Büyük İngiliz perakendecilerini etkileyen üç yüksek profilli siber saldırının ardından, ülkenin Ulusal Siber Güvenlik Merkezi (NCSC), tüm şirketlerin siber güvenlik savunmalarını güçlendirmek için takip etmeleri önerildiği konusunda rehberlik yayınladı.
NCSC’nin uyarısını başlatan siber güvenlik ihlalleri, tüm milyonlarca İngiliz perakendecisi olan Marks & Spencer, Co-op ve Harrods’daki son hack’ler.
Saldırılar, dağınık örümcek ile ilişkili taktikleri kullanan bir Dragonforce fidye yazılımı saldırısına maruz kalan M&S ile başladı. Saldırı, çevrimiçi siparişleri, temassız ödemeleri ve şirketin Tıklama ve Toplama Hizmetini bozdu.
Geçen hafta, Co-op başka bir siber olay bildirdi ve VPN erişimini önlem olarak kısıtladı. Başlangıçta ihlalden kurtulduklarını ima ederken, Co-op Cuma günü saldırıda “önemli” miktarda müşteri verisinin çalındığını doğruladı.
1 Mayıs’ta Harrods, tehdit aktörlerinin ağını ihlal etmeye çalıştıklarını ve internet erişiminde kısıtlamalar yarattığını – aktif bir yanıt verme, ancak hiçbir ihlal doğrulanmasına rağmen doğruladı.
Her üç ihlal de Dragonforce operasyonu tarafından talep edildi ve BleepingComputer, tehdit aktörlerinin hem M&S hem de kooperatifi ihlal etmek için aynı sosyal mühendislik saldırısını kullandığını öğrendi.
Fidye yazılımı M & S’de konuşlandırılırken, ko-op şifrelemeler konuşlandırılmadan önce saldırıyı tespit edebildi ve durdurabildi
NCSC’nin güvenlik danışmanlığı, ajansın bu saldırıların ülkedeki tüm büyük işletmeler tarafından “uyandırma çağrısı” olarak kabul edilmesi gerektiği konusunda uyarmasından kısa bir süre sonra geliyor, çünkü bilgisayar korsanlarının çapraz kollarında bir sonraki hedef olabilir.
Atıf bulanık
Şu anda, NCSC saldırganların kim olduğu hakkında spekülasyon yapmamayı seçti ve bunu belirlemek için hala kurbanlarla birlikte çalışıyor.
NCSC, “İçgörülerimiz olsa da, henüz bu saldırıların bağlantılı olup olmadığını, bu tek bir aktör tarafından uyumlu bir kampanya olup olmadığını veya aralarında hiçbir bağlantı olup olmadığını söyleyecek bir konumda değiliz.” Dedi.
Diyerek şöyle devam etti: “Bunu tespit etmek için kurbanlar ve kolluk meslektaşları ile birlikte çalışıyoruz.”
Bununla birlikte, BleepingComputer, hem M&S hem de kooperatif saldırılarının, dağınık örümcek, Lapsus $ ve aynı telgraf kanallarını, anlaşmazlık sunucularını ve hack forumlarını sık sık sıklayan diğer tehdit aktörleri ile ilişkili taktikleri kullanarak bilgisayar korsanlarına atfedildiğini öğrendi.
Hem Marks & Spencer ve Co-Op’a yapılan saldırılar, şirketin BT yardım masası personeliyle temasa geçerken çalışanları taklit eden tehdit aktörleriyle başladı. Daha sonra, yardım masasını, ağa erişebilmeleri için taklit edilen çalışanın kimlik bilgilerini sıfırlamaya ikna etmek için sosyal mühendisliği kullandılar.
Bu nedenle NCSC, tüm şirketlerin bu tür ihlalleri algılamak ve engellemek için yardım masası sürecini gözden geçirmesini önermektedir.
NCSC’ye, “Yardım masasının, yardım masasının, özellikle artan ayrıcalıklara sahip olanları sıfırlamadan önce personel üyelerinin kimlik bilgilerini nasıl doğruladığı da dahil olmak üzere yardım masası yeniden sıfırlama işlemlerini inceleyin.”
Nihayetinde, NCSC hala çok fazla bilinmeyen olduğunu, ancak aynı zamanda bildikleri çok şey olduğunu söylüyor, bu nedenle devam eden araştırmaları ve/veya yanıtı etkilememek için bazı bilgiler yayından saklanabilir.
Güvenlik Önerileri
NCSC, İngiltere işletmelerinin riski takip etmeleri ve azaltması için güvenlik önerilerinin bir listesi yayınladı.
Bunlar aşağıdaki gibi özetlenebilir:
- Tüm sistemlere çok faktörlü kimlik doğrulama (MFA) kapsamlı bir şekilde dağıtın.
- Yetkisiz hesap kullanımı, özellikle Microsoft Entra ID korumasında işaretlenen riskli girişler için izleme.
- Meşru erişimi doğrulamak için alan adını, işletmeyi ve bulut yönetici hesaplarını düzenli olarak denetleyin.
- Şifre sıfırlanmadan önce güçlü kimlik doğrulamasını sağlamak için yardım masası prosedürlerini gözden geçirin.
- Güvenlik ekibinizin konut VPN’leri gibi olağandışı kaynaklardan gelen girişleri algılamasını sağlayın.
Ajans, saldırganların daha sonra savunmalarını test edebileceğinden, her büyüklükteki organizasyonları en kötüsüne hazırlamaya çağırıyor.
Her ikisi de bu saldırıları izleyen siber güvenlik uzmanları Kevin Beaumont ve Will Thomas, bu tür tehdit aktörlerini tespit etme ve engelleme konusunda ipuçlarını da paylaştılar.
Ülkenize bakılmaksızın tüm şirketlerin siber güvenlik duruşlarını güçlendirmek için bu rehberliği izlemeleri şiddetle tavsiye edilir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.