Google bugün, korsanların Birleşik Krallık’taki perakende zincirlerine karşı dağınık örümcek taktikleri kullandıkları konusunda uyardı.
Google Tehdit İstihbarat Grubu baş analisti John Hultquist, “ABD perakende sektörü şu anda dağınık örümcek olarak da bilinen UNC3944 ile bağlantılı olduğundan şüphelendiğimiz fidye yazılımı ve gasp operasyonlarında hedefleniyor.” Dedi.
Diyerek şöyle devam etti: “Uzun bir aradan sonra İngiltere’de perakende satış hedeflediği bildirilen aktörün, çabalarını bir seferde tek bir sektöre odaklama geçmişi var ve sektörü yakın vadede hedeflemeye devam edeceklerini tahmin ediyoruz. ABD perakendecileri not almalı.”
BleepingComputer tarafından ilk olarak bildirildiği gibi, İngiliz perakende devi Marks & Spencer (M&S) ilk olarak, tehdit aktörlerinin bir Dragonforce şifreleyicisi olan VMware ESXI ev sahiplerinde şifrelediği bir fidye yazılımı saldırısında ihlal edildi. Bu saldırı, Microsoft’un dağınık örümcek adı olan Octo Tempest’e bağlandı.
Co-op ayrıca, saldırganların birçok mevcut ve eski üyeden veri çaldığını doğrulayan başka bir siber olay yaşadı. Harrods ayrıca, 1 Mayıs’ta saldırganların ağına sızmaya çalıştıktan sonra sitelere internet erişimini kısıtlamak zorunda kaldığını açıkladı ve bir ihlalin onaylanmamış olmasına rağmen bir siber saldırıya aktif bir yanıt önerdi.
Dragonforce Fidye yazılımı operasyonu üç saldırıyı da iddia etti ve BleepingComputer, onları düzenleyen saldırganların dağınık örümcek tehdidi aktörleriyle bağlantılı aynı sosyal mühendislik taktiklerini kullandığını öğrendi. Dragonforce Aralık 2023’te ortaya çıktı ve son zamanlarda diğer siber suç gruplarının hizmetlerini beyaz etiketlemesine izin vermek için tasarlanmış yeni bir hizmetin reklamını yapmaya başladı.
Dağınık Örümcek Nisan ayında İngiltere perakendecilerini hedeflemeye başladığından, İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), İngiltere kuruluşlarının siber güvenlik savunmalarını güçlendirmelerine yardımcı olmak için rehberlik yayınladı ve bu siber saldırıların bir sonraki hedef haline gelebileceği için “uyandırma çağrısı” olarak görülmesi gerektiği konusunda uyardı.
İngiltere NCSC, bu olayları henüz belirli bir hack grubuna veya tehdit aktörüne bağlamadı ve bunu belirlemek için hala kurbanlarla birlikte çalıştığını söyledi.
NCSC, “İçgörülerimiz olsa da, henüz bu saldırıların bağlantılı olup olmadığını, bu tek bir aktör tarafından uyumlu bir kampanya olup olmadığını veya aralarında hiçbir bağlantı olup olmadığını söyleyecek bir konumda değiliz.” Dedi. Diyerek şöyle devam etti: “Bunu tespit etmek için kurbanlar ve kolluk meslektaşları ile birlikte çalışıyoruz.”
Dağınık örümcek tehdidi aktörleri
Dağınık örümcek (ayrıca 0ktapus, UNC3944, dağınık domuz, starfraud ve çamurlu Terazi olarak da izlenir), dünya çapında birçok yüksek profilli örgütü ihlal ettiği bilinen bir tehdit kolektifini tanımlamak için kullanılan bir terimdir.
Saldırıları, Eylül 2023’te MGM Resorts’u ihlal ettiklerinde, Blackcat fidye yazılımlarını, 100’den fazla VMware ESXI hipervizörünü, IT yardım masasını çağırırken bir çalışanı taklit ederek ağa ihlal ettikten sonra şifrelemek için yükseltti.
O zamandan beri, Ransomhub, Qilin ve şimdi Dragonforce dahil olmak üzere diğer çeşitli fidye yazılımı operasyonları için bağlı olarak hareket ettiler. Dağınık Örümcek ile bağlantılı diğer saldırılar arasında Twilio, Coinbase, Doordash, Caesars, Mailchimp, Riot Games ve Reddit’teki saldırılar bulunmaktadır.
Bazı dağınık örümcek tehdidi aktörlerinin de, medyanın dikkatini çeken siber saldırılara ve şiddetli eylemlere katılan gevşek bağlantılı bir topluluk olan “com” un bir parçası olduğuna inanılmaktadır.
Bu siber suçlular 16 yaşına kadar gençtir ve çoğu, saldırılarını gerçek zamanlı olarak planladıkları ve yürüttükleri aynı telgraf kanallarını, anlaşmazlık sunucularını ve hacker forumlarını sık sık sıklayan İngilizce konuşmacılardır.
Haber kuruluşları ve güvenlik araştırmacıları, bu kolektifi uyumlu bir çete olarak tanımlamak için sık sık “dağınık örümcek” kullansa da, saldırıları sırasında belirli taktikleri kullanan gevşek örgülü bir tehdit aktörlerini ifade ederek faaliyetlerini izlemeyi zorlaştırır.
Hultquist, “Bu aktörler agresif, yaratıcı ve özellikle olgun güvenlik programlarını atlatmada etkilidir. Sosyal mühendislik ve hedeflerine giriş yapmak için üçüncü taraflardan çok başarılı oldular.”
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.