Scattered Spider Grubu Değil Siber Suç Kolektifi: Yeni Analiz Şaşırttı Siber Güvenlik

Scattered Spider Grubu Değil Siber Suç Kolektifi: Yeni Analiz Şaşırttı

Scattered Spider, tek bir organize grup yerine bağımsız kümelerden oluşan merkeziyetsiz bir siber suç kolektifi olarak yeniden sınıflandırıldı.

Siber güvenlik firması Group-IB'in 7 Haziran'da yayımladığı analiz, Scattered Spider olarak bilinen tehdit aktörünün yapısına ilişkin yaygın inanışları sorguluyor. Araştırmaya göre Scattered Spider, merkezi bir hiyerarşi veya ortak liderlik yapısıyla yönetilen tek bir grup değil; aksine, benzer taktikler, araçlar ve çevrimiçi topluluklar aracılığıyla birbirine bağlı, bağımsız kümelerden oluşan bir kolektif. Bu model, gruba atfedilen faaliyetlerin bazı üyelerin tutuklanmasına rağmen neden devam ettiğini açıklıyor.

Group-IB, Scattered Spider'ın Anonymous hacktivist kolektifine benzer şekilde çalıştığını belirtiyor: farklı gruplar ortak bir kimlik altında, doğrudan koordinasyon olmaksızın hareket ediyor. Analiz, daha önce Scattered Spider'a atfedilen bazı saldırıların aslında ilgisiz aktörler tarafından gerçekleştirilmiş olabileceğini de öne sürüyor. Özellikle, Group-IB kendi 0ktapus takibini Marks & Spencer ve Co-op saldırılarıyla ilişkilendirilen kümeden ayırarak, bu saldırıların aynı kişiler tarafından yapıldığına dair kanıt bulunmadığını vurguluyor.

Araştırma, gözlemlenen kümeler arasında tekrarlayan hedefleme desenleri tespit etti: teknoloji ve iletişim şirketlerinde çalışanların erişim noktası olarak kullanılması, SIM takas operasyonları için mobil operatör personelinin hedef alınması, dolandırıcılık kampanyalarıyla kripto para kullanıcılarının hedeflenmesi ve gasp ile fidye yazılımı faaliyetleri için işletmelerin ele geçirilmesi. Tüm bu faaliyetlerde ortak nokta ise sosyal mühendislik. Saldırganlar, BT, güvenlik veya insan kaynakları ekiplerini taklit ederek çalışanları kimlik bilgilerini vermeye veya erişim sağlamaya ikna ediyor.

Önemli Gelişmeler

Group-IB, Scattered Spider'ın merkeziyetsiz yapısı nedeniyle bireysel üyelerin tutuklanmasının genel tehdidi ortadan kaldırmasının pek mümkün olmadığı sonucuna varıyor. Bunun yerine kuruluşlar, kümeler arasında paylaşılan taktiklere, özellikle de kimlik tabanlı saldırılara ve sosyal mühendislik girişimlerine karşı savunmaya odaklanmalı. Okta, Microsoft, Citrix ve Google gibi kimlik sağlayıcılarının taklit edildiği kimlik avı sayfaları yaygın kullanılırken, AnyDesk gibi ticari uzaktan erişim araçları da bazı kümeler tarafından kullanılıyor.

Paylaş: