Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Fidye Yazılımı
Gevşek Organize Grubun Üyeleri Yakın Zamanda RansomHub ile Ortaklığa Bağlandı
Mathew J. Schwartz (euroinfosec) •
21 Kasım 2024
“Dağınık Örümcek” siber suç grubunun gevşek bir şekilde bağlantılı olduğu iddia edilen beş üyenin iddianamesi, grubun daha geniş faaliyetlerini sekteye uğratacak mı?
Ayrıca bakınız: Kurumsal Tarayıcılar İçin Kesin Kılavuz
ABD Adalet Bakanlığı Çarşamba günü, ikişer tanesi Teksas’ta, birer tanesi Florida ve Kuzey Carolina’da olmak üzere dört suçlanan ABD üyesine karşı bir iddianameyi açıkladı ve son ikisinin gözaltında olduğunu söyledi. İspanyol polisi Mayıs ayında başka bir şüpheliyi, 22 yaşındaki İskoç uyruklu Tyler Robert Buchanan’ı tutuklamıştı. Federal savcılar onun iadesini istiyor.
FBI, suçlanan beş şüphelinin ABD ve Kanada, İngiltere ve Hindistan da dahil olmak üzere yurt dışında bulunan en az 45 şirketin hedef alınmasıyla bağlantılı olduğunu söyledi.
Bu kişilerin hepsinin, 2022 ortasında ortaya çıktığından bu yana MGM Resorts, Clorox ve potansiyel olarak kripto para birimi ticaret platformu Coinbase Global dahil olmak üzere çok daha fazla kuruluşa (en az 130) toplu olarak saldıran Scattered Spider’ın şüpheli üyeleri olduğu belirtiliyor.
Scattered Spider, anadili İngilizce konuşma becerilerini kullanarak yardım masalarını kandırması, SIM değiştirme ve kimlik avı saldırıları gerçekleştirmesi, çok faktörlü kimlik doğrulama itme istekleriyle hedefleri ezmesi ve kurbanlardan büyük miktarda fidye talep etmesiyle tanınır.
Gruba karşı savunma yaparken karşılaşılan zorlukların bir kısmı, üyeliğinin büyük ölçüde Batılı bireylerin ülke içi saldırılar başlatmasından ödün vermesidir.
Küresel yönetilen hizmetler sağlayıcısı TRG’nin bir parçası olan siber güvenlik çözümleri sağlayıcısı Inversion6’nın CISO’su Ian Thornton-Trump, “Dağınık Örümcek’i bozmak zor” dedi. “Genel olarak bunlar, siber güvenlik çözümleri (veya aslında başka herhangi bir şey) satan çok başarılı satış ve pazarlama uzmanları olmak yerine, becerilerini dünyanın en büyük şirketlerinden bazılarına sosyal mühendislik yapmak için kullanmaya karar veren, İngilizce konuşan, yetenekli sosyal mühendislerdir. dünya.”
Grup, çok katmanlı bir yaklaşım kullanma konusunda bir üne sahiptir. İskoç sızma testi şirketi Closed Door Security’nin CEO’su William Wright, MGM Resorts örneğinde “saldırganlar, saldırılarını daha inandırıcı göstermek için temel e-posta kimlik avı yöntemini kullanmak yerine işleri bir adım daha ileri götürdüler” dedi. “LinkedIn’de bir çalışanı takip ettiler ve ardından parola sıfırlama talebinde bulunan bir BT yardım masası çalışanıyla temasa geçtiler. Yeni parola güvence altına alındıktan sonra bir MFA yorgunluk saldırısı gerçekleştirdiler ve bu da onlara sisteme erişim izni vermek için yeterliydi.”
Dağınık Örümcek hiçbir etik sınır tanımıyor gibi görünüyor. Bir üyenin, daha önce UnitedHealth Group’un bir parçası olan Change Healthcare’e yönelik Şubat saldırısını gerçekleştirdiği ve sistemlerine Rusya merkezli ortağı ALPHV, yani BlackCat’ten gelen fidye yazılımı bulaştırdığı iddia edildi. UHG, Western Scattered Spider bağlı kuruluşuna önceden kararlaştırılan kesintiyi vermek yerine ALPHV’ye 22 milyon dolar değerinde olduğu bildirilen bir fidye ödediğinde, operatörler fidyenin tamamını kendilerine saklayarak kapandı. Buna yanıt olarak Batılı kuruluş, çalınan verileri sızdırmakla tehdit ederek UHG’yi ikinci kez sallamaya başladı. İşletmenin daha fazla fidye ödeyip ödemediği ise belirsizliğini koruyor. Açık olan şey, sağlık kuruluşunun ve hastalarının karşı karşıya kalmaya devam ettiği büyük aksama ve risktir (bkz: Sağlık Hizmeti Saldırısının Maliyet Tahminini Değiştirin Yaklaşık 2,9 Milyar Dolara Ulaştı).
Thornton-Trump, Scattered Spider’ın neden olduğu büyük aksama göz önüne alındığında, “iş dünyasının siyasetle buluştuğu üst kademede, kolluk kuvvetlerinin ‘bu adamlar hakkında bir şeyler yapması’ yönündeki baskının büyük olasılıkla çok büyük olacağını” söyledi. “Bu, uluslararası kolluk kuvvetlerinin bu gruba karşı gösterdiği topyekun çabadır çünkü inanılmaz derecede tehlikeli olduklarını kanıtladılar.”
Dağınık Örümcek’in Hızlı Hareketleri
Scattered Spider üyelerinin yakın zamanda gelecek vadeden fidye yazılımı operasyonu RansomHub ile ortaklık kurduğu görüldükçe bu tehlike devam edebilir.
Siber güvenlik firması Reliaquest, Scattered Spider’a atfedilen bir saldırının, bir saldırganın RansomHub’un kripto kilitleme kötü amaçlı yazılımını serbest bırakmadan önce bir üretim kuruluşunun SharePoint ve ESXi ortamlarında hızla gezinmesini içerdiğini söyledi.
ReliaQuest bir blog yazısında, “Saldırgan, kuruluşun yardım masasına iki kez sosyal mühendislik saldırıları gerçekleştirerek iki çalışanın hesabına ilk erişimi elde etti.” dedi. “Altı saat içinde saldırgan örgütün sistemlerini şifrelemeye başladı.”
Düşük Karmaşıklıktaki Saldırılar
Güvenlik uzmanları Scattered Spider’ın izini, kendisini “Topluluk” olarak adlandıran, diğer adıyla Com veya Comm olan ve son yıllarda Lapsus$ ve Oktapus, diğer adıyla 0ktapus gibi isimleri de ortaya çıkaran siber suç topluluğuna kadar takip ediyor. Grupların üyeleri mutlaka örtüşmese de, taktiklerinin, tekniklerinin ve prosedürlerinin çoğu benzerdir ve çoğu zaman teknik açıdan karmaşık değildir (bkz: Yükselen Fidye Yazılımı Sorunu: İngilizce Konuşan Batılı Bağlı Şirketler).
Bununla birlikte, kazançları çok büyük oldu. FBI, Buchanan’ın bir zamanlar şu anda 30 milyon dolar değerinde en az 391 Bitcoin’i kontrol ettiğini söyledi. Büro, 2023 yılında İskoçya Polisi tarafından Buchanan’dan ele geçirilen 20 sistemin dijital adli tıp kopyasını analiz etti. İddia edilen çabalar arasında meşru şirket URL’lerine benzeyecek şekilde kaydedilen alan adları, kimlik bilgisi hırsızlığını otomatikleştirmek için herkesin kiralayabileceği bir kimlik avı kitinin kullanılması ve “SIM değiştirme” yer alıyordu. ve sosyal mühendislik” şemaları.
Bu taktikler, geçen yıl kamu-özel ABD Siber Güvenlik İnceleme Kurulu tarafından yayınlanan Lapsus$ ve benzeri gruplara ilişkin bir raporun bulgularını yansıtıyor; bu rapor, genellikle kuruluşların kimlik doğrulama eksikliklerinden yararlanan nispeten basit saldırılar kullanarak başarılı olduklarını tespit etti. hücresel operatörlerin SIM değiştirme saldırılarına karşı zayıf savunması (bkz: Siber İnceleme: Gençler Düşük Karmaşıklıktaki Saldırılarla Kaosa Neden Oldu).
Açık Sorular
ABD’nin suçlamaları ve tutuklamaları sonunda Dağınık Örümcek’i ezebilecek mi? Google Cloud Mandiant’ın CTO’su Charles Carmakal, tutuklamaların “zaman içinde grubun bu yılki hızlı temposunu önemli ölçüde engellediğini” söyledi. İspanyol polisi, FBI tarafından paylaşılan kanıtlara dayanarak tutuklanan İskoç şüphelinin Scattered Spider’ın kilit üyelerinden biri olduğunu söyledi.
Carmakal, “Bunun, işbirliği yaptıkları diğer aktörlere, sonuçlardan muaf olmadıklarına dair bir mesaj göndermesini umuyoruz.” dedi.
Daha önceki siber suçlara yönelik baskıların da vurguladığı gibi, caydırıcılık tam bir strateji değildir; özellikle de riske karşı yüksek toleransa sahip olan veya Rusya’da bir üs sahibi olan gençlerin ve genç yetişkinlerin elde etmeye devam edebilecekleri devasa yasadışı kazançlar göz önüne alındığında. Yeni oyuncuların akını sabit kalacak gibi görünüyor.
Bu grupların kolluk kuvvetleri tarafından herhangi bir şekilde engellenmesi memnuniyetle karşılanır ve gereklidir. Ancak cevaplanmamış bir soru var: Scattered Spider’ın kaç kilit üyesi serbest kalabilir? Bu tür grupların oluşturduğu risk, özellikle CSRB tarafından iyice belgelenmiştir. Daha iyi savunmalar, kuruluşların bu tür suçluların uzmanlaştığı akıcı konuşan, düşük karmaşıklıktaki saldırıların kurbanı olmamalarını sağlamak için kilit rol oynamaya devam ediyor.