Dijital kimlikleri çalmaya yönelik büyük bir kampanya 100’den fazla büyük kuruluşu vuruyor. Önleyici siber savunma firması Silent Push’taki araştırmacılar, faaliyetin ShinyHunters ile koordineli çalışan ShinyHunters tarafından yürütüldüğünü söylüyor. Dağınık Lapsus$ Avcıları Firma, SLSH olarak takip ettiği daha geniş bir ittifakın parçası olarak.
Silent Push’a göre blog yazısıBu bilgisayar korsanları yalnızca otomatikleştirilmiş botlar kullanmıyor; bunun yerine sesli kimlik avı adı verilen insan odaklı bir yöntem kullanıyorlar veya dilekler. Bu, gerçek bir kişinin çalışanları veya yardım masalarını arayarak onları giriş bilgilerini vermeleri için kandırmasını içerir.
Hile nasıl çalışıyor?
Grubun Canlı Kimlik Avı Paneli adı verilen bir araç kullandığı bildiriliyor. Bildiğimiz kadarıyla şirketlerin çoğu, Tek Oturum Açma (TOA), örneğin OktaBu, bir çalışanın tüm iş uygulamaları için tek bir şifre kullanmasına olanak tanır. Bilgisayar korsanları, gerçeğine tamamen benzeyen sahte bir giriş sayfası oluşturdular.
Kurban bilgilerini girdiğinde saldırgan ortada oturup gerçek zamanlı olarak izliyor. Bu, standart güvenliği etkili bir şekilde aşarak, kullanıcının telefonuna gönderilen özel güvenlik kodlarını bile çalmalarına olanak tanır. Araştırmacılar bunu, suçluların şirketteki her uygulamaya ve veri parçasına erişmesini sağlayan bir “iskelet anahtarı” olarak tanımladı.
Saldırının hedefi
Bu bilgisayar korsanlarının içeri girdikten sonra belirli bir planlarının olduğunu belirtmekte fayda var. Araştırmacılara göre şirkete şantaj yapmak için hassas dosyaları hızla çalıyorlar. İşletme ödeme yapmazsa, bilgisayar korsanları genellikle şirketin verilerini kullanılamayacak şekilde kilitler. Daha ayrıntılı incelemeler, çalınan hesapları Slack veya Teams gibi uygulamalar üzerinden diğer çalışanlara mesaj göndermek için de kullandıklarını ve sistem içinde daha da fazla güç kazanmak için iş arkadaşı gibi davrandıklarını ortaya çıkardı.
Kurbanların listesi telekom sektöründeki Telstra, Mercury Insurance gibi büyük isimler ve Canva ve ZoomInfo gibi teknoloji şirketleri de dahil olmak üzere birçok sektörü kapsıyor. Son 30 günde hukuk firmaları ve sağlık hizmeti sağlayıcıları bile hedef alındı.
Noktaları birleştirme: Son sızıntılar
Silent Push’un bu uyarısı, ShinyHunters üyelerinin tehditlerinin ne kadar ciddi olduğunu zaten kanıtladığı bir zamanda geldi. Son kapsama Hackread.com tarafından hazırlanan bir rapor, ShinyHunters grubunun özellikle aktif olduğunu ve birkaç gün önce karanlık ağda yeni bir sızıntı sitesi başlattığını gösteriyor.
Raporlara göre grup, fidye taleplerinin göz ardı edilmesinin ardından SoundCloud, Crunchbase, Betterment ve Panera Bread gibi büyük isimlerin çalınan verilerini yayınlamaya başladı. Milyonlarca kişisel kaydı içeren bu son sızıntılar, araştırmacıların belirttiği “öde ya da sızdır” stratejisinin SLSH ittifakının işleyişi açısından merkezi olduğunu vurguluyor.
Güvende kalmak için personeli bu sahte aramalar konusunda uyarmak önemlidir ve oturum açma yardımına yönelik herhangi bir tuhaf istek derhal yöneticilere bildirilmelidir. İşletmeler ayrıca “Yeni Cihaz Kaydedildi” uyarıları ve ardından olağandışı konumlardan yapılan oturum açma işlemleri için güvenlik günlüklerini kontrol etmelidir. Şirketler, bu sahte alan adlarını erken engellemek için bir erken uyarı sistemi kullanarak, bilgisayar korsanlarını daha ilk telefon görüşmelerini yapmadan durdurabilirler.