Google Tehdit İstihbarat Grubu ve Google yan kuruluşu araştırmacılarına göre, son haftalarda İngiltere’deki üç saldırıdan sorumlu olduğuna inanılan bir siber suç çetesi dikkatini ABD’ye çevirdi ve sektördeki birden fazla hedeften ödün verebildi.
Araştırmacılar, İngiltere şirketlerine yönelik saldırılara bağlı aynı tehdit aktörlerinin artık ABD perakende şirketlerine karşı iyi hazırlanmış sosyal mühendislik tekniklerini kullandığını söyledi.
UNC3944 veya dağınık örümcek olarak izlenen tehdit grubu, İngiliz firmaları Harrods, Co-op ve M & S’ye yönelik saldırılarda ana şüpheli olarak kabul edilir, ancak Mantiant ve Google, herhangi bir aktöre müdahaleleri resmi olarak atfetmemiştir. Ancak araştırmacılar, ABD saldırılarının arkasındaki bilgisayar korsanlarının İngiliz olaylarındaki davetsiz misafirlerle aynı teknik ve prosedürleri paylaştıklarını söyledi.
Google’ın Tehdit İstihbarat Grubu baş analisti John Hultquist, “Uzun bir aradan sonra İngiltere’de perakende satışını hedeflediği bildirilen aktörün, çabalarını bir seferde tek bir sektöre odaklama geçmişine sahip ve sektörü yakın dönemde hedeflemeye devam edeceklerini öngörüyoruz. ABD perakendecileri not almalı,” dedi.
Çarşamba günü Hultquist esasen perakendecileri uyardı X’teki bir gönderide kendilerini tehdit grubunun saldırılarına hazırlamak.
Google araştırmacıları, farklı bir olay müdahale firması tarafından araştırılan İngiltere olaylarına görünürlük eksikliğinin bu durumlarda resmi bir atıf kazanmalarını engellediğini söyledi. Bu ayın başlarında Mandiant, ağ sistemlerinin bilinen dağınık örümcek tekniklerine karşı nasıl sertleşeceği konusunda rehberlik yayınladı, ancak İngiltere saldırılarına resmi bir bağlantı kurmadıkları konusunda uyardı.
Kroll yetkilileri şu anda aynı teknikler kullanılarak hedeflenen şirketlere yanıt verdiklerini doğruladılar.
“Kroll, perakende sektöründeki müşterilerle aktif olarak çalışıyor, aktivite kalıplarına uygun saldırılara ve KTA243 (Dağınık Örümcek, Oktapus) olarak izlediğimiz aktörle eşleşen göstergelere uygun saldırılara karşı çalışıyor” dedi. Keith WojcieszekGlobal Tehdit İstihbaratının Genel Müdürü, e -posta yoluyla.
Dağınık örümcek, büyük ölçüde yüksek profilli hedeflere karşı başarılı sosyal mühendislik saldırıları nedeniyle son yıllarda şöhrete yükseldi. Las Vegas’ta MGM Resorts dahil. Dağınık örümcek esas olarak ABD ve İngiltere’den kurumsal bilgisayar ağlarını ihlal etmek için aldatıcı kimlik avı saldırıları kullanma tekniğini mükemmelleştiren genç, erkek, İngilizce konuşan hackerlardan oluşmaktadır.
ABD Adalet Bakanlığı Ücretli beş kişi Geçen Kasım ayında gruba bağlı, ancak bu kovuşturma casino saldırılarıyla ilgisi yoktu. Yetkililer, grubun iddia edilen liderlerinden birini, İngiliz vatandaşı olan ABD’ye İspanya’dan iade ettiler.
Mantiant Consulting’in CTO’su Charles Carmakal, siber güvenlik dalışına ABD saldırılarında şüphelenilen aktörlerin işçileri şifreleri sıfırlamaya kandırmaya yardım masalarını çağırdıklarını doğruladı. Hultquist, bu saldırıların bazılarının başarılı olduğunu ancak hedeflenen kuruluşlar hakkında özel ayrıntılar sağlamayı reddettiğini söyledi.
Bir tehdit bilgi paylaşım grubu olan Perakende ve Ağırlama ISAC, dağınık örümcek ile ilgili tehditlerin farkında olduğunu ancak özellikleri paylaşamadığını söyledi.
Siber Güvenlik Dalışına verdiği demeçte, “Bu olayları izliyor ve üye şirketlerimiz için güncellemeler ve rehberlik yayınlıyoruz, ayrıca bir tehdit brifinginde Google ile işbirliği yapıyoruz” dedi.
İngiltere saldırıları önemli ölçüde bozulmaya yol açtı. M&S Bu haftanın başlarında Bu saldırıda müşteri verilerinin çalındığını doğruladı, ancak ödeme kartı bilgilerinin maskeli ve kullanılamadığı konusunda uyardı.
Çarşamba günü kooperatif dedi Bilgisayar korsanları sürekli girişimler başlattı Sistemlerini kırmak ve müşteri verilerine erişim elde etmek, bunun sonucunda ortaya çıkan saldırı, 2.300 bakkal lokasyonunun çoğunda büyük envanter kıtlığına yol açmıştır. Co-op, bilgisayar sistemlerini kontrollü bir şekilde geri yüklemeye başlıyor ve bu ayın başından beri sınırlı malzemeleri gören rafları yeniden doldurmak için bu hafta sonu taze ürünler ve soğutulmuş ve dondurulmuş gıdalar dağıtmayı planlıyor.
Saldırıları dağınık örümcekle ilişkilendirmek zor oldu, çünkü üç perakendeci saldırıların nasıl gerçekleştiği hakkında sınırlı bilgi sağladı. İngiliz yetkilileri, bilgisayar korsanlarının nasıl erişim sağladığı hakkında daha fazla bilgi edinmek için onlarla birlikte çalışıyorlar.
Hizmet olarak fidye yazılımı Dragonforce, İngiliz saldırıları için kredi talep ederek ilişkilendirme sürecine başka bir zorluk katmanı ekledi. Dragonforce, rehberlik güvenliğine göre, sözleşmeli bilgisayar korsanlarının gerçekleştirdiği saldırılar için şifreleme aracı ve karanlık bir web sitesi sunuyor.
Secureworks’teki araştırmacılara göre, Dragonforce kısa süre önce Dragonforce takımlarını kullanırken bağlı kuruluşların kendi markalarını oluşturmalarını sağlayan bir kartel modeline geçti. Dağınık örümcek ve Dragonforce arasında hangi doğrudan ilişkinin var olduğu belirsizdir.
Palo Alto Networks’teki araştırmacılar, karışık Terazi olarak izledikleri dağınık örümcek tekniklerini yansıtan tehdit faaliyetinde belirgin bir artış gözlemlediklerini söylüyorlar. Bu, yardım masalarının ve çalışanlarının sesli kimlik avı ve meşru sistem yönetimi araçlarının kötü niyetli kullanımını içerir.
Palo Alto Networks ‘Birimi 42 ekibinde SVP danışmanlığı ve tehdit istihbaratından Sam Rubin, “Karışık Terazi veya dağınık örümcekle bağlantılı bireylerin son tutuklanmasına rağmen, öncülük ettikleri tekniklerin aktif olarak kullanılmaya ve uyarlanmaya devam etmesini bekliyoruz” dedi. “Bu gibi kanıtlanmış etkili sosyal mühendislik yöntemleri, insan ve sistem güvenlik açıklarından yararlanmak isteyen tehdit aktörleri tarafından rutin olarak geri dönüştürülmüş, rafine edilmiş ve yeniden konuşlandırılmıştır.