Bilgisayar korsanları, finansal bağlantı çözümleri sunan bir şirket olan C&M’den bir çalışanın kimlik bilgilerini kullanarak Brezilya’daki altı bankadan yaklaşık 140 milyon dolar çaldı.
Olayın, saldırganların çalışanlara hesap kimlik bilgilerini vermeleri ve operasyonlarına yardımcı olacak belirli eylemler gerçekleştirmeleri için rüşvet verdikten sonra 30 Haziran’da meydana geldiği bildirildi.
İçeriden tehdit
Brezilya medya raporlarına göre, çalışan (João Nazareno Roque) kurumsal kimlik bilgilerini bilgisayar korsanlarına yaklaşık 920 $ karşılığında sattı ve Brezilya Merkez Bankası’na bağlı gizli bir sisteme erişim sağladı.
Roque daha sonra, bilgisayarlı işbirliği yoluyla bilgisayar korsanları tarafından talimat verildiği gibi C&M sistemlerine komutlar yürüttü. Bunun için 1.850 dolar daha aldı.
C&M çalışanı etkinliğini gizlemeye çalıştı ve cep telefonlarını her 15 günde bir değiştirdi, ancak 3 Temmuz’da São Paulo’da tutuklandı.
Tehdit aktörleri, bir bardan ayrılırken yaklaştıktan sonra Roque’a operasyona katılmaya ikna etti.
Bu, saldırganların araştırmalarını şirketteki potansiyel zayıf bağlantıları tanımladığını ve Hindistan’daki destek ajanlarının hassas müşteri bilgilerini sifonlamak için rüşvet verildiği Coinbase’e benzer bir yaklaşımı yansıttığını gösteriyor.
Brezilya polisinin bu büyük ölçekli saldırı hakkında üç soruşturma yürüttüğü bildiriliyor, ancak bilgisayar korsanları hakkında hiçbir ayrıntı yayınlanmadı.
İzlenen kripto cüzdanları
Bu arada, blockchain araştırmacısı Zachxbt, Telegram’da saldırganların 30-40 milyon dolar çalıntı parayı BTC, ETH ve USDT gibi kripto para birimine dönüştürdüğünü yazdı. Çeşitli borsalar ve Latin Amerika reçetesiz (OTC) pazarları kullandılar.
Zachxbt, tehdit aktörlerinin cüzdan adreslerini izlediğini ve yetkililere fonların dondurulmasına yardımcı olduğunu belirtiyor.
Brezilya medyasına yaptığı açıklamada, C&M sistemlerinin güvenli kaldığını ve saldırının sadece bir güvenlik kusuru değil, sosyal mühendislik yoluyla mümkün olduğunu vurguladı.
Şirket ayrıca, koruma çerçevesinin yetkisiz erişimin kaynağını saptamada ve polisin soruşturmasına yardım etmede önemli bir rol oynadığını da sözlerine ekledi.
BleepingComputer da olayla ilgili C&M’e ulaştı, ancak bir yorum hemen mevcut değildi.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.