Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Araştırmacılar, Kimlik Avı Platformunun Büyük İşletmelerin E-posta Güvenliği Saldırılarını Otomatikleştirdiğini Buldu
Mathew J. Schwartz (euroinfosec) •
6 Eylül 2023
Çevrimiçi dolandırıcılar, geçen yılın ortasından bu yana en az 8.000 uç noktadan yararlanarak maliyetli iş e-postası saldırı planlarını gerçekleştirmek için kimlik avı araç seti kullanıyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Bu nedenle, siber güvenlik firması Group-IB’nin yeni bir raporu, saldırıların W3LL Panel adı verilen ve iş e-postası güvenliği ihlali saldırısının her yönünü otomatikleştirmeyi vaat eden ve çok faktörlü kimlik doğrulamayı atlama yeteneğini de içeren bir araç setinden kaynaklandığını söylüyor. 500’den fazla aktif kullanıcısı bulunmaktadır.
Group-IB, Ekim 2022’den bu yana en az 56.000 kurumsal Microsoft 365 kurumsal hesabına yönelik W3LL tarafından başlatılan saldırıları desteklemek için en az 850 benzersiz kimlik avı sitesinin kullanıldığını ve bu hesapların en az 8.000’inin ele geçirilmesine yol açtığını tespit ettiğini söyledi. Rapor, uzlaşma göstergelerini, savunucuların W3LL destekli saldırıların bilinen işaretlerini belirlemek için kullanabileceği YARA kurallarını ve hafifletme rehberliğini içerir.
Gürültülü fidye yazılımı saldırılarına kıyasla manşetlere çıkma olasılığı daha düşük olan BEC saldırıları, aslında daha fazla bilinen kayıplara yol açar. FBI’ın İnternet Suçları Şikayet Merkezi, diğer adıyla IC3, 2022’de BEC dolandırıcılıklarından kaynaklanan kayıpların toplam 2,7 milyar dolara ulaştığını ve bunların yatırım dolandırıcılıklarından sonra toplam çevrimiçi dolandırıcılık kayıplarında ikinci sırada yer aldığını (3,3 milyar dolar) bildirdi. IC3’ün raporuna göre, bildirilen toplam BEC zararları yıllık bazda artmaya devam ederek 2021’de 2,4 milyar dolar ve 2020’de 1,9 milyar dolardan yükseldi.
Tek bir başarılı BEC saldırısı, kurbanın milyonlarca dolarlık kayba uğramasına yol açabilir. Uzmanlar bunun, organize suç çeteleri tarafından giderek daha fazla gerçekleştirilen daha karmaşık BEC saldırılarına yönelmeye yol açtığını söylüyor (bkz: ABD Adalet Bakanlığı, 6 Milyon Dolarlık Ticari E-posta Güvenliği Dolandırıcılığından 6 kişiyi Suçladı).
Platformlar Saldırı Zincirini Otomatikleştiriyor
Bağımsız bir hizmet olarak kimlik avı araç kitlerinin ötesine geçerek, yalnızca araçlar değil, yönetilen hizmetler de sunan W3LL Panel gibi platformlar, popüler bir üründür çünkü tüm bir saldırıyı (diğer adıyla “öldürme zinciri”) yürütmek için gereken her parçanın otomatikleştirilmesine yardımcı olurlar. ” Bu, hedefleri tehlikeye atmayı, hesapları tanımlamayı ve çeşitli saldırı senaryolarından birini yürütmek için e-posta hesabını seçip kullanmayı içerir. Group-IB’nin Avrupa Yüksek Teknoloji Suç Araştırma Departmanı başkan yardımcısı Anton Ushakov ve Martijn van den Berk tarafından yazılan raporda, bunların arasında “veri hırsızlığı, sahte fatura dolandırıcılığı, hesap sahibinin kimliğine bürünme veya kötü amaçlı yazılım dağıtımı” yer aldığı belirtiliyor. tehdit istihbaratı analisti.
Hepsi bir arada seçenekler için kullanıcıların birden fazla araç seçeneği vardır. Ushakov, Information Security Media Group’a şunları söyledi: “Kafein ve DEV-1101, aynı zamanda W3LL Panel ile bazı ortak işlevleri paylaşan Microsoft 365 kimlik bilgilerini çalmak üzere tasarlanmış diğer hizmet olarak kimlik avı platformlarıdır.” Evilginx2 ve Modlishka gibi açık kaynaklı kimlik avı araç kitleri aynı zamanda kullanıcıların oturum çerezlerini çalmasına ve MFA’dan kaçmasına olanak tanıyan ortadaki düşman işlevselliğini de sunuyor, ancak “bunların karmaşıklık düzeyi ve yetenekleri W3LL Panel’e kıyasla daha az gelişmiş” dedi. .
Raporda, daha gelişmiş dolandırıcıların, keşif yapmak ve kendi hedef listelerini oluşturmak için W3LL Panel’i kullandığı ya da bu tür bilgileri, genellikle bilgi çalan kötü amaçlı yazılımlar yoluyla toplanan çalıntı kimlik bilgilerini satan favori günlük pazarlarından satın aldıkları belirtiliyor.
Bu beceriye veya eğilime sahip olmayan kullanıcılar için, W3LL topluluğunun mağazasında, SMTP’nin yanı sıra, güvenliği ihlal edilmiş web hizmetleri (web kabukları ve cPanel erişimi dahil) dahil olmak üzere kimlik avı kampanyalarının yürütülmesine yardımcı olmak için tasarlanmış yaklaşık 12.000 ürün satılmaktadır. Büyük miktarlarda kimlik avı e-postaları, kimlik bilgileri listeleri (diğer adıyla günlükler) ve daha fazlasını göndermek için kullanılabilen sunucular. Rapora göre mağazanın geçen Ekim ayından bu yana en az 500.000 dolar değerinde ürün sattığı görülüyor.
“W3LL Store’u ve ürünlerini diğer yer altı pazarlarından ayıran şey, W3LL’nin yalnızca bir pazar yeri değil, aynı zamanda BEC’in neredeyse tüm öldürme zincirini kapsayan ve siber suçlular tarafından kullanılabilen tamamen uyumlu özel bir araç seti ile karmaşık bir kimlik avı ekosistemi yaratmasıdır. tüm teknik beceri seviyelerinde” dedi Ushakov.
Özellik Aralığı
Rapor, W3LL tarafından kullanılan bir dizi ek teklif ve stratejiyi ayrıntılarıyla anlatıyor:
- Toplum: W3LL, sorun giderme sistemleri ve canlı web sohbeti de dahil olmak üzere müşteri destek hizmetleri sunan ve İngilizce konuşan bir çevrimiçi topluluk tarafından desteklenen, W3LL Store adı verilen kapalı bir yer altı pazarından edinilebilir.
- Tavsiyeler: W3LL reklam vermese de (katılmanın tek yolu ağızdan ağza yönlendirmedir) aktif kullanıcı tabanı artık 500’ün üzerindedir. Küçük boyut belki de kitin “etkililiğini ve desteğini” korumak için neyin gerekli olduğunu yansıtıyor ve belki de aynı zamanda mümkün olduğu kadar uzun süre radarın altında kalmak.”
- Abonelik: W3LL Panel kimlik avı kiti abonelik yoluyla satılır (ilk üç ay için 350 ABD doları, ardından ayda 150 ABD doları) ve özellikle Microsoft 365 e-posta hesaplarını kötüye kullanmak için tasarlanmıştır.
- Eklentiler: SMTP ve SMS göndericileri, kimlik avı URL’leri oluşturmak için kötü amaçlı bir bağlantı hazırlayıcı ve hedefleri toplamak için keşif araçları dahil olmak üzere 16’ya kadar araç, her biri ayda 50 ila 350 ABD Doları arasında eklenebilir.
- Kopyalamayı önleme: Kimlik avı kiti yazılımının her kopyası, korsanlığın önlenmesine yardımcı olmak için benzersiz bir etkinleştirme koduna bağlıdır.
- Güncellemeler: Araçlar, tespit edilmelerinin zor olmasına yardımcı olmak için sık sık güncellenir.
- Eğitim: Teknik açıdan daha az bilgili kullanıcılara rehberlik etmek için video eğitimleri mevcuttur.
- Coğrafyalar: Araç herhangi bir hedefe karşı kullanılabilse de, çoğunlukla ABD, Birleşik Krallık, Avustralya ve AB’nin bazı bölgelerinde (özellikle Almanya, Fransa, İtalya, İsviçre ve Hollanda) mağdurları hedeflemek için kullanılıyor.
- Sektörler: En çok hedeflenen sektörler imalat, BT, finansal hizmetler, danışmanlık, sağlık ve hukuk hizmetleri oldu.
Group-IB, tüm bulguları kolluk kuvvetleriyle paylaşacağını söyledi.