W3LL olarak bilinen bir tehdit aktörünün oluşturduğu genişleyen bir kimlik avı imparatorluğu dünya çapında yayılıyor ve son 10 ayda Avustralya, Avrupa ve ABD’de 8.000’den fazla kurumsal Microsoft 365 işletme hesabının güvenliğini başarıyla ele geçirdi.
Group-IB tarafından yapılan bir araştırmaya göre, W3LL’nin araçları geçen Ekim ayından bu yana en az 56.000 Microsoft 365 hesabını hedef aldı ve %14,3’lük bir uzlaşma başarı oranına sahip. Firmanın araştırmacıları, aynı dönemde siber çetenin araçlarına atfedilen ve imalat, BT, finansal hizmetler, danışmanlık, sağlık hizmetleri ve hukuk hizmetleri dahil olmak üzere çeşitli sektörleri hedef alan 850’ye yakın benzersiz kimlik avı web sitesi belirledi.
Öncelikle W3LL, kampanyalarını oluşturmak için W3LL Paneli olarak bilinen son derece gelişmiş bir kimlik avı kitini kullanabilen 500’den fazla siber suçludan oluşan bir ağa hizmet veren, adını taşıyan, özel bir yer altı pazarı oluşturdu.
“W3LL Store’u ve ürünlerini diğer yer altı pazarlarından ayıran şey, W3LL’nin yalnızca bir pazar yeri değil, aynı zamanda BEC’in neredeyse tüm öldürme zincirini kapsayan ve kullanıcılar tarafından kullanılabilen tamamen uyumlu özel bir araç seti ile karmaşık bir kimlik avı ekosistemi yaratmasıdır. Grup-IB’nin Avrupa Yüksek Teknoloji Suç Soruşturma Departmanı başkan yardımcısı Anton Ushakov, yaptığı açıklamada, “Bu siber suçlular her teknik beceri seviyesinden siber suçlulardır” dedi.
Araştırmacılar, gizli topluluğun yaklaşık altı yıldır radar altında kaldığını söyledi.
Group-IB’nin 6 Eylül’de yayımlanan W3LL bulgularına göre “Geliştirici, W3LL mağazasının reklamını yapmıyor ve müşterilerinden bu mağazayla ilgili bilgileri çevrimiçi ortamda yaymaktan kaçınmalarını istiyor.” BEC suçlularının dar çevresi… [and] W3LL Panel’in her bir kopyasının, kitin yeniden satılmasını veya kaynak kodunun çalınmasını önleyen token tabanlı aktivasyon mekanizması yoluyla etkinleştirilmesi gerekiyor.”
3LL-Oiled: Kapsamlı Bir Kimlik Avı Panelinin İçinde
W3LL Paneli, çok faktörlü kimlik doğrulama (MFA) atlama yetenekleri ve iş e-postası güvenliğinin ihlali (BEC) saldırılarını gerçekleştirmek için diğer 16 “tamamen özelleştirilmiş araç” ile Microsoft 365 hesaplarını hedeflemek üzere özel olarak tasarlanmıştır. Bunlar arasında SMTP göndericileri (PunnySender ve W3LL Sender), kötü amaçlı bir bağlantı hazırlayıcı (W3LL Redirect), bir güvenlik açığı tarayıcısı (OKELO), otomatik bir hesap keşif aracı (CONTOOL), keşif araçları ve daha birçok Group-IB araştırmacısı gibi lisanslanabilir modüller yer alır. kayıt edilmiş.
Araştırmacılar, bu özelliğin, kâr üzerinden 70/30’luk bir pay teklif edilen hizmet olarak kimlik avı ortaklarına açık olduğunu söyledi. Piyasa ayrıca diğer güvenilir bağlı kuruluşları topluluğa dahil etmek için %10’luk bir “yönlendirme bonusu” da sunuyor. Kampanyalar, geçen Ekim ayından bu yana W3LL ekibine toplamda 500.000 dolar kazandırdı.
2018’den bu yana “platform [has] Group-IB’nin bulgularına göre, W3LL’nin düzenli olarak araçlarını günceller, yeni işlevler ekler, algılama önleme mekanizmalarını iyileştirir ve yenilerini oluşturur.
Araştırmacılar şunları ekledi: “W3LL Mağazası, biletleme sistemi ve canlı web sohbeti aracılığıyla ‘müşteri desteği’ sağlıyor. Araçları kullanmak için gerekli becerilere sahip olmayan siber suçlular, eğitim videolarını izleyebilir.”
Group-IB’ye göre W3LL Panel’i kullanan kimlik avcıları, veri hırsızlığı, sahte fatura dolandırıcılığı, hesap sahibinin kimliğine bürünme veya kötü amaçlı yazılım dağıtımı da dahil olmak üzere çeşitli amaçlarla ele geçirilen e-posta hesaplarını kullanmakla ilgilenebilir.
Araştırmacılar, “BEC saldırısına maruz kalan bir şirket için sonuçlar, doğrudan mali kayıpların (binlerce ila milyonlarca dolar arasında değişen) ötesine geçebilir ve veri sızıntılarına, itibar kaybına, tazminat taleplerine ve hatta davalara kadar uzanabilir.” kayıt edilmiş.
W3LL, Kimlik Avı Yapanlara Tehlikeli Bir Gelişmişlik Getiriyor
Araştırmacılar, kimlik avı kitleri ve hizmet olarak kimlik avı teklifleri yeni bir şey değil, ancak W3LL’nin son derece verimli süreçleri ve profesyonelleştirilmiş iş modeli, gelişmişlik açısından bir evrime işaret ediyor ve araştırmacılar, kuruluşların e-posta kaynaklı tehditlere karşı siber korumalarını iki katına çıkarmaları gerektiğini belirtiyor.
KnowBe4 güvenlik farkındalığı savunucusu Erich Kron, “Şirketlerin, ebeveynlerinin bodrumunda kod yazmaya çalışan bir çocukla karşı karşıya olmadıklarını anlamaları gerekiyor; bunlar iyi organize edilmiş ve ellerinde bol miktarda kaynak bulunan büyük ölçekli operasyonlar” diyor . “Siber suçlarda bu tür bir evrimin sonunu kesinlikle görmedik. Yapay zeka (AI), savunma tarafında olduğu gibi bu saldırı tekliflerini de artıracak, bu nedenle kuruluşların ve bireylerin daha ikna edici saldırılara hazırlıklı olmaları gerekiyor. telefon, kısa mesaj veya e-posta veya hatta bunların bir kombinasyonu yoluyla.”
Mimecast’in teknoloji ve ürün sorumlusu David Raissipour, işletmelerin kendilerini korumak için siber güvenliğe katmanlı bir yaklaşım benimsemeleri gerektiğini söylüyor.
“Güvenliği ihlal edilmiş hesaplarla ilgili anormallikler açısından oturum açma etkinliğini izlemeleri gerekiyor” diyor. “Parolaları düzenli olarak sıfırlamaları ve MFA’yı zorunlu kılmaları gerekiyor (bu tehdidin yeni zorluklar yaratmasına rağmen). Son olarak, güvenilir kaynaklardan geliyor gibi görünseler bile, olağandışı istekleri sorgulamak için çalışanlarını eğitmeleri gerekiyor.”
Ancak artan kimlik avı dalgasıyla mücadele etme sorumluluğunun yalnızca kurumsal hedefler olmadığını da ekliyor. Diğer eleştirileri de yineleyen Raissipour, başarılı saldırılarda Microsoft’un da suçlu olduğunu söylüyor.
“Satıcıların platformlarını ve müşterilerini korumak için benzer adımlar atması gerekiyor” diye belirtiyor. “Sorun, satıcıların güncellemeleri ve sorunları şeffaf ve proaktif bir şekilde iletme konusunda sorumlu tutulmamasıdır. Kötü bir aktörün bir araç seti oluşturması için zaman varsa, bu, satıcının bunu bildiği ve hasar oluşana kadar yanında durduğu anlamına gelir. Microsoft, Baskın bir platform sağlayıcısıyız ve artık müşterilerini itibarlarının ve kârlarının önüne koymanın zamanı geldi.”
Microsoft, yorum talebine hemen yanıt vermedi.