FBI, bir tehdit grubunun sistemlere uzaktan erişim sağlamak ve hassas verileri çalmak için BT temalı sosyal mühendislik çağrıları ve geri arama kimlik avı e-postalarını kullandığını uyarıyor.
FBI Siber Bölümü’nün danışmanlığı, Luna Güve, Chatty Spider ve UNC3753 olarak da bilinen Sessiz Fidye Grubu (SRG), daha sonra çalınan verileri hukuk firmalarını zorlamak için kullanacağını söyledi.
Sessiz Fidye Grubu, hukuk firmalarını hedefleyen bir niş bulur
SRG tarihsel olarak tıbbi ve sigorta kuruluşları gibi diğer sektörleri hedeflerken, 2023 ilkbaharından başlayarak, grup ABD merkezli hukuk firmalarını ve kuruluşları “benzer adlandırma sözleşmeleri” ile tutarlı bir şekilde hedeflemiştir, dedi FBI, “muhtemelen yasal endüstri verilerinin son derece hassas doğası nedeniyle” dedi.
Grup 2022’den beri faaliyet göstermektedir ve öncelikle geri arama kimlik avı e-postaları olan, yani Ters Vishing ile bilinmektedir, burada grubun küçük abonelik ücretleri almayı iddia eden tanınmış şirketler gibi davranmaktadır. Mağdur sahte aboneliği iptal etmek istiyorsa, kurbana cihazlarına veya sistemlerine erişmek için uzaktan erişim yazılımı indirmek için bir bağlantı e -postayla gönderen tehdit aktörünü çağırmalıdır. Erişim belirledikten sonra, tehdit grubu, fidye ödenmezse verileri serbest bırakmakla tehdit eden kurbana bir fidye bildirimi için hassas verileri arayacak ve daha sonra fidye bildirimi gönderecektir.
Mart 2025’ten başlayarak, grup bireyleri arayarak ve kuruluşlarının BT departmanından, sosyal mühendislik çağrıları veya Vishing olarak bilinen, “sesli kimlik avı” olarak bilinen bir çalışan olduğunu iddia ederek taktikleri değiştirdi. Tehdit oyuncusu daha sonra çalışanın uzaktan erişim oturumuna katılmasını sağlamaya çalışır. Çalışan cihazlarına erişim sağlıyorsa, “çalışmaların bir gecede yapılması gerektiği söylenir” dedi.
FBI Advisory, “Mağdurun cihazına bir kez, tipik bir SRG saldırısı minimum ayrıcalık artışını ve ‘Winscp’ (Windows Güvenli Kopya) veya ‘RCLone’ ‘nin gizli veya yeniden adlandırılmış bir versiyonu aracılığıyla yapılan verilere hızlı bir şekilde pivotlar içeriyor.
FBI, kısa sürede SRG, “son derece etkili oldu ve birden fazla uzlaşmaya neden oldu” diye açıklayan taktik peşinde koşuyor.
Grup ayrıca kurban örgütlerini fidye müzakerelerine baskı yapmaya çağıracak. SRG’nin kurban verilerini yayınlamak için halka açık bir sitesi olsa da, “Siteyi kullanımlarında tutarsızdırlar ve her zaman mağdur verileri yayınlamayı takip etmezler” dedi.
SRG Vishing saldırıları tespit edilmesi zor
SRG meşru yönetim ve uzaktan erişim araçları kullandığından, saldırıların geleneksel antivirüs araçları tarafından tespit edilmesi olası değildir.
Kuruluşların aşağıdaki potansiyel uzlaşma belirtilerini izlemeleri tavsiye edilir:
- Zoho Assist, Syncro, Anydesk, Splashtop veya Atera gibi sistem yönetimi veya uzaktan erişim araçlarının yeni yetkisiz indirmeleri
- Harici bir IP adresine yapılan WINSCP veya RCLone bağlantıları
- İsimsiz bir gruptan verilerin çalındığını iddia eden e -postalar
- İsimsiz bir gruptan verilerin çalındığını iddia eden sesli mesajlar veya telefon görüşmeleri
- Bir telefon numarası sağlayan ve bekleyen ücretleri kaldırmak için bir çağrı gerektiren abonelik hizmetleri hakkında e -postalar
- BT bölümlerinde çalıştığını iddia eden bireylerden istenmeyen telefon görüşmeleri alan çalışanlar.
Öneriler şunları içerir:
- Kimlik avı hakkında personel eğitimi almak
- BT personelini çalışanlarla doğrulamak için politikaların geliştirilmesi ve iletilmesi
- Tüm çalışanlar için iki faktörlü kimlik doğrulama uygulamak.
FBI, SRG kurbanlarından fidye notları, tehdit oyuncusu tarafından kullanılan telefon numaraları, sesli mesajlar, kripto para cüzdanı bilgileri ve daha fazlası gibi yasal olarak paylaşılabilecek herhangi bir bilgi arıyor.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.