Gelişmiş sosyal mühendislik saldırılarıyla tanınan bir grup siber suçlu, en büyük fidye yazılımı gruplarından birine üye olarak katıldı.
Octo Tempest’in, dünya çapındaki organizasyonları tehlikeye atmak için sosyal mühendislik kampanyalarını kullanan, ana dili İngilizce olan bir grup siber suçlu olduğuna inanılıyor.
Grup başlangıçta SIM değişimiyle adını duyurdu. SIM değiştirme olarak da bilinen SIM değiştirme, bir hedefin cep telefonu numarasını yasadışı bir şekilde ele geçirme eylemidir. Bu çeşitli şekillerde yapılabilir, ancak en yaygın olanı kurbanın taşıyıcısına yönelik sosyal mühendislik saldırılarını içerir.
Octo Tempest hakkındaki bir güvenlik blogunda Microsoft şunu belirtiyor:
“Octo Tempest, diğer suçlulara SIM takasları satarak ve kripto para birimlerini çalmak için yüksek net değere sahip bireylerin hesaplarını ele geçirerek 2022’deki izinsiz girişlerinden para kazandı.”
O tarihten bu yana grup, faaliyet yelpazesini kablolu telekomünikasyon, e-posta ve teknoloji hizmetleri sağlayan kuruluşları hedeflemeyi ve ALPHV/BlackCat fidye yazılımı grubuyla ortaklık kurmayı içerecek şekilde genişletti.
Aylık fidye yazılımı incelemelerimizde ALPHV’yi genellikle dünyanın en çok kullanılan üçüncü hizmet olarak fidye yazılımı (RaaS) olarak göreceksiniz.
ALPHV, veri hırsızlığı ve/veya önemli dosyaların şifrelenmesi amacıyla mağdurlardan şantaj yapmak için birkaç suç örgütünün birlikte çalıştığı tipik bir RaaS grubudur. ALPHV fidye yazılımını, fidye pazarlığı için altyapıyı ve çalınan verilerin sızdırıldığı karanlık bir web sitesini sağlıyor. Hizmet, fiili saldırılar gerçekleştiren bağlı kuruluş adı verilen suç çeteleri tarafından kullanılıyor.
ALPHV üyesi olan Octo Tempest, dağıtımlarını öncelikli olarak VMWare ESXi sunucularına ve diğer karmaşık hibrit ortamlara odakladı.
Microsoft, bunu yaparken Octo Tempest’in doğal kaynaklar, oyun, konaklama, tüketici ürünleri, perakende, yönetilen hizmet sağlayıcılar, üretim, hukuk, teknoloji ve finansal hizmetler dahil olmak üzere gasp için hedeflediği sektörlerin sayısını giderek artırdığını bildirdi.
Octo Tempest’in bir bağlı kuruluş olması, ALPHV’ye SMS kimlik avı, SIM değiştirme ve gelişmiş sosyal mühendislik teknikleri gibi uzmanlık bilgisi kazandırır. Grup, kapsamlı teknik bilgiye ve çoklu klavye operatörüne sahip üyelerden oluşmaktadır.
Sosyal mühendislik saldırıları, etkili bir saldırı oluşturmak için yeterli yönetici haklarına sahip olan hesapları hedef alır. Örneğin Octo Tempest, izlerini gizli tutmak için güvenlik personelinin hesaplarını hedef alacak ve bu da güvenlik ürünlerini ve özelliklerini devre dışı bırakmalarına olanak tanıyacak.
Grup, her türlü sosyal mühendislik saldırısını kullanıyor ve son çare olarak, uymadıkları takdirde hedeflerini fiziksel şiddet ile tehdit etmekten çekinmiyor.
Octo Tempest tarafından kullanılan benzersiz bir teknik, tipik büyük veri operasyonlarına uyum sağlamayı amaçlayan verileri harici sunuculara çıkarmak için veri taşıma platformu Azure Data Factory’yi ve otomatik işlem hatlarını kullanmaktır.
Buna benzer şekilde grup, faaliyetlerinin fark edilmesini zorlaştıran birçok Araziden Yaşamak (LOTL) tekniği kullanıyor. Microsoft’un önerilerinden biri, ortamınızdaki yönetimsel değişiklikleri yakından takip etmektir.
Fidye yazılımından nasıl kaçınılır
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya virüs bulaştırmadan önce erkenden durdurun. Fidye yazılımı sunmak için kullanılan kötüye kullanımları ve kötü amaçlı yazılımları önleyebilecek uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği kullanan ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri döndüren Malwarebytes EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğramayın. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.
Malwarebytes Yönetilen Tespit ve Yanıt (MDR), güvenlik kaynakları açığınızı basit ve etkili bir şekilde kapatır, bilinmeyen tehdit riskinizi azaltır ve güvenlik verimliliğinizi katlanarak artırır. Malwarebytes MDR, kritik tehditlerin hızlı bir şekilde tanımlanmasını ve kapsamlı bir müdahalenin hızlı bir şekilde uygulanmasını sağlayan, müşteri uç noktalarıyla uygulamalı olan son derece deneyimli Tier 2 ve Tier 3 analistlerinden oluşan bir kadroya sahiptir.
MDR hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.
ŞİMDİ DENE