık ve bakım ruhu içinde kalırken, ön bulgularımızın yetkisiz partinin ağımıza erişmek için sosyal mühendislik taktiklerini kullandığını gösterdiğini paylaşıyoruz.” Dedi.
Şirket ayrıca potansiyel olarak etkilenen dosyaların gözden geçirilmesini başlattı.
Diyerek şöyle devam etti: “İncelemenin ilk aşamalarında olduğunu ve bu inceleme tamamlanana kadar etkilenen bireylerin toplam sayısını belirleyemeyiz.” AFLAC, Amerika Birleşik Devletleri ve Japonya’daki pazar lideri işletmeler de dahil olmak üzere dünya çapında 50 milyondan fazla müşteriye sahip olduğunu söyledi. AFLAC, Japonya’da önde gelen tıbbi ve kanser sigortası sağlayıcısıdır ve dört haneden birini sigortalayarak
Potansiyel olarak tehlikeye atılan dosyalar, talep bilgileri, sağlık bilgileri, sosyal güvenlik numaraları ve müşteriler, faydalanıcılar, çalışanlar, temsilciler ve şirketin ABD işindeki diğer kişilerle ilgili diğer kişisel bilgileri içeriyor.
Şirket potansiyel olarak etkilenen bilgileri gözden geçirmeye devam ederken AFLAC, 24 ay boyunca özel CallCenter ücretsiz kredi izleme ve kimlik hırsızlığı koruması ve tıbbi kalkan ile temasa geçen kişilere sunmaktadır.
AFLAC, bilgi güvenliği medya grubunun olayla ilgili ek ayrıntılar talebine hemen yanıt vermedi.