Kötülük ve paranın ardından insan sefaleti izini bırakan bir yeraltı dünyasında, dağınık bir örümcek olarak bilinen bağlanmamış kolektif, siber suçlardaki birçok normdan sapıyor.
Genç, anadili İngilizce konuşan insanlardan oluşan kurnaz tehdit grubu uyumdan yoksundur, kavga ile doludur ve finansal olarak motive edilen siber suçluların iddia edilen mağdurların sorumluluğunu talep etmek ve gasp talepleri ödemek için baskıyı arttırdığı bir veri sızıntısı sitesine sahip değildir.
Dağınık Örümcek’in tercih ettiği saldırı yöntemleri – sosyal mühendislik ve kimlik avı – çoğu tehdit avcısının saldırıları kolektife güvenle ilişkilendirmesini zorlaştırıyor. Siber suç kıyafeti, araştırmacıların tipik olarak izlediklerinin arkasında parmak izi türlerini bırakmaz ve sonuç olarak, dağınık örümceğin ne olduğu, hedefleri nasıl belirlediği ve hangi şirketlere saldırdığı konusunda sektörde önemli tutarsızlıklar ve belirsizlikler vardır.
Dağınık örümcek, en son Birleşik Krallık’ta Marks & Spencer’a, United Natural Foods, Westjet ve Hawaiian Havayolları’nda Saldırı Marks & Spencer’a şüphelenilen siber suçların yükseldiğinden, araştırmacılar organizasyon ve nasıl faaliyet gösterdiği hakkında ipuçlarını haritalıyorlar.
Geçen yaz başlayan kısa bir hiatusun ardından, dağınık örümcek bu yılın başlarında yeniden toplandı ve perakende, sigorta ve havacılık endüstrilerinde düzinelerce şirkete ulaştı. Grup ilk olarak 2023’te MGM Resorts ve Caesars Entertainment’a yönelik saldırılar için kötü şöhret kazandı.
Dağılmış Örümcek, 2022’den beri 100’den fazla işletmeye sızdı, misafirperverlik ve oyun, üretim, teknoloji ve bulut hizmetleri, telekomünikasyon, perakende, imalat, gıda üretimi, sigorta ve finansal hizmetler, medya, giyim, iş süreci dış kaynak kullanımı, sağlık hizmetleri, ulaşım, ulaşım, ulaşım, ulaşım, ulaşım, ulaşım, ulaşım, ulaşım.
Siber güvenlik firması Halcyon, Cyberscoop’a verdiği demeçte, grubun toplam gasp talepleri 66 milyon doları aşıyor, ancak muhtemelen çok daha fazla toplandı. Grubu UNC3944 olarak takip eden Maniant Consulting baş teknoloji sorumlusu Charles Carmakal, “Müşterilere sekiz figür ödedim” dedi.
Dağınık örümcek her zaman veri veya sistemleri şifrelemez, ancak grup, Akira, ALPHV, Play, Qilin, Ransomhub ve en son Dragonforce dahil olmak üzere birden fazla fidye yazılımı varyantı kullandığını söyledi.
Halcyon’un fidye yazılımı araştırma merkezinin kıdemli başkan yardımcısı Cynthia Kaiser, dağınık örümceği net bir rol ve sorumluluk bölümü ile “merkezi olmayan ancak sıkı bir şekilde hizalanmış grup” olarak tanımlıyor. Bu, iki ila dört üst düzey operatörden oluşan küçük bir grup ve proje yöneticileri olarak işlev gören, başlangıç erişim brokerleri, fidye yazılım iştirakleri ve müzakerecilerle koordine edilen küçük bir grup içerir.
FBI’ın siber politikası, istihbarat ve katılım şubesinin eski müdür yardımcısı Kaiser, “Bu arada, yeni gelenler ve genç iştirakleriniz var ve tüm bu düşük katmanlı operasyonları kendilerini kanıtlamak için algılama eşiklerini test etmeye çalışıyorlar” dedi.
Araştırmacılar, bu katmanlı yapı nedeniyle dağınık örümcekle ilgilenen insan sayısını şaşırtıyorlar. Olay müdahalesi uzmanları Cyberscoop’a verdiği demeçte, iç daire sıkıdır, ardından düzinelerce kişi ve daha sonra operasyonları kolaylaştırmak için gruba girip çıkan daha büyük bir insan havuzu izler.
Dağınık Örümcek, COM’un bir dalıdır, sosyal mühendislik, kripto hırsızlığı, kimlik avı, sim değiştirme, gasp, sekstür, swatting, kaçırma ve cinayet de dahil olmak üzere geniş bir suç kataloğundan sorumlu 1000’den fazla insandan oluşan çok daha büyük bir taban ağıdır.
Carmakal’a göre, yeniden dirilişini takiben dağınık örümcekle bağlantılı saldırıların hacmi ve yoğunluğu olağanüstü görünse de, grubun faaliyet temposu önceki yıllarda çok daha yüksekti.
Birçok dağınık örümcek kurbanı yıllar boyunca saldırıları açıkladı, ancak asla resmen siber suç kolektifine atfedilmedi.
Carmakal, “Yine dikkate değer çünkü bu gruba daha fazla dikkat ediyoruz” dedi. “Şimdi onlar hakkında konuşuyoruz ve insanlar onları önemsiyorlar çünkü siber saldırılarının kinetik sonuçlarını gördüler. Fark bu.”
Sosyal Mühendislik Yardım Masası
Başka bir değişiklik grubun taktiklerini içerir. Dağınık Spider’ın 2022 ve 2023’teki ilk hitleri sosyal mühendislik saldırılarının sonucu olsa da, grup geçen yaz harekete geçmeden önce 2024’ün çoğunda etki alanı tabanlı kimlik avına geçti. Grubun bu yıl canlanması, taktiklerde bir geri dönüş işaret ediyor, çünkü sadece bir kez daha sosyal mühendisliğe ilk erişim vektörü olarak güveniyor.
Silent Push Tehdit Araştırmacısı Zach Edwards, “Mart ayında tüm kimlik avı sayfalarını terk ettiklerinde, kullandıkları tüm oyun kitaplarını attılar ve orijinal oyun kitaplarına geri döndüler” dedi.
Dağınık Örümcek, sosyal olarak mühendislik yardım-desk çalışanları tarafından son birkaç ay içinde şirketlerin ağlarına izinsiz girdi. Bu, parola sıfırlama isteklerini, yeni cihazları kaydetmek için çok faktörlü kimlik doğrulama çözümlerinden telefon numaralarını kaldırmayı veya bir self servis şifre sıfırlaması yayınlamak için bir hesaba telefon numarası eklemeyi içerir.
Crowdstrike’daki karşı düşman operasyonlarının kıdemli video başkanı Adam Meyers, “Dağınık Spider yardım masasını arayıp onlarla telefona girdiğinde, bir saat geçtikten sonra bir saat geçtikten sonra ve yardım masasının metriklerini vurmak için bu bileti kapatmak için çok fazla zamanı var” dedi.
“Bu yardım masalarının, verilen kriterleri ne olursa olsun kontrol ederek kişinin özgünlüğünü doğrulamaktan yararlanıyorlar” dedi.
Sophos Counter Tehdit Birimi Tehdit Araştırma Direktörü Chris Yule’ye göre, bu arayanlar çok çaba harcamadan çok başarılı oldular. “Bazı durumlarda, çok fazla vaka olmasa da, üstesinden gelmek zorunda oldukları herhangi bir direniş veya herhangi bir direnç alamıyorlar.”
Tehdit araştırmacıları arasında, dağınık örümceklerin yeni sektörlere dönmeden önce tek endüstrileri ne ölçüde hedeflediği veya sadece belirli bir dikeyde çok fazla müşterisi olan yardım-desk dış kaynak firmalarından sonra ne ölçüde hedeflediği konusunda bir tartışma var.
Halcyon’daki araştırmacılar, İngiliz perakendecilere ve ABD merkezli sigorta şirketlerine yönelik son saldırıların, en azından kısmen dağınık Spider’ın iş süreci dış kaynak sağlayıcılarından ödün vermesinden kaynaklandığını söyledi.
Carmakal, dağınık örümcek, özellikle dış kaynaklardan kaynaklanan yardım masalarını hedeflediğini düşünmüyor ve insanları herhangi bir yardım-desk sağlayıcının bir uzlaşmanın kaynağı olduğu sonucuna varmaya karşı uyardı.
Mantian, atıf kalıplarını tanımlar
Birçok dağınık örümcek kurbanına olay müdahale hizmetleri sağlayan Mantian, ABD merkezli perakendecilere geçiş ve daha yakın zamanda sigorta endüstrisi ve Kuzey Amerika havayolları da dahil olmak üzere belirli bir sektördeki saldırı kalıpları hakkında tekrar tekrar erken uyarılar sundu. Bu uğursuz uyarıların her biri günler veya haftalar sonra, bu sektörlerde saldırı düzenleri ortaya çıktıkça kanıtlandı.
Mantiant, dağınık örümcek, soruşturma açısından belirli bir sektörü hedeflediğini söylediğinde, saldırılar aynı saldırgan oyun kitabını takip ediyor. Carmakal, “Kimlik bilgilerine nasıl erişiyorlar. Kimlik bilgilerine sahip olduklarında hemen yaptıkları şey. Etki alanı denetleyicilerinde kimlik bilgilerini çok benzersiz bir şekilde kullanıyorlar. Bu kullandıkları araçlar. Altyapının yeniden kullanımı.” Dedi.
“Önümüzdeki birkaç gün ve haftalar içinde ne yapacaklarını tahmin etmemize izin veren birçok desen var ve bu kalıplar ve öngörülebilirlik herhangi bir zamanda değişebilir. Çok yetenekli bir grup” diye devam etti. “Olayın bütünlüğünde kalıplar görüyorum. Bu sadece sosyal mühendislik ve telefon görüşmesinde bir model olamaz.”
Dağınık örümcek, grup tarafından hedeflendiği bilinen sektörlerde sosyal mühendislik veya saldıran organizasyonları kullanan tek siber suç yüzüğü değildir. Yine de, dağınık örümcek genellikle görüşünün ötesindeki faaliyetler için asılsız bir kredi alır.
COM’a da bağlı olan UNC6040 gibi diğer tehdit grupları, aynı sektörlerdeki şirketlere sosyal mühendislik yoluyla saldırdı. Google Tehdit İstihbarat Grubu, geçen ay itibariyle UNC6040’a en az 20 müdahale atfetti.
Carmakal, “Yardım masasının sosyal mühendisliğini içeren etkinlikler dağınık örümcek gibi görünebilir ve hissedebilir, ancak bazı endüstri gözlemcileri erken atıf sonuçları çekiyorlar.
Yıkım ağında rüzgarda sürükleniyor
Dağınık Spider’ın yıkım ağı devam eder ve daha fazla kurban yakalamaya devam eder, çünkü teknikleri ve bulutu hedeflemedeki uzmanlığı ve kimlik tüm sektörlerde çalışır.
Meyers, “İnsan olan güvenlik zincirindeki en zayıf bağlantıyı hedefliyorlar” dedi. “Çok hızlılar ve erişim kazandıklarında, çoğu zaman onları bulmak ve bir şifreleme çalıştırmadan önce altyapınızdan yok etmek için 48, hatta 24 saatin altında bir saatiniz var. Yani, hız bir katil.
“Birisi onları sahadan çıkarmazsa, yaptıklarını yapmaya devam edecekler” diye ekledi. “Yapmamak için hiçbir neden yok.”
Edwards, sosyal mühendislik saldırılarının telefonun başlangıcından bu yana başarılı olduğunu belirtti. “Onay olarak ses, kullanılacak küçük anahtar vuruşlarını – argo, lingo – güven sesi biliyorsanız, güvenliği aşmanın muhteşem bir yoludur” dedi.
Edwards, “Ararsanız, söyleyecek doğru şeyleri biliyorsunuz, ne soracaklarını biliyorsunuz ve cevaplarınız hazır,” diye ekledi Edwards. “Temel olarak birinden güven kazanmanın ve sonra normalde yapamayacakları bir şey yapmalarını sağlamanın inanılmaz etkili bir yolu.”