‘BazarCall’ Tarzı Saldırı Kullanan Conti Ransomware Operatörleri


Kimlik avı saldırıları bağlamında, BazarCall tarzı bir saldırı, kullanıcıyı kandırmak için bir geri arama metodolojisi kullanan bir hedefli kimlik avı biçimidir.

İlk kez, 2020/2021’de Ryuk’un bir aracı olarak pazarlandı ve daha sonra Conti adı altında yeniden markalandı. Aracın tüm suçlular için etkili ve uyarlanabilir bir araç olduğu tespit edildi ve yararlı olduğu kanıtlandı.

Artan bir şekilde, dolandırıcılar tarafından kişisel bilgilerine erişmek için kurbanlarını kandırmak için geri arama kimlik avı taktikleri kullanılmaktadır. Ve yalnızca mevcut tehdit ortamının bile geri arama kimlik avı taktikleri tarafından tamamen dönüştürülmesi değil.

DÖRT

Rapora göre, şu ana kadar özerk olan üç tehdit grubu kendi hedefli kimlik avı taktiklerini geliştirdi ve burada aşağıda bahsediliyor:-

  • sessiz fidye
  • Kuantum
  • Roy/Zeon

Teknik Analiz

Esasen, geri arama kimlik avı, operasyonların yeniden canlanması ve Conti sonrası dönemden bu yana fidye yazılımlarının kurbanlarını yeniden hedefleme biçiminde devrim yarattı.

Fidye yazılımı dağıtımına yönelik yaklaşımda yaygın bir değişiklik, bir taktik olarak geri arama kimlik avının kullanılması nedeniyle mümkün oldu. Yaklaşımın benzersizliği ve etkinliği aşağıdaki faktörlere bağlanabilir: –

  • Bir saldırı kampanyası başlamadan önce, otomatik bir botnet enfeksiyonu yerine hedefli bir seçici yaklaşım kullanılarak kurban veya kurban sektörü seçilir.
  • Kimlik avı kampanyası, genel Emotet spam’i yerine kurbanlara/sektöre göre uyarlanmıştır.
  • Hedeflenen kurban için riski artırmak için, kaotik gasp stratejileri yerine riskleri silahlandır/maksimumlaştıran çerçeveler geliştirilir.
  • Kampanyada stratejilerin tekrarı yoktur, ancak içeriğin izleyiciyle alakalı olduğundan emin olmak için sürekli değişiklik yapılır.
  • Ana odağın artık veri şifrelemeye geleneksel odaklanma yerine veri şifrelemeden veri hırsızlığına kaydığı açıktır.

Conti’nin kurumsal geleneğinin bir parçası olarak, geri arama kimlik avı yerleşiktir ve bir süredir saldırı vektörü olarak kullanılmaktadır. Aralık 2021 ile Şubat 2022 arasında Conti’nin operasyonel krizi başladı ve Şubat-Mart 2022 döneminde kavramsallaştırıldı ve uygulandı.

kurban bilimi

Geri arama kimlik avı kampanyalarının bir sonucu olarak, fidye yazılımının mağduriyetinde büyük bir değişiklik gözlemlendi. Avaddon (Bazar’ın gelişinden önce aktif olan bir grup gibi), Bazar öncesi gruplara kıyasla hedeflenen sektörlerdeki değişimin güzel bir örneğidir.

Hedeflenen bu kampanyalar, hedeflenen yapıları nedeniyle aşağıdaki sektörlere yönelik saldırıların sayısını önemli ölçüde artırdı:-

  • finans
  • teknoloji
  • Yasal
  • Sigorta

Eski Conti üyeleri arasında dağıtılan neredeyse tüm dahili kılavuzlarda bu dört sektör öncelikli sektörler olarak listelenmiştir.

Bu eğilimin devam etme olasılığı var. Silahlı toplum mühendisliği taktiklerinin önemli bir potansiyele sahip olduğu tehdit aktörleri için daha belirgin hale geldi.

Bu kimlik avı operasyonlarının kapsamı ve karmaşıklığı yalnızca zaman geçtikçe artacaktır, bu nedenle yalnızca büyüyecekleri tahmin edilmektedir.

Sponsorlu: Uzaktan Çalışanların Yükselişi: Ağınızın Güvenliğini Sağlamak İçin Bir Kontrol Listesi – Ücretsiz Teknik Dokümanı İndirin



Source link