Bu hafta İspanya’da tutuklanan 22 yaşındaki İngiliz adamın, terör örgütünün elebaşı olduğu iddia ediliyor. Dağınık Örümcekhacklediğinden şüphelenilen bir siber suç grubu Twilio, Son Geçiş, Kapı Göstergesi, Posta şempanzesive son iki yılda yaklaşık 130 başka kuruluş.
İspanyolca günlük Murcia Bugün şüphelinin FBI tarafından arandığını ve İtalya’ya uçağa binmeye çalışırken Palma de Mallorca’da tutuklandığını bildirdi.
İspanyol ulusal polisi tarafından yayınlanan bir videodan alınan sabit bir karede Tylerb’in havaalanında gözaltında olduğu görülüyor.
Murcia Today, “Kurumsal hesaplara sızmak ve grubun milyonlarca dolarlık fonlara erişmesini sağladığı iddia edilen kritik bilgileri çalmakla suçlanıyor” diye yazdı. “Palma polisine göre bir noktada 27 milyon dolar değerindeki Bitcoin’leri kontrol ediyordu.”
Siber suç odaklı Twitter/X hesabı vx-yeraltı tutuklanan İngiliz adamın bir olduğunu söyledi SIM değiştirici takma isimle kim gittiTyler.” SIM değiştirme saldırısında dolandırıcılar, hedefin telefon numarasını kontrol ettikleri bir cihaza aktarır ve kimlik doğrulama için tek seferlik şifreler veya SMS yoluyla gönderilen şifre sıfırlama bağlantıları dahil olmak üzere kurbana gönderilen tüm kısa mesajları veya telefon çağrılarını engeller.
Vx-underground, 15 Haziran’da, geçen yıl Las Vegas’taki MGM ve Caesars kumarhanelerine yapılan maliyetli veri fidye saldırılarına karışan üretken bir çeteye atıfta bulunarak, “O, bilinen bir SIM takasçısı ve kötü şöhretli Scattered Spider grubuyla bağlantılı olduğu iddia ediliyor” diye yazdı.
Soruşturmaya aşina olan kaynaklar KrebsOnSecurity’ye sanığın İskoçya’nın Dundee kentinden 22 yaşında bir genç olduğunu söyledi. Tyler Buchanan” olarak da bilindiği iddia ediliyor.Tylerb”, SIM değiştirmeye odaklanan Telegram sohbet kanallarında.
Ocak 2024’te ABD yetkilileri, 19 yaşındaki başka bir Dağınık Örümcek üyesi olduğu iddia edilen kişiyi tutukladı. Nuh Michael Urban Palm Coast, Fla.’dan – ve onu Ağustos 2022 ile Mart 2023 arasında beş kurbandan en az 800.000 dolar çalmakla suçladı. Urban’ın iddiaya göre “” takma adlarını kullandığı iddia ediliyordu.Sosa” Ve “Kral Bob,” ve 2022’de Twilio’yu ve diğer birçok şirketi hackleyen aynı ekibin parçası olduğuna inanılıyor.
Müfettişler, Scattered Spider üyelerinin çevrimiçi olarak daha yaygın bir siber suç topluluğunun parçası olduğunu söylüyor: “ComBurada farklı gruplardan bilgisayar korsanları, neredeyse her zaman sosyal mühendislikle başlayan yüksek profilli siber hırsızlıklarla yüksek sesle övünüyor; insanları telefon, e-posta veya SMS yoluyla kurumsal iç ağlara uzaktan erişime izin veren kimlik bilgilerini vermeleri için kandırıyorlar.
Telegram’daki en popüler SIM değiştirme kanallarından biri, en başarılı SIM değiştiricilerin, kripto para birimini çalma konusundaki sözde fetihlerine göre endekslenen, sık sık güncellenen bir liderlik tablosunu barındırıyor. Bu liderlik sıralamasında şu anda Sosa (100 üzerinden) 24. sırada ve Tylerb ise 65. sırada yer alıyor.
0KTAPUS
Ağustos 2022’de KrebsOnSecurity, Scattered Spider’ın büyük şirketlerdeki çalışanlara yönelik sayısız SMS tabanlı kimlik avı saldırısını içeren aylar süren siber suç kampanyasında toplanan verilerin içine bakılması hakkında yazdı. Güvenlik firması Grup-IB çeteye farklı bir ad taktı – 0ktapusBu, suç grubunun kimlik bilgileri için çalışanları nasıl dolandırdığına bir gönderme.
Mesajlar, kullanıcılardan bir bağlantıya tıklayıp işverenlerinin bilgilerini taklit eden bir kimlik avı sayfasında oturum açmalarını istiyordu. Okta kimlik doğrulama sayfası. Kimlik bilgilerini gönderenlerden daha sonra çok faktörlü kimlik doğrulama için gereken tek seferlik şifreyi girmeleri istendi.
Bu kimlik avı saldırıları, genellikle hedeflenen şirketin adını içeren yeni kayıtlı alan adlarını kullandı ve çalışanları, çalışma programlarında bekleyen bir değişiklikle ilgili bilgileri görüntülemek için bu alan adlarına giden bağlantılara tıklamaya teşvik eden kısa mesajlar gönderdi. Kimlik avı sitelerinde ayrıca gönderilen kimlik bilgilerini gerçek zamanlı olarak ileten gizli bir Telegram anlık mesaj botu da bulunuyordu; bu bot, saldırganların kimlik avı yapılan kullanıcı adını, şifreyi ve tek kullanımlık kodu kullanarak gerçek işverenin web sitesinde söz konusu çalışan olarak oturum açmasına olanak tanıyordu.
Scattered Spider’ın 2022’deki SMS kimlik avı çılgınlığının ilk büyük kurbanlarından biri, kısa mesaj ve telefon görüşmesi yapma ve alma hizmetleri sağlayan Twilio şirketiydi. Grup daha sonra Twilio’ya erişimlerini kullanarak en az 163 müşterisine saldırdı.
Twilio çalışanlarına gönderilen bir Dağınık Örümcek kimlik avı yemi.
Bunların arasında şifreli mesajlaşma uygulaması da vardı SinyalBu ihlalin, saldırganların telefon numarasını yaklaşık 1.900 kullanıcı için başka bir cihaza yeniden kaydetmesine izin verebileceğini söyledi.
Yine Ağustos 2022’de, e-posta dağıtım şirketi Mailchimp’in birkaç çalışanı, bu kimlik avı grubuna uzaktan erişim kimlik bilgilerini verdi. Mailchimp’e göre saldırganlar, Mailchimp çalışan hesaplarına erişimlerini kripto para ve finansla ilgilenen 214 müşteriden veri çalmak için kullandı.
25 Ağustos 2022’de şifre yöneticisi hizmeti LastPass, saldırganların bazı kaynak kodlarını ve özel LastPass teknik bilgilerini çaldığı bir ihlali açığa çıkardı ve haftalar sonra LastPass, yapılan bir soruşturmanın hiçbir müşteri verisine veya şifre kasasına erişilmediğini ortaya çıkardığını söyledi.
Ancak 30 Kasım 2022’de LastPass, şirketin Ağustos ayındaki ihlalde kaldıraçlı verilerin çalındığını söylediği çok daha ciddi bir ihlali açıkladı. LastPass, suçlu bilgisayar korsanlarının bazı şifre kasalarının şifrelenmiş kopyalarının yanı sıra diğer kişisel bilgileri de çaldığını söyledi.
Şubat 2023’te LastPass, izinsiz girişin kurumsal kasaya erişimi olan yalnızca dört LastPass çalışanından biri olan bir mühendise karşı oldukça karmaşık, hedefli bir saldırı içerdiğini açıkladı. Bu olayda saldırganlar, çalışanın ev ağında çalıştırdığı Plex medya sunucusundaki bir güvenlik açığından yararlandı ve parolaları ve diğer kimlik doğrulama bilgilerini çalan kötü amaçlı yazılım yüklemeyi başardı. Davetsiz misafirlerin yararlandığı güvenlik açığı 2020’de düzeltildi ancak çalışan Plex yazılımını hiçbir zaman güncellemedi.
Plex, LastPass’ın Ağustos ayındaki ilk saldırısını açıklamasından bir gün önce kendi veri ihlalini duyurdu. 24 Ağustos 2022’de Plex’in güvenlik ekibi, bir davetsiz misafirin müşteri e-postalarına, kullanıcı adlarına ve şifrelenmiş şifrelere eriştiğini söyleyerek kullanıcıları şifrelerini sıfırlamaya çağırdı.
ÇİM SAVAŞLARI
Sosa ve Tylerb, SIM değiştiren rakip çetelerin fiziksel saldırılarına maruz kaldı. Bu toplulukların, siber suç kanallarında “hizmet olarak şiddet” olarak adlandırılan tekliflere başvurarak hesaplaştığı biliniyor; burada insanlar, tuğla örmek gibi coğrafi olarak belirli “gerçek hayatta” çeşitli işleri yapmak üzere işe alınabiliyor. camları kırmak, araba lastiklerini kesmek ve hatta evlere tecavüz etmek.
2022’de, popüler bir siber suç kanalında, saldırganların Urban’ın ebeveynlerinin Sanford, Florida’daki geniş ve lüks eviyle eşleşen bir adrese bir pencereden tuğla fırlattığını gösteren bir video ortaya çıktı.
Ocak ayındaki Sosa hikayesinde, mürettebatından “Foreshadow” adlı genç bir üyenin Eylül 2022’de kaçırıldığı, dövüldüğü ve fidye için alıkonulduğu belirtiliyordu. Foreshadow’u kaçıranlar, onu mürettebatına çatal atması için yalvaran bir video mesajı kaydetmeye zorlarken kanlı kafasına silah dayadılar hayatı karşılığında 200.000 dolardan fazla fidye (Foreshadow bu olayda daha fazla zarar görmekten kurtuldu).
Tylerb’in sık sık kullandığı bilinen Telegram’daki birçok SIM değiştirme kanalına göre, rakip SIM değiştirmeciler Şubat 2023’te evini istila etmek için haydutlar kiraladılar. Bu hesaplar, davetsiz misafirlerin Tylerb’in annesine ev işgali sırasında saldırdıklarını ve onu yakmakla tehdit ettiklerini belirtiyor. Eğer kripto para birimi cüzdanlarının anahtarlarını vermezse onu kaynak makinesiyle öldürecekti. Tylerb’in bu saldırıdan sonra Birleşik Krallık’tan kaçtığı söyleniyordu.
KrebsOnSecurity, Bay Buchanan’ın yorumunu istedi ve yanıt vermesi durumunda bu hikayeyi güncelleyecek.