İspanyol Polisi Dağınık Örümceğin Liderini Tutukladı

İspanyol polisi Cuma günü İspanyolca bir basın açıklamasında, yetkililerin 22 yaşındaki şüphelinin adını vermediğini ancak onu “şirketlerden ve kripto para birimlerinden bilgi hırsızlığına adanmış organize bir grubun lideri” olarak tanımladığını söyledi.

Resmi olmayan raporlar, şüphelinin MGM Resorts, Clorox ve potansiyel olarak kripto para birimi ticaret platformu Coinbase Global dahil olmak üzere 130’dan fazla kuruluşa saldıran siber suç grubu Scattered Spider’ın bir parçası olduğunu öne sürüyor. Grup, yardım masalarını kandırmasıyla ve MFA savunmalarını atlatmak için çok faktörlü kimlik doğrulama talepleriyle çalışanları bunaltmasıyla tanınıyor.

İspanyol polisi, FBI tarafından paylaşılan istihbaratın, şüphelinin kripto para cüzdanı sahiplerine karşı bir dizi kimlik avı saldırısı gerçekleştirmeye yardım ederek, kimlik bilgilerini ve ardından dijital paralarını çalarak bir kerede değeri 27 milyon doların üzerinde en az 391 Bitcoin’in kontrolünü ele geçirdiğini öne sürdü.

Şüpheliyi 31 Mayıs’ta, Batı Akdeniz’deki bir İspanyol adası olan Mallorca’daki tatil kenti Palma’daki havaalanında, İtalya’nın Napoli kentine charter uçağa binmeye hazırlanırken tutukladılar. Ayrıca taşıdığı dizüstü bilgisayar ve cep telefonuna da el konuldu.

FBI yorum talebine hemen yanıt vermedi.

Cumartesi günü, X sosyal platformunda siber suç odaklı bir araştırma hesabı olan vx-underground, “tutuklanan kişinin ‘Tyler’ takma adı altında faaliyet gösterdiğini” ve Scattered Spider siber suç grubunun bir parçası olduğu iddia edilen bir SIM takasçısı olduğunu bildirdi.

SIM değiştirme, saldırganların hesap ele geçirme amacıyla hedefin cep telefonu numarasının kontrolünü ele geçirmesi anlamına gelir.

Vx-underground Tyler hakkında şunları söyledi: “En önemlisi, MGM fidye yazılımı saldırısının önemli bir bileşeni olduğuna inanılıyor ve Scattered Spider tarafından gerçekleştirilen diğer birçok yüksek profilli fidye yazılımı saldırısıyla ilişkili olduğuna inanılıyor.”

Benzer şekilde, cumartesi günü siber güvenlik blog yazarı Brian Krebs, “soruşturmaya aşina olan kaynaklara” atıfta bulunarak, şüphelinin İskoçya’nın Dundee kentinden olduğunu, “adının Tyler Buchanan olduğunu ve SIM değiştirme merkezli Telegram sohbet kanallarında iddiaya göre ‘tylerb’ olarak da bilindiğini” bildirdi. “

Buchanan İspanya’da tutuklu kalmaya devam ediyor. Yetkililer, FBI’ın Los Angeles şubesinin mayıs ayı sonlarında kendilerine, çok sayıda ABD firmasına yönelik çevrimiçi saldırılara karıştığından şüphelenilen bir İngiliz vatandaşının nerede olduğu konusunda sorular sorduğunu söyledi. İspanyol polisi, şüphelinin ülkeye mayıs ayı sonunda Barselona’nın El Prat havaalanından girdiğini tespit etti. FBI daha sonra Kaliforniya’nın merkezindeki bir ABD bölge mahkemesi yargıcından Uluslararası Tutuklama Emri aldı.

Buchanan’ın tutuklanması, Scattered Spider üyesi olduğu iddia edilen 19 yaşındaki Florida sakini Noah Michael Urban’ın Ocak ayındaki baskınının ardından geldi. Aralarında elektronik dolandırıcılık ve ağırlaştırılmış kimlik hırsızlığının da bulunduğu 14 suçlamayla karşı karşıya (bkz: Floridalı Genç 800.000 Dolarlık Kripto Hırsızlığıyla Federal Suçlamalarla Karşı Karşıya).

Scattered Spider, CrowdStrike’ın, Buchanan’ın önderlik ettiği iddia edilen ve 2022’nin sonlarında ortaya çıkan siber suç grubuna verdiği kod adıdır. Grubun üyeleri, operasyona Yıldız Sahtekarlığı adını veriyor ve büyük oranda ABD ve İngiliz yerlilerinden oluşuyor. Grup, Google Cloud’un Mandiant’ı tarafından UNC3944, Group-IB tarafından 0ktapus, Microsoft tarafından Octo Tempest, Okta tarafından Scatter Swine ve Palo Alto’nun Unit 42 tehdit istihbarat grubu tarafından Muddled Libra olarak adlandırılıyor.

Güvenlik araştırmacıları, grubun büyük ölçüde ABD ve İngiltere’den gelen ve Com olarak bilinen bir siber suç topluluğunun üyesi olan gençlerden veya yirmili yaşların başındaki kişilerden oluştuğunu söylüyor (bkz.: Yükselen Fidye Yazılımı Sorunu: İngilizce Konuşan Batılı Bağlı Şirketler).

Perşembe günü yayınlanan bir raporda Mandiant, “Başlangıçta UNC3944, operasyonlarında kimlik bilgisi toplama ve SIM değiştirme saldırılarına odaklandı, sonunda fidye yazılımı ve veri hırsızlığı gaspına geçiş yaptı.” dedi. Son zamanlarda, grubun “fidye yazılımı kullanmadan öncelikle veri hırsızlığı gaspına yöneldiği” belirtildi. Hedeflerdeki bu değişiklik, hedeflenen sektörlerin ve kuruluşların genişlemesini hızlandırdı.”

Mandiant, grubun ayrıca Amazon Web Services, CrowdStrike, CyberArk, Google Cloud Platform, Microsoft Azure, SalesForce ve VMware vCenter’dan SaaS uygulamalarına yetkisiz erişim sağlamak için çalınan kimlik bilgilerini kullandığını söyledi.

Mandiant, “SaaS uygulamaları kuruluşlar için ilginç bir ikilem teşkil ediyor; çünkü sorunları belirlemek için izlemeyi nerede ve kimin yapması gerektiği konusunda gri bir alan var” dedi. “Tescilli veya korunan bilgileri” işleyen herhangi bir SaaS uygulaması için firma, kuruluşların “güvenlik ekiplerinin kötü niyetli niyet işaretlerini inceleyebilecekleri güçlü bir günlük kaydı yeteneğine” sahip olmalarını sağlamasını tavsiye ediyor.

Geçtiğimiz ay, bir siber güvenlik risk şirketi olan Resilience Cyber ​​Insurance Solutions, suç grubunun “odak noktasını finans sektörüne ve büyük sigorta şirketlerine” çevirdiğini ve “sahte giriş sayfaları oluşturmak da dahil olmak üzere kimlik avı taktikleri kullanarak, Grup, hedef şirketlerindeki şüphelenmeyen çalışanlardan hassas kimlik bilgileri elde etmede başarılı oldu.”

Resilience’dan bir araştırmacı Bloomberg’e, Scattered Spider’ın PNC Financial Services Group, New York Life Insurance Co., Synchrony Financial, Transamerica ve Visa gibi firmaların çalışanlarını hedeflemek için kullandığı benzer giriş sayfaları oluşturduğunu söyledi.

Resilience, grubun bu saldırılarda başarılı olup olmadığının net olmadığını söyledi.