Dalış Özeti:
- ReliaQuest'in Salı günü yayınlanan Yıllık Siber Tehdit Raporu'na göre, tehdit aktörleri 2023'teki tüm güvenlik olaylarının %71'inde kimlik avı bağlantıları veya saldırıları kullandı.
- Raporda, tehdit aktörlerinin geçen yıl ele geçirilen bir ortama ilk erişimi sağlamak için kullandığı taktik, teknik ve prosedürlerin çoğunun kullanıcı etkileşimi veya hatayla bağlantılı olduğu belirtildi. “Bu, saldırganların ezici bir çoğunlukla, şüphelenmeyen bireylerin güvenini ve savunmasızlığını istismar ederek ilk erişimi elde ettiğini gösteriyor.”
- ReliaQuest, kimlik avının, tehdit aktörlerinin ilk erişime ulaşmak için kullandığı en yaygın yol olmaya devam ettiğini ve geçen yıl ilk erişimle ilgili olayların %70'ini oluşturduğunu söyledi.
Dalış Bilgisi:
Kimlik avı asla modası geçmeyen bir klasiktir. Bireyleri hassas bilgileri ifşa etmeleri için kandırmak veya güvenli sistemlere erişim izni vermek gibi sosyal mühendislik taktikleri, işe yaradıkları için tehdit aktörleri arasında popülerdir.
Bu yemler insan davranışlarından yararlanır ve güveni bir silaha dönüştürür.
ReliaQuest teknik operasyonlardan sorumlu Kıdemli Başkan Yardımcısı Michael McPherson, e-posta yoluyla şunları söyledi: “Kimlik avı, saldırganın çok az çıktı veya karmaşıklık gerektirmesi ve insan merakı nedeniyle işe yaraması nedeniyle yaygındır.”
MGM Resorts, Caesars Entertainment ve Clorox'a yönelik büyük saldırılardan sorumlu tehdit aktörlerinden oluşan Scattered Spider, sosyal mühendislik alanında uzmandır ve bu taktikleri geniş ölçekte kullanan en dikkat çekici ve aktif fidye yazılımı grupları arasındadır. Grup, bazı saldırılarında AlphV fidye yazılımını kullanıyor.
ReliaQuest, Scattered Spider'ın geçen Eylül ayında bir yardım masası çalışanını kimlik bilgilerini sıfırlaması için kandırmak için sosyal mühendislik kullandığını ve bu geçerli kimlik bilgileriyle çok faktörlü bir kimlik doğrulama saldırısı gerçekleştirdiğini söyledi. Saldırının spesifik hedefi belirlenmedi.
Araştırmacılar, bu erişimin Scattered Spider'ın Microsoft Azure platformundaki yapılandırmaları değiştirmek için bulut yönetim komutlarını kullanarak güvenliği ihlal edilmiş ortamda kod yürütmesine olanak tanıdığını söyledi. Fidye yazılımı grubu daha sonra kurban kuruluşun CyberArk ve LastPass kimlik bilgilerinin ana şifrelerini e-posta doğrulaması yoluyla elde etti ve sıfırladı.
ReliaQuest, “İnsan etkileşimi ve MFA saldırıları, Scattered Spider grubunun 2023'teki yüksek profilli saldırılarının çoğunda ilk erişimi elde etmesini sağladı” dedi.
ReliaQuest, kimlik avıyla mücadele etmek için kuruluşları biyometri ve oturum belirteci ömrünün kısaltılması da dahil olmak üzere kimlik doğrulama tekniklerine odaklanmaya teşvik ediyor. McPherson, “Bu önlemler kimlik avı ve diğer yaygın sosyal mühendislik saldırılarına karşı dayanıklılığı büyük ölçüde artırabilir” dedi.