Tehdit istihbarat araştırmacıları, dağınık örümcek faaliyeti ile gözlemlenen tüm taktikleri kullanarak sigorta sektöründe birden fazla ABD şirketini ihlal eden bilgisayar korsanlarının uyarıları uyarıyor.
Tipik olarak, tehdit grubunun sektör-sektör odağı vardır. Daha önce, Birleşik Krallık’taki perakende kuruluşları hedef aldılar ve daha sonra Amerika Birleşik Devletleri’nde aynı sektördeki hedeflere geçtiler.
Google Tehdit İstihbarat Grubu (GTIG) baş analisti John Hultquist, “Google Tehdit İstihbarat Grubu, ABD’de dağınık örümcek faaliyetinin tüm ayırt edici özelliklerini taşıyan birden fazla müdahalenin farkında. Şimdi sigorta endüstrisinde olayları görüyoruz” dedi.
Hultquist, grup her seferinde bir sektöre yaklaştığı için “sigorta endüstrisinin yüksek alarma sahip olması gerektiği” konusunda uyarıyor.
GTIG’nin baş araştırmacısı, şirketlerin yardım masası ve çağrı merkezlerinde potansiyel sosyal mühendislik girişimlerine özellikle dikkat etmeleri gerektiğini söylüyor.
Dağınık örümcek taktikleri
Dağınık Örümcek, olgun güvenlik programlarını atlamak için sofistike sosyal mühendislik saldırıları kullanan tehdit aktörlerinin sıvı koalisyonuna verilen isimdir.
Grup ayrıca 0ktapus, UNC3944, dağılım domuzu, starfraud ve karışık Terazi olarak izlenir ve ilk erişim için kimlik avı, sim-swaying ve MFA fatigue/MFA bombalamasını karıştıran çok sayıda yüksek profilli kuruluşta ihlallerle bağlantılıdır.
Saldırının daha sonraki bir aşamasında, grubun Ransomhub, Qilin ve Dragonforce gibi fidye yazılımlarını düşürdüğü gözlemlendi.
Dağınık örümcek saldırılarına karşı savunmak
Bu tür bir tehdit oyuncusuna karşı savunan kuruluşlar, tüm altyapı, kimlik sistemleri ve kritik yönetim hizmetleri arasında tam görünürlük elde etmekle başlamalıdır.
GTIG, kimliklerin ayrılmasını ve şifre sıfırlamaları ve MFA kaydı için titiz kimlik kontrolleri ile birlikte güçlü kimlik doğrulama kriterlerini kullanmanızı önerir.
Dağınık örümcek sosyal mühendisliğe dayandığından, kuruluşlar, hedefi uyumluluk için korkutmak için agresif bir dil içerebilecek çeşitli kanallar (SMS, telefon görüşmeleri, mesajlaşma platformları) aracılığıyla kimliğe bürünme girişimleri konusunda çalışanları ve iç güvenlik ekiplerini eğitmelidir.
Bilgisayar korsanları bu yıl İngiltere’deki Marks & Spencer, Co-op ve Harrods perakendecilerini ihlal ettikten sonra, ülkenin Ulusal Siber Güvenlik Merkezi (NCSC), kuruluşların siber güvenlik savunmalarını iyileştirmek için ipuçlarını paylaştı.
Her üç saldırıda da, tehdit oyuncusu son aşamada dağınık küresel ve Dragonforce fidye yazılımıyla ilişkili aynı sosyal mühendislik taktiklerini kullandı.
NCSC’nin önerileri arasında iki faktörlü veya çok faktörlü kimlik doğrulamanın etkinleştirilmesi, yetkisiz girişlerin izlenmesi ve Domain Yöneticisi, Kurumsal Yönetici ve Bulut Yönetici Hesaplarına erişimin meşru olup olmadığını kontrol etme yer alır.
Buna ek olarak, Birleşik Krallık Ajansı, kuruluşların yardım masası hizmetinin, özellikle yüksek ayrıcalıkları olan çalışanlar için, bunları sıfırlamadan önce kimlik bilgilerini nasıl doğruladığını incelemelerini önermektedir.
Olağandışı kaynaklardan gelen girişleri tanımlama yeteneği (örneğin konut aralıklarından VPN hizmetleri) potansiyel bir saldırının belirlenmesine yardımcı olabilir.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.