Google’ın Tehdit İstihbarat Grubu’na (GTIG) göre, Amerika Birleşik Devletleri’ndeki perakendeciler, High Street Stores Marks & Spencer (M&S) ve ko-op’a bir dizi Dragonforce fidye yazılımı saldırılarının arkasında olduğundan şüphelenilen İngilizce konuşan hack kolektifi olan dağınık örümcekten saldırıya uğruyor.
GTIG ve Google Cloud’un Maniant Tehdit Intel Birimi’ndeki kohortları, siber saldırıların hala soruşturma altında olduğunu ve gizlilik nedenleriyle araştırmacıların henüz ABD’de kurban olarak adlandırmadığını söyledi. Ekip ayrıca şu anda herhangi bir resmi atıf sağlamaktan geri döndü.
GTIG baş analisti John Hultquist, bu öğleden sonra e -posta yoluyla Computer Weekly’ye verdiği demeçte, “ABD perakende sektörü şu anda dağınık örümcek olarak da bilinen UNC3944 ile bağlantılı olduğundan şüphelendiğimiz fidye yazılımı ve gasp operasyonları hedefleniyor.
Hultquist, “Uzun bir aradan sonra İngiltere’de perakende satışını hedeflediği bildirilen aktörün, çabalarını bir seferde tek bir sektöre odaklama geçmişi var ve sektörü yakın dönemde hedeflemeye devam edeceklerini öngörüyoruz. ABD perakendecileri not almalı,” dedi Hultquist.
Hultquist, dağınık örümceği agresif, yaratıcı ve en olgun güvenlik programlarını ve savunmalarını bile atlatma konusunda son derece becerikli olarak nitelendirdi.
Hultquist, “Sosyal mühendislik ve hedeflerine giriş yapmak için üçüncü taraflardan yararlanarak çok başarılı oldular. Mantiant, deneyimlerimize dayanarak taktikleri ve kuruluşların kendilerini tanımlamak için atabilecekleri daha fazla ayrıntı ile bir sertleştirme rehberi sağladı” dedi.
Kimlik, Kimlik Doğrulama İlk savunma satırı
Mantiant, dağınık örümceğe karşı savunurken kimlik doğrulaması ve kimlik doğrulama uygulamalarının çok önemli olduğunu söyledi.
Çetenin, kurbanlarının BT yardım kaynakları ile iletişim kuran kullanıcıları taklit etmek için sosyal mühendislik tekniklerini kullanmada oldukça etkili olduğunu kanıtlamıştır, bu nedenle ilk adım olarak, yardım masası personelinin, kamera içi veya yüz yüze doğrulama, hükümet kimliği doğrulaması veya meydan okuma ve yanıt soruları gibi yöntemleri kullanarak gelen temasları olumlu bir şekilde tanımlamak için ek eğitime ihtiyacı olacaktır.
Güvenlik ekipleri ayrıca self servis şifre sıfırlamaları için geçici olarak devre dışı bırakma veya doğrulamayı geliştirmek isteyebilir ve hem bu hem de çok faktörlü kimlik doğrulama sıfırlamalarını manuel yardım masası iş akışları aracılığıyla yönlendirir. Çalışanlar ayrıca yeni bir telefon numarası eklemek gibi kimlik doğrulama yöntemlerini değiştirmeden önce kimlik doğrulaması yapmak için yapılmalıdır.
Güvenlik ekipleri ayrıca, güvenilir ofis konumlarından yapılmasını gerektiren veya hassas bir talepte bulunmadan önce bir çalışanın kayıtlı cep telefonu numarasına geri çağrı gibi bant dışı doğrulama kullanma gibi ek korumalar da uygulayabilir.
Ayrıca SMS, telefon görüşmesi veya e-postayı kimlik doğrulama denetimi olarak yasaklama, kimlik avına dayanıklı MFA uygulamaları kullanma ve ayrıcalıklı kimlikler için FIDO2 güvenlik anahtarları kullanma gibi adımlar atmayı düşünmeye değer olabilir. Nihayetinde, Mandiant, hedefin mümkünse şifresiz kimlik doğrulamasına geçiş olması gerektiğini söyledi.
Daha yaygın olarak, IT personelinin doğum tarihleri veya ABD Sosyal Güvenlik numaralarının son dört basamağı gibi doğrulama için halka açık verilere güvenmekten kaçınmak için öğretilmelidir.
Hiçbir ABD perakendecisi, dağınık Spider’ın kampanyasının kurbanı olarak kamuya açık olarak adlandırılmadan, bir güvenlik otomasyon platformu olan 0RCUS’un kurucu ortağı ve CEO’su Nic Adams, tehdit zincirinin metalaşması göz önüne alındığında kurbanların kimliklerinin büyük ölçüde ilgisiz olduğunu söyledi.
“İster Dragonforce, dağınık örümcek veya paylaşılan bir bağlı kuruluş yüzüğü müdahaleyi yürütür. Cehennemin önemsiz olduğu. TTP’lerde bir örtüşme, uzlaşmanın sanayileşmesine ihtiyaç duymazlar. Basitçe söylemek gerekirse, davranışsal anomalilere yönelik örgütsel körlük, müşteri hizmeti olarak, sosyal mühendislik olarak işlev gören, devam ettirir. Kötü amaçlı yazılımlara veya fidye yazılımlarına odaklanın, yalnızca güven akışı kötü yönetimini daha da doğrular ”dedi.
“Kimlik avı, kredi kötüye kullanımı, kobalt grevi, LOTL hareketi, SystemBC tünelleri, Mimikatz ekstraksiyonları, mega’ya veri evrelemesi artık bir emtia öldürme zinciridir. Tam erişim, tam erişim, yanal genişleme, veri söndürme, seçici şifreleme, ransom kaldıraçtan daha önce başa çıktığı için, basılı basılı” çünkü “, basılı basılı.”
Adams kuruluşları tehdit aktörleri gibi düşünmeye başlamaya çağırdı. “Bir sonraki ihlal aynı yolu izleyecek. Tek tıklamayla, kimlik bilgisi, eksik savunma katmanı. Piyasa sınırında bir başka milyar buharlaştı” dedi.
“Gelecekte hayatta kalan oranizasyonlar, tehdit mantığını protokol seviyesine yerleştiren, rakiplerin ne inşa ettiğini bilen operatörlere kök erişimi atayan ve uyumluluk eşitliği kontrol ederek herkesi yanıltmayı bırakacaklar. Bunu otomatikleştiremezsiniz. Bunu otomatikleştiremezsin.
M&S Sigorta Talebi 100 milyon sterlin üstesinden gelmesi muhtemel
İngiltere’ye geri döndüğünde, bugün (14 Mayıs) M & S ‘sigorta şirketlerinin fidye yazılımı saldırısından sonra kendilerini 100 milyon sterline kadar kancada bulabileceğini öne sürdü ve Allianz ve Beazley özellikle maruz kaldı.
Buna göre Finansal Zamanlar– Talep, perakendecinin sistemlerinden gelen müşteri verilerinin çalınmasının ardından kaybedilen çevrimiçi satış ve veri ihlali sorumluluk kayıplarını kapsayacaktır. M&S, gıda tedarik zincirlerini kargaşa içinde bırakan siber saldırı sonucunda on milyonlarca lira kaybetti.