Genç Siber Suçlulardan Oluşan Bir Grup Şu Anda Siber Saldırıların 'En Yakın Tehlikesi'ni Oluşturuyor

Boş market rafları ve yere indirilmiş uçaklar, ister aşırı hava olayı , ister halk sağlığı krizi , ister jeopolitik acil durum olsun, bir krizin habercisi olma eğilimindedir. Ancak Birleşik Krallık, Amerika Birleşik Devletleri ve Kanada'da son haftalarda yaşanan bu kaos sahneleri, görünüşe göre keyif süren gençlerden oluşan bir kolektif tarafından gerçekleştirilen finansal olarak motive edilmiş siber saldırılar tarafından meydana getirildi.

Scattered Spider olarak adlandırılan kötü şöhretli bir siber suç grubu, BT yardım masası çalışanlarını kandırarak hedef şirketlere sızmak için sosyal mühendislik tekniklerini kullanmalarıyla bilinir. Araştırmacılar, grubun belirli bir sektördeki işletmeler tarafından yaygın olarak kullanılan arka uç sistemleri hakkında uzmanlık kazandığını ve daha sonra bu bilgiyi başka bir sektöre geçmeden önce bir hedef kümesini vurmak için kullandığını söylüyor. Grup, kurbanlarını tehlikeye attıktan sonra genellikle fidye yazılımı dağıtıyor veya veri gaspı saldırıları gerçekleştiriyor.

Geçtiğimiz yıl kolluk kuvvetlerinin artan baskısı, Scattered Spider ile bağlantılı olduğu iddia edilen beş şüphelinin suçlanması ve tutuklanmasıyla sonuçlanınca, araştırmacılar grubun 2024'te daha az aktif olduğunu ve düşük profilli kalmaya çalışıyor gibi göründüğünü söylüyor. Ancak grubun son haftalardaki artan saldırıları, Scattered Spider'ın yenilmek şöyle dursun, bir kez daha cesaretlendiğini gösteriyor.

Google'ın tehdit istihbaratı grubunun baş analisti John Hultquist, "Sosyal mühendislik söz konusu olduğunda Scattered Spider'da benzersiz becerilere sahip bazı aktörler var ve güvenlik sistemlerimizde başarıyla yararlandıkları büyük bir boşluk tespit ettiler," diyor. "Bu grup kritik altyapımıza ciddi saldırılar düzenliyor ve en yakın tehdidi ele alma fırsatını kaçırmadığımızı umuyorum."

Her ne kadar bir dizi olay kamuoyuna açıklanmamış olsa da, İngiltere'deki market zincirlerine, Kuzey Amerika'daki sigorta şirketlerine ve uluslararası havayollarına yönelik son dönemdeki yoğun saldırı dalgası büyük ölçüde Scattered Spider ile ilişkilendirildi. Mayıs ayında, İngiltere Ulusal Suç Ajansı, İngiliz perakendecilere yönelik saldırılarla bağlantılı olarak Scattered Spider'ı incelediğini doğruladı . Ve FBI, Cuma günü yayınladığı bir uyarıda, "siber suç grubu Scattered Spider'ın hedef alanını havayolu sektörünü de kapsayacak şekilde genişlettiğini" gözlemlediğini söyledi . Uyarı, Kuzey Amerika havayolları Westjet ve Hawaii Airlines'ın siber suç saldırılarının kurbanı olduklarını söylemesinin ardından geldi. Çarşamba günü, Avustralyalı havayolu şirketi Qantas da bir siber saldırıya uğradığını söyledi, ancak bu saldırının grubun kampanyasının bir parçası olup olmadığı hemen belli olmadı.

Güvenlik şirketi CrowdStrike'ta karşıt düşman operasyonlarından sorumlu kıdemli başkan yardımcısı Adam Meyers, "Yavaşladılar ve 2024 boyunca bir süreliğine dağıldıklarını gördük," diyor. "Sonra son birkaç ayda geri döndüler, önce perakendeyi vurdular, sonra sigorta şirketlerini ve en son da havayollarını hedef aldılar."

Scattered Spider, üyeleri SIM kart değiştirme saldırılarından Caesar's Entertainment ve MGM Resorts'a yönelik felç edici fidye yazılımı saldırıları başlatmaya geçtiğinde, 2023'ün sonlarına doğru yüksek profilli bir grup olarak ortaya çıktı. İkincisi, MGM'ye toparlanmak için yaklaşık 100 milyon dolara mal oldu. Araştırmacılar, kolektifin çoğunlukla ABD veya İngiltere'de bulunan İngilizce konuşan gençler ve genç erkeklerden oluşan finansal olarak motive edildiğini vurguluyor. Scattered Spider bilgisayar korsanları, birçoğu taciz, gasp ve çocuk istismarı yapan potansiyel olarak binlerce trol ve suçludan oluşan biçimsiz bir ağ olan Com'un bir kolu olarak kabul ediliyor .

Dağınık Örümcek üyeleri, şirket ağlarının içinde bir yer edinmek için hedefli sosyal mühendislik kullanma taktiği etrafında giderek daha fazla birleşiyor. Saldırganlar, şirket e-posta hesabına erişimi engellenmiş bir personel üyesini taklit edebilir ve çok faktörlü kimlik doğrulama bilgilerini sıfırlamadan önce erişim elde etmek için firmanın BT yardım masasıyla iletişime geçebilir. Araştırmacılar, grubun ayrıca URL'lerin genellikle hedef kuruluşun adının yanı sıra "okta", "vpn" veya "helpdesk" gibi sözcükleri içerdiği ikna edici kimlik avı web siteleri oluşturma taktiğini kullandığını söylüyor. Bilgisayar korsanları, ağların içine girdikten sonra çeşitli türlerde fidye yazılımları dağıtıyor veya şirketleri gasp etmek için kullanılan verileri çalıyor.

Meyers, Crowdstrike'ın Scattered Spider'ın potansiyel kurbanları hedeflemeyi yönlendiren ve ihtiyaç duyulduğunda daha geniş Com ​​ekosisteminden kaynakları "kaldıraçlayan" yaklaşık dört çekirdek üyeye sahip olduğuna inandığını söylüyor. Scattered Spider'ın kesin yapısı ve boyutu belirsiz, ancak araştırmacılar grubun saldırılarını gerçekleştirmek için bir dizi üçüncü taraf hizmetine güvendiği konusunda hemfikir.

Google'dan Hultquist, "Caydırıcılık son derece zordur çünkü esasen birçok aktörün değiştirilebilir olduğu bir pazarla mücadele ediyoruz," diyor. "Örneğin, Scattered Spider birden fazla fidye yazılımı hizmetiyle çalıştı, bu nedenle biri çökerse her zaman yerini alacak birileri vardır."

Siber güvenlik şirketi Sophos'un Counter Threat Unit'inde kıdemli tehdit araştırmacısı olan Aiden Sinnott, Scattered Spider ve Com'un daha genel olarak Discord sunucularındaki veya Telegram gruplarındaki ilişkiler ve topluluklar aracılığıyla birbirine bağlı olduğunu söylüyor. Sinnott, "Belki de yeni, daha genç tehdit aktörlerinin geldiği bu tür bir evrimleşen grup," diyor. "Birbirlerinin becerilerini öğrendikçe bu doğal tırmanış ilerlemesini görebiliyorsunuz ve ayrıca kazanımlarını paylaşma konusunda çok istekliler."

Bazı Scattered Spider üyeleri büyük isimli şirketleri hedef alabilirken, diğerleri daha az dikkat çeken faaliyetlerde yer alıyor. Sinnott, "Coinbase hesaplarını hacklemeye ve kripto para çalmaya ve bunun gibi şeylere gerçekten odaklanmış gruplar veya bireyler var," diyor. "Bu yüzden bu büyük kurumsal organizasyonlara odaklanmıyorlar bile."

Hultquist'in de dediği gibi, "faaliyet son derece dirençli, çünkü tek bir aktörle mücadele etmek yerine aslında bir pazarla mücadele ediyoruz."