Sessiz Fidye Grubu, BT Personeli Taklidiyle Fiziksel Erişimle Sistemlere Sızıyor Siber Güvenlik

Sessiz Fidye Grubu, BT Personeli Taklidiyle Fiziksel Erişimle Sistemlere Sızıyor

Silent Ransom Group, ABD'deki hukuk firmalarını hedef alarak BT personeli gibi davranıp telefon ve yüz yüze temasla sistemlere sızıyor.

ABD genelindeki hukuk firmaları, geleneksel kimlik avı taktiklerinin ötesine geçen giderek daha karmaşık tehdit aktörlerinin hedefi haline geldi. FBI'ın yayınladığı son Flash Alert uyarısına göre, Silent Ransom Group (SRG) olarak da bilinen Luna Moth, Chatty Spider ve UNC3753 kod adlı grup, 2023'ten bu yana özellikle ABD merkezli hukuk firmalarını hedef alıyor. Grup, sigorta, finans ve sağlık gibi diğer sektörlerdeki şirketleri de mağdur etti.

FBI, SRG'nin başlangıçta küçük 'abonelik ücretleri' talep eden kimlik avı e-postaları gönderdiğini belirtiyor. Mağdurlar, sahte aboneliği iptal etmek için tehdit aktörünü aramaya yönlendiriliyor ve ardından uzaktan erişim yazılımını indiren bir bağlantı alıyorlardı. Palo Alto Networks Unit 42'nin 2022'de detaylandırdığı 'geri arama ve telefon tabanlı saldırı teslimatı' (TOAD) olarak bilinen bu taktik, mağdurlara yüz binlerce dolara mal olmuştu.

SRG, sosyal mühendislik kampanyasını daha da geliştirdi. FBI, bahar 2026 itibarıyla grubun, mağdurun BT departmanından bir çalışanı taklit ettiğini gözlemledi. Dolandırıcılık, SRG aktörlerinin doğrudan arayarak veya kimlik avı e-postaları göndererek çalışanları BT desteği gibi davranan SRG aktörünü aramaya yönlendirmesini içeriyor. Telefonda, çalışanlara uzak masaüstü oturumuna erişim izni vermeleri söyleniyor.

Uzmanların Görüşleri

Uzaktan erişim başarısız olursa, SRG aktörü mağdurun fiziksel konumuna bir tehdit aktörü gönderiyor. Bu kişi, cihazı görüntülemek veya yedekleme dosyası oluşturmak için bir depolama aygıtını bilgisayara takarak erişim sağlıyor. Erişim kazanıldıktan sonra SRG, ayrıcalıkları minimumda yükselterek şifreleme yapmadan hızla veri sızdırmaya geçiyor. Windows Secure Copy (WinSCP) veya gizli/yeniden adlandırılmış 'Rclone' ile veriler dışarı sızdırılıyor. Ayrıca Google Drive veya Microsoft OneDrive gibi dahili dosya paylaşım platformları da kullanılıyor. Fiziksel erişim durumunda ise harici sabit disk veya USB sürücüye kopyalama yapılıyor.

FBI uyarısına göre, geleneksel antivirüs ürünlerinin SRG saldırılarını tespit etmesi pek olası değil çünkü grup genellikle meşru sistem yönetimi veya uzaktan erişim araçlarını kullanıyor. Bu nedenle, siber güvenlik liderlerinin güçlü parolalar, çok faktörlü kimlik doğrulama ve güncel antivirüs araçlarıyla siber hijyeni sıkı tutmaları kritik önem taşıyor. FBI, SRG tehditlerine karşı korunmak için bu önlemlerin yanı sıra çalışanların şüpheli aramalara karşı eğitilmesini de öneriyor.

SRG'nin fiziksel erişim taktiği, siber güvenlik dünyasında endişe verici bir evrimi işaret ediyor. Artık sadece e-posta veya telefonla değil, bizzat ofise gelerek de saldırı düzenlenebiliyor. Bu durum, özellikle hukuk firmaları gibi hassas verilere sahip kurumlar için fiziksel güvenlik önlemlerinin de gözden geçirilmesi gerektiğini ortaya koyuyor. Ziyaretçi yönetimi, kimlik doğrulama prosedürleri ve personele yönelik farkındalık eğitimleri, bu tür saldırılara karşı ilk savunma hattını oluşturuyor.

Kaynak: infosecurity-magazine.com

Paylaş: