Fidye Yazılımı Grubu Salesforce Verileri Aradığı için iş günü ihlal edildi

Workday, saldırganı, müşteri kiracıları veya orada tutulan veriler gibi şirketin kendi bulut tabanlı altyapısını ihlal etmediğini söyledi.

Şirket, saldırganın sosyal mühendislik saldırılarında kullanılabilecek adlar, e -posta adresleri ve telefon numaraları gibi kurumsal iletişim bilgilerini “öncelikle” çaldığını söyledi. Firma, “Workday’ın bir şifre veya diğer güvenli ayrıntılar istemek için asla telefonla kimseyle iletişime geçmeyeceğini hatırlamak önemlidir.” Dedi.

2005 yılında kurulan ve merkezi Pleasanton, California’da bulunan halka açık, 8,4 milyar dolarlık bulut tabanlı yazılım firmasından gelen ihlal uyarısı, üçüncü taraf CRM platformlarına karşı benzer bir müdahaleler dalgası ve birçoğu, kurumun satış kuvvetleri CRM örneğine doğrudan erişim sağlamasına yardımcı olan şirketleri içeren benzer bir müdahalenin ortasında geliyor. Firma, halka açık en büyük 500 ABD firmasının% 60’ının yazılımını kullandığını söylüyor.

Şirket, saldırının ne zaman meydana geldiğini, kaç kişinin etkilendiğini veya CRM yazılımı markasını kullandığını belirtmedi.

Firmaya yönelik saldırı, siber suçlu kolektiflerin dağılmış örümcek ve parlaklık ve bazen de Lapsus $ ‘ın bir parçası olduğunu iddia eden bireylerin devam eden kampanyalarının başka bir örneği olabilir.

Bu saldırıların çoğu, Salesforce bulut tabanlı CRM yazılım örneklerine erişim sağlamak için kandırılan kuruluşların izlenmesi. Salesforce, müşterilerine yönelik saldırıların hiçbirinin CRM yazılımında herhangi bir güvenlik açığı içermediğini söyledi. Bilgisayar korsanları kurbanları bir saldırgana CRM verilerine doğrudan erişim sağlamaları için kandırıyor.

Dağınık örümcek saldırıları genellikle bir kurbanın ortamında konuşlandırılan fidye yazılımlarını ve fidye için çalınan verileri içerir. Shinyhunters’a kadar izleyen saldırılar sadece veri golünü içerir. Görünen siber suç kolektifi üyeleri, hangi adın seçtikleri saldırı türüne uyduğunu kullandıklarını öne sürdüler.

Bir Örümcek Anatomisi

Dağınık örümcek, Shinyhunters ve Lapsus $, büyük ölçüde Batılı gençlerden oluşan topluluk olarak bilinen Com veya Comm olarak bilinen siber suç kolektifinden ortaya çıktı. Güvenlik uzmanları, 2022’den beri dağınık örümcek saldırılarını izliyorlar ve birçoğunun saldırganların sosyal mühendislik becerileri sayesinde, anadili İngilizce olanlar tarafından desteklenen. Dağınık Örümcek Kurbanları, 2024’ün ortalarında Las Vegas Giants Caesars Entertainment ve MGM Resorts ve Clorox gibi markalar da dahil olmak üzere 130’dan fazla organizasyonu içeren büyük isim organizasyonlarını içeriyordu.

Grup genellikle “büyük şirketleri hedefler ve sözleşmeli BT yardım masaları”, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı ve Ortakları geçen ay güncellenmiş bir danışma raporunda uyardı. Grubun taktikleri sıklıkla değişir ve son zamanlarda daha da sofistike sosyal mühendislik tekniklerinin yanı sıra, verileri ve şifrelemek için fidye yazılımı için yeni kötü amaçlı yazılım türlerine sahiptir.

Temmuz ayında fidye yazılımı müdahale firması Coveware, “Arayanlar sabırlı, sevimli ve hedeflerini taklit etmek için doğru bilgi cephaneliği ile silahlı.” Dedi. Bir ağda bir dayanak elde ettikten sonra, “kurbanın çevreyi içerme tek seçeneğinin operasyonları proaktif olarak kapatmak olduğu için” hızlı bir şekilde yükselmek ve sürdürmek için hızlıdırlar “dedi. Diyerek şöyle devam etti: “Kendi kendine meydana gelen bu bozulma genellikle gereklidir, ancak bir maliyetle gelir ve saldırının medyada hızla alınacağını etkili bir şekilde garanti eder.”

CISA’nın danışmanlığı, kuruluşların kaynak sistemlerinden ayrı olarak saklanan ve düzenli olarak test edilen çevrimdışı yedeklemelere sahip olması gerektiğini söyledi. Kuruluşlar, mümkün olan her hesabı korumak için kimlik avına dayanıklı çok faktörlü kimlik doğrulamasını kullanmalı ve onaylanmamış yazılımın yürütülmesini engellemek için “izin verme” uygulama kontrollerini kullanmalı, ancak sınırlı erişim programları da dahil.

Geçen yıl COM üyelerinin bir dizi tutuklaması, yılın ortasından bu yana İngiliz perakendecileri Marks & Spencer’ı ihlal etmeyi ve bunu Adidas ve Victoria’s Secret gibi Amerikalı perakendecileri içeren kolektifin çabalarını engellemiş gibi görünmüyor. Grup, AFLAC ve Allianz Life, Air France, KLM ve Qantas dahil olmak üzere küresel havayolları ve teknoloji devleri Cisco ve Google gibi Amerikalı sigorta şirketlerini hedefliyor. Bu saldırıların hepsi Salesforce yazılımını içerdiği doğrulanmadı.

Üyeler, bir seferde belirli bir sektöre sabitleme eğilimindedir ve kısa bir süre boyunca bir sektörde mümkün olduğunca çok fazla saldırırlar. Tehdit istihbarat firması Flashpoint Cuma raporunda, “Endüstriler muhtemelen algılanan kârlılık veya sosyal mühendislik kolaylığına göre seçiliyor.” Dedi. “Bu kampanya tarzı tehdit aktörlerine özgü olmasa da, bu grubun operasyonlarının farklı bir özelliğidir.”

Güvenlik uzmanları, bu tür her durumda, saldırganların çoğunlukla hassas olmayan iş iletişim verileri aldıklarını söyledi.

Dağınık örümcek ve parıltılı saldırılara verilen dikkat, üyelerinin kafalarına gidiyor olabilir. 8 Ağustos’ta gruplara bağlı bireyler, daha önce bilinmeyen kurbanları adlandıran, veri boşaltma, ihlal edilen örgütlerin ekran görüntülerini paylaşan ve SAP netweaver’ın iddia ettiği iddia edilen bir sıfırlık gününü serbest bırakan “dağınık örümcek Lapsu $ SP1D3R avcıları” adlı bir telgraf kanalı başlattı (bkz. Dağınık Örümcek ve Parlaklıkların Sonraki Hareketi: Sızan Veriler).

Telegram görünüşe göre ilk kanallarını engelledikten sonra, grup @ScatteredSp1d3rhunters ve @leavemialonefbi de dahil olmak üzere çeşitli farklı tutamaklar kullanarak yeniden ortaya çıktı. Bu, devlet kuruluşlarını ve Fortune 500 üyelerinin kamuya açık en büyük ABD şirketlerinin listesini hedeflemek için “COM Operasyonu” nu duyurmayı içeriyordu.