Dağınık Örümcek Casino Hackerları Göz Önünde Tutuklanmaktan Kaçtı



Tehdit istihbaratı analistleri, olay müdahale ekipleri ve federal kolluk kuvvetlerinin tümü, bir dizi takma isimle tehdit grubu hakkında her şeyi biliyor gibi görünüyor: The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud ve Octo Tempest ve diğerleri. Peki neden bu grup (MGM Resorts ve Caesars Entertainment hacklerinin arkasındaydı) bugüne kadar hiçbir kesinti yaşamadan ABD kuruluşlarına ceza almadan başarılı bir şekilde saldırıyor?

Bu hafta yayınlanan raporlar, federal kolluk kuvvetlerinin, anadili İngilizce olanlardan oluşan siber suç grubunun kimliklerini gayet iyi bildiğini ancak henüz herhangi bir tutuklama gerçekleştiremediğini doğruladı. Aslında kaynaklar, Reuters’e kolluk kuvvetlerinin Scattered Spider hack grubunun kimliklerini altı aydan uzun bir süredir bildiğini doğruladı.

CrowdStrike’ın başkanı Michael Sentonas gibi siber güvenlik tehdidi avcıları, fidye yazılımı grubunun hâlâ çalışır durumda olması ve “kargaşaya” yol açmasının “kolluk kuvvetlerinin” başarısızlığı olduğunu belirterek, oldukça şaşkın bir tavır sergiledi.

Dağınık Örümcek Hakkında FBI Tavsiyesi

Federaller bazı yanıtlar verdi: 16 Kasım’da FBI ve CISA, Dağınık Örümcek hakkında bir tavsiye belgesi yayınladı; bu belge, güvenlik ihlali göstergeleri (IoC’ler) ve kurumsal güvenlik ekiplerini ağlarını savunmaya yönelik ayrıntılarla donatmak için ek ayrıntılar sağladı.

Danışma belgesinde, “FBI ve CISA, kuruluşunuzun tehdit aktörü faaliyetlerine dayalı olarak siber güvenlik duruşunu iyileştirmek ve Dağınık Örümcek tehdit aktörlerinin tehlikeye girme riskini azaltmak için kuruluşlara aşağıdaki hafifletici önlemleri uygulamasını tavsiye ediyor.” ifadesine yer verildi. Uygulama kontrolleri, uzaktan erişim aracı denetimi ve FIDO/WebAuthn kimlik doğrulamasının veya genel anahtar altyapısı (PKI) tabanlı çok faktörlü kimlik doğrulamanın (MFA) uygulanması dahil olmak üzere bir öneri listesi içeriyordu.

Yararlı olsa da, grubun siber suçları hakkında bu kadar çok bilgi varsa, bu, fidye yazılımı grubunun üyelerinin neden tutuklanmadığına veya en azından operasyonlarının neden kesintiye uğramadığına cevap vermiyor.

Bilgisayar Korsanları Şiddet Tehditleriyle Daha Agresifleşiyor

Kurumsal Amerika ile kolluk kuvvetlerinin kesiştiği noktada yer alan çoğu şey gibi, ayrıntıların çoğu da gizlilik içinde korunuyor. Ancak grubun MGM Resorts gibi halka açık şirket ağları üzerinden yaygınlaşmasının etkileri iyi biliniyor.

Google Cloud Mandiant Consulting CTO’su Charles Carmakal, “UNC3944, bugün ABD’deki kuruluşları etkileyen en yaygın ve agresif tehdit aktörlerinden biri” diyor. “İnanılmaz derecede yıkıcılar.”

Ve grubun her zaman cezasız bir şekilde siber suçlar işlediği, hatta fiziksel şiddet tehditlerine kadar vardığı görülüyor. Microsoft araştırmacıları, Octo Tempest adını verdikleri grupla ilgili analizlerinde, mağdurlara ödeme yapma konusunda baskı yapmak için kişisel güvenlik korkusunu kullandığını açıkladı.

Microsoft’un Olay Müdahale ve Tehdit İstihbaratı ekipleri raporlarında, “Nadir durumlarda Octo Tempest, telefon görüşmeleri ve mesajlar yoluyla belirli kişileri hedef alarak korku tacirliği taktiklerine başvuruyor.” dedi. “Bu aktörler, mağdurları kurumsal erişim için kimlik bilgilerini paylaşmaya zorlamak amacıyla fiziksel tehditlerin yanı sıra ev adresleri ve aile adları gibi kişisel bilgileri de kullanıyor.”

Dağınık Örümcek Hakkında Dağlarca Veri

Analistlerin grup hakkında yayınladığı çok sayıda ayrıntı baş döndürücü. Scattered Spider, kimlik bilgilerini çalmak için Oktapus kimlik avı kitini kullanacağı ilk kez 2022 yılında işaretlenmişti. Grup, SIM takaslarında başarılı bir şekilde oyalandı, ancak 2023’ün ortalarında, hizmet olarak fidye yazılımı sağlayıcısı BlackCat, diğer adıyla Alphv’nin bir üyesi haline geldiğinde bu başarıyı yakalamış görünüyor.

Becerilerini istikrarlı bir şekilde geliştiren grup üyeleri, sonunda yeni ve akıllıca bir sosyal mühendislik açısı ekledi: kimlik bilgilerini sıfırlamak ve doğrulanmış hesapları hedef ortamlarda ilk dayanak noktası olarak devralmak için yardım masalarını aramak. Bu, Scattered Spider ekibinin MGM Resorts’u tehlikeye atmak ve Las Vegas Strip operasyonlarını bir haftadan fazla sekteye uğratmak için kullandığı ve yalnızca MGM Resorts’un yüz milyonlarca dolarlık kayıplara yol açtığı bir kumardı. Grup eş zamanlı olarak Caesars’ı ihlal etti ve hızla 15 milyon dolarlık bir fidye ödemesi için pazarlık yaptı.

Mandiant’tan Carmakal, grubun bu iki olaydan sonra daha fazla incelenmesi gerektiğini söylüyor: “Son zamanlarda konaklama ve eğlence organizasyonlarını hedef almaları nedeniyle son zamanlarda çok fazla ilgi topladılar.”

Kolluk Kuvvetleri Siber Suçlarla Mücadele Ediyor

Federal yetkililer, Scattered Spider’a yönelik soruşturmanın herhangi bir ayrıntısını paylaşmıyor ancak siber güvenlik sektörünün içindeki kişiler, FBI gibi geleneksel kolluk kuvvetlerinin siber suçluları kovalamaya uyum sağlamakta zorlandığından şüpheleniyor.

Bugcrowd’un kurucusu Casey Ellis, “Kolluk kuvvetleri daha fazla yapıya ve organizasyona sahip çalışma gruplarına daha alışkın ve daha kaotik ve gevşek bir şekilde bir araya gelmiş tehdit aktörlerinin geri dönüşüyle ​​​​mücadele ediyor” diyor.

Critical Start’ın üst düzey yöneticisi Callie Guenther’e göre aslında FBI’ın Scattered Spider gibi bilgisayar korsanlığı gruplarını engellemedeki başarısızlığı bir süre için bir sorun olabilir.

Günther, “FBI’ın bu grubu kontrol altına alma mücadelesi aynı zamanda kolluk kuvvetlerinin dijital çağda karşılaştığı daha geniş zorlukları da vurguluyor” diyor. “‘Dağınık Örümcek’ vakası, suç gruplarının fiziksel şiddet tehditleri de dahil olmak üzere agresif taktikler kullandığı yeni bir siber tehdit çağının göstergesidir. Suç stratejilerindeki bu artış, emniyet teşkilatının ve siber güvenlik uzmanlarının eşit derecede sağlam ve yenilikçi bir tepki vermesini gerektirir.”

Şimdilik, Scattered Spider’ın ağlarını aksatmasını engellemek bireysel kurumsal ekiplerin sorumluluğunda gibi görünüyor. Bu arada siber güvenlik topluluğu, istismarlarına ilişkin ayrıntıları toplamaya ve tutuklamaları beklemeye devam edecek.



Source link