Bu yılın en yüksek profilli, kimlik tabanlı siber saldırılarından bazılarının arkasındaki tehdit grubu da “en tehlikeli mali suç gruplarından biriMicrosoft araştırmacıları Çarşamba günkü bir raporda şu anda faaliyette olduğunu söyledi.
Microsoft’un Octo Tempest olarak tanımladığı ve diğer araştırmacıların Oktapus, Scattered Spider ve UNC3944 olarak tanımladığı grup, Microsoft Tehdit İstihbaratına göre kuruluşların altyapısına erişim sağlamak, kurumsal verileri çalmak ve mağdurlardan fidye ödemeleri için şantaj yapmak için çeşitli sosyal mühendislik biçimleri kullanıyor. .
İlk olarak 2022’de gözlemlenen ve 2023’ün ortalarında hizmet olarak fidye yazılımı operasyonu ALPHV veya BlackCat’e bağlanan genç, anadili İngilizce konuşan tehdit aktörleri topluluğu, onlara yönelik büyük saldırıların sorumluluğunu üstlendi. MGM Tatil Köyleri, Sezar Eğlencesi Ve Clorox son birkaç ayda.
Microsoft araştırmacıları benzer sosyal mühendislik tekniklerinin sonuç verdiğini söyledi Dört Okta müşterisinin ortamına yönelik saldırılar temmuz sonu ve ağustos aylarında.
Bu saldırılar, izinsiz girişin ilk noktası için doğrudan Okta müşterilerini hedef alırken, bir tehdit aktörünün müşteriler için kimlik doğrulama belirteçlerine erişmek için çalınan Okta destek sistemi yöneticisi kimlik bilgilerini kullanması sonucu Okta müşteri ortamlarına yönelik daha yeni bir dizi saldırı meydana geldi. BeyondTrust, Cloudflare Ve 1Şifre.
Raporda ayrıca grubun son zamanlarda VMware ESXi sunucularına odaklandığına da dikkat çekildi. güvenlik araçlarından yoksun sanallaştırma altyapısı Olan bu yıl bir dizi saldırıya uğradı.
Tehdit aktörleri, ortadaki rakip tekniklerini, sosyal mühendisliği ve SIM değiştirmeyi kullanan geniş kapsamlı kampanyalardan sorumludur. Microsoft’a göre en son gasp için hedef alınan sektörler arasında oyun, konaklama, teknoloji, finansal hizmetler, yönetilen hizmet sağlayıcılar ve üretim yer alıyor.
Microsoft Tehdit İstihbaratı raporda şöyle dedi: “Octo Tempest’in saldırılarının iyi organize edilmiş, verimli doğası, kapsamlı teknik derinliğin ve klavyeyi kullanan çok sayıda operatörün göstergesidir.”
Microsoft, grubu yaygın, son derece etkili, tehlikeli ve bazen hedeflenen kuruluşların çalışanlarına ve ailelerine karşı fiziksel tehditlere başvuran bir grup olarak tanımlarken diğer tehdit araştırmacılarına katılıyor.
Google’dan Mandiant, “Tehdit aktörleri, sistemdeki bir metin dosyasına tehdit notları bırakmak, kısa mesaj ve e-posta yoluyla yöneticilerle iletişime geçmek ve mağdurların olaylara yanıt vermek için kullandığı iletişim kanallarına sızmak gibi mağdurlarla agresif iletişim kuruyor” dedi. Bulut birimi, geçen ay bir konuşmada şöyle demişti: UNC3944 hakkındaki rapor.
“Çok gördük Genç bireyler en büyük organizasyonlardan bazılarına giriyor Mandiant Consulting CTO’su Charles Carmakal, Nisan ayındaki bir brifingde, “Savunması çok zor olan bu tekniklerden yararlanarak” dedi.
“Bunlar inanılmaz derecede yıkıcı ve agresifCarmakal, MGM Resorts saldırısının ardından geçen ay Cybersecurity Dive’a e-posta yoluyla bilgi verdi.
Araştırma CrowdStrike bu yılın başlarında grubun gelişen taktikleri, yetenekleri ve etkisi hakkında benzer sonuçlara vardı.
Siber Güvenlik ve Altyapı Güvenliği Ajansı, grup ve son zamanlardaki yüksek profilli saldırıları hakkındaki belirli soruları yanıtlamayı reddetti ancak fidye yazılımının her boyuttaki kuruluşu etkileyen ciddi bir sorun olmaya devam ettiğini ve halk için gerçek dünyada sonuçlara yol açtığını belirtti.
Yönetici yardımcısı Eric Goldstein, “ABD hükümeti, potansiyel kurbanlarla hızlı bilgi paylaşımı da dahil olmak üzere federal hükümet genelinde mevcut tüm araçları kullanarak fidye yazılımı operatörleri üzerindeki baskıyı artırıyor; bu da onların çoğu zaman etkiler tam olarak gerçekleşmeden yanıt vermelerine olanak sağlıyor” dedi. Bir açıklamada, CISA’da siber güvenlik için söylendi.
Goldstein’a göre fidye yazılımı raporlaması, yetkililerin saldırıların boyutunu ve doğasını daha iyi kavrama yeteneğini güçlendirebilir.
“Maalesef, fidye yazılımı vakaları hâlâ yeterince rapor edilmediği için sorunun tüm kapsamını ölçmek zor olabilir; bu nedenle kuruluşların, fidye yazılımı vakaları da dahil olmak üzere her siber saldırıyı CISA’ya veya FBI’a mümkün olduğu kadar hızlı bir şekilde bildirmesi kritik önem taşıyor.” Goldstein’ın söylediği şuydu: