Finans ve Sigorta Sektörlerine Saldıran Dağınık Örümcek


Bilgisayar korsanları, sahip oldukları büyük hacimli hassas veriler nedeniyle sıklıkla finans ve sigorta sektörlerini hedef alıyor.

Bu alanlar, büyük miktarlarda değerli ve kritik finansal bilgileri, kişisel kimlikleri ve fikri mülkiyeti yönetir.

Sistemleri ihlal edildiğinde, tehdit aktörleri banka hesaplarına veya kredi kartı ayrıntılarına ve diğer önemli istismar edilebilir bilgilere erişerek bunları gasp veya dolandırıcılık yoluyla mali kazanç elde etmek amacıyla manipüle edebilir.

Üstelik operasyonlarına müdahale edilen bu kritik öneme sahip alanlar kullanılarak ciddi fidye talepleri de yapılabiliyor.

Resilience’daki siber güvenlik araştırmacıları yakın zamanda Scattered Spider’ın dünya çapında finans ve sigorta sektörlerine aktif olarak saldırdığını keşfetti.

Dağınık Örümcek

MGM ve Caesars Casino gibi şirketlerin ihlallerini ihlal ederek ün kazanan bir grup bilgisayar korsanı olan Scattered Spider, saldırısını şimdi sigorta şirketlerini ve bankaları da kapsayacak şekilde genişletti.

Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın

Örneğin, gerçek alandan neredeyse ayırt edilemeyen, yanıltıcı etki alanları kullanabilirler, en uygun zamanda saldırmak için zamanlanmış olabilirler ve yalnızca birkaç saat süren güçlü saldırgan saldırılar gerçekleştirebilirler.

Hatta hedeflenen sistemler üzerinde uzaktan kontrol elde etmek için SIM kartlarını değiştirmeye kadar gidiyorlar ve sonuç olarak kimlik avı ve kimlik bilgisi hırsızlıklarına karşı güçlü kimliğe bürünme savunmalarının aciliyetini vurguluyorlar.

Başka bir acımasız grubun üyesi olan BlackCat (AlphV olarak da bilinir), şu ana kadar devlet kurumlarında 30’dan fazla kurbanla tehdit edici niteliğini hiçbir şekilde kaybetmiyor, bu da savunucuların daha dikkatli olması gerektiği anlamına geliyor.

Gelişmiş Kalıcı Tehdit grubu Scattered Spider, 2022’den bu yana finans motivasyonlu saldırıları takip ediyor.

Bu cesur rakip, SIM değiştirme yetenekleri için öncelikle telekomünikasyon şirketlerini hedef aldı, ardından sosyal mühendislik erişimi elde etmek amacıyla kurbanlarla doğrudan iletişime geçti.

2023 yılına gelindiğinde odak noktalarını, en önemli hedeflerden biri olan Caesars Entertainment ve MGM Resorts’a başarılı bir şekilde sızmayı mümkün kılmak için BlackCat fidye yazılımı yaratıcılarıyla ortaklık kurmaya kaydırdılar.

Scattered Spider’ın kampanyalarında, mevcut herhangi bir hedeften yararlanmak yerine artık yalnızca kurumsal düzeyde yüksek değerli kuruluşlar için geçerli olan karmaşık bir seçim sürecini içeren yakın zamanda bir strateji değişikliği var.

Dayanıklılık Raporu’na göre, bu kurnaz grupların çok katmanlı taktikleri hâlâ telekom sağlayıcılarını girişte tutuyor ve bu da sürekli tetikte olmayı gerektiriyor.

Scattered Spider, sahte Okta oturum açma sayfalarını barındırdıkları “kurbanadı-sso.com” gibi kurbanların kimliğine bürünmek için benzer alanlar satın alma gibi cesur bir stratejiye sahiptir.

telynyx Okta kimlik avı sitesi (Kaynak – Dayanıklılık)

Bu kimlik avı sitelerinde “Yardıma mı ihtiyacınız var?” gibi kaba parmak izleri var. Bu, gerçek bir Okta alt alan adına bağlantı veren ancak yanlış bir isme sahip olan ve form gönderimlerinin “/f*ckyou.php” yönünde olduğu bir site.

Yasadışı eylemleriyle ünlü Star Fraud veya The Com hacker topluluğunun bir parçası olduğuna inanılan Scattered Spider’ın, veri ayıklamak için rahatsız edici Telegram kanalını kullandığı söyleniyor.

Charter Communications Okta kimlik avı sayfası (Kaynak – Dayanıklılık)

Başlangıçta telekomünikasyon sektörlerini hedef alan bu grup, charter-vpn.com alan adlarını kullanarak Charter Communications’a yaptıkları son saldırının da gösterdiği gibi gıda, sigorta, perakende, teknoloji ve oyun endüstrilerine doğru yöneldi.

Asurion CMS kimlik avı sayfası ve Asurion Okta kimlik avı sayfası (Kaynak – Dayanıklılık)

Scattered Spider’ın, benzer alan adlarını kullanan ve Okta kampanyaları gibi görünen ve aynı kuruluşları hedeflemeden önce 12-48 saat süren “CMS Kontrol Paneli Girişi” başlıklı sahte CMS giriş sayfalarını kullanan bir zıpkın avlama kampanyasıyla tanımlandığı belirlendi.

On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free



Source link