Finans ve Bankacılık, Olay ve İhlallere Müdahale, Sektöre Özel
Çalınan Veriler Sosyal Güvenlik Numaralarını ve Cezai Soruşturmaların Detaylarını İçeriyor
Mathew J. Schwartz (euroinfosec) •
8 Ekim 2024
Para transfer sistemi MoneyGram Ödeme Sistemleri, geçen ay altyapısına saldıran bilgisayar korsanlarının müşteri verilerini çaldığını söyledi.
Ayrıca bakınız: İnfografik: Rakamlarla Finansal Hizmetler Kimlik Güvenliği
Dallas merkezli MoneyGram, 23 Eylül’deki saldırıyı tespit ettikten sonra birden fazla sistemi çevrimdışına aldı. Şirketin hizmetlerini etkileyen bir kesinti, sosyal medyadaki çok sayıda müşterinin ayrıntılarına göre 20 Eylül’de başladı. Şirket ertesi gün kesintiyi kamuoyuna duyurdu.
Pazartesi günü yapılan bir güncellemede şirket, izinsiz giriş soruşturmasına yardımcı olması için izinsiz giriş müdahale firması CrowdStrike’ı işe aldığını söyledi. MoneyGram daha sonra sistemleri geri yükledi ve 26 Eylül’de “normal ticari operasyonlara” devam etti.
27 Eylül’deki soruşturmacılar, saldırganların 20-22 Eylül tarihleri arasında çok sayıda müşteri verisini çaldığını tespit etti.
MoneyGram, 200’den fazla ülkede yılda 200 milyar dolardan fazla işlem gerçekleştirmektedir. MoneyGram tarafından geçen ay yayınlanan bir müşteri anketinin sonuçları, yurt dışına para göndermek için bu hizmeti kullananların neredeyse yarısının bunu aile yemek masraflarını karşılamak için yaptığını, üçte birinden fazlasının ise acil durum masraflarını karşılamak için para gönderdiğini söylüyor. Üçte birinden fazlası bu hizmeti konut masraflarını karşılamak için kullandığını bildirdi.
MoneyGram, “etkilenen bilgi türleri etkilenen kişiye göre değişirken” çalınan bilgilerin şunları içerdiğini söyledi:
- Müşteri isimleri;
- Telefon numaraları, e-posta ve posta adresleri dahil iletişim bilgileri;
- Doğum tarihleri;
- Sosyal Güvenlik numaraları – “sınırlı” ölçüde;
- Ehliyet taramaları gibi resmi kimlik belgelerinin kopyaları;
- Elektrik faturaları gibi kimlik belgeleri;
- Banka hesap numaraları;
- İşlem tarihleri ve tutarları gibi işlem ayrıntıları;
- Ödül programı numaraları;
- Dolandırıcılık gibi suç soruşturmalarıyla bağlantılı bilgiler.
Müşteriler bu hafta Birleşik Krallık da dahil olmak üzere birçok ülkedeki kesintileri bildirmeye devam etti, ancak bunların hack saldırısıyla bağlantılı olup olmadığı belli değil.
MoneyGram soruşturmanın devam ettiğini söyledi. Henüz etkilenen tüketicilerin sayısını kamuya açıklamadı veya ABD dışındaki müşterilere ait bilgilerin ne ölçüde çalınmış olabileceğini ayrıntılarıyla açıklamadı.
Şirketin soruşturması hakkında bilgisi olan isimsiz bir kaynak, Bleeping Computer’a, izinsiz girişin MoneyGram’ın BT yardım masasına yönelik bir sosyal mühendislik saldırısına dayandığını ve fidye yazılımı içermediğini söyledi. Yayında, sosyal mühendislik hilesinin, bilgisayar korsanının “bir çalışanın kimlik bilgilerini kullanarak MoneyGram ağına erişmesine ve şirketin Windows Active Directory Hizmetlerindeki çalışan bilgilerini hedeflemesine” olanak tanıdığı bildirildi.
Taktik Paralel Dağınık Örümcek
MoneyGram saldırısını hiçbir saldırgan veya grup üstlenmese de, bu tür taktikler, CrowdStrike tarafından Scattered Spider kod adı verilen ve aynı zamanda UNC3944, 0ktapus, Octo Tempest, Scatter Swine ve Muddled Libra olarak da bilinen siber suç grubunun kullandığı taktiklerle paralellik gösteriyor.
Çoğunlukla Amerikalılar ve İngilizlerden oluşan grup, kendisini “Yıldız Sahtekarlığı” olarak adlandırıyor ve 2022 sonlarında kendisine “Topluluk” adını veren, Lapsus$’ın da içinden çıktığı Com veya Comm adlı siber suç topluluğunun bir kolu olarak ortaya çıktı.
Scattered Spider, hızlı bir şekilde gerçekleştirilen, yüksek profilli yardım masası sosyal mühendisliği ve çok faktörlü kimlik doğrulama atlatma saldırılarıyla ilişkilendirilmiştir.
Google’ın Mandiant olay müdahale grubu Haziran ayında, grubun başlangıçta “operasyonlarında kimlik bilgisi toplama ve SIM değiştirme saldırılarına odaklandığını, sonunda fidye yazılımı ve veri hırsızlığı gaspına geçiş yaptığını” ancak o zamandan beri “öncelikle veri hırsızlığı gaspına yöneldiklerini” bildirdi. fidye yazılımı kullanımı.”
Bazı kilit üyelerin tutuklanmasına rağmen, oldukça merkezi olmayan grup yoluna devam ediyor gibi görünüyor (bkz: İspanyol Polisi Dağınık Örümceğin Liderini Tutukladı).
Grubun bugüne kadar 130’dan fazla kurbanı arasında MGM Resorts, Clorox ve potansiyel olarak kripto para birimi ticaret platformu Coinbase Global yer alıyor.