Sessiz Fidye Grubu, Sistemlere Sızmak İçin Yüz Yüze BT Kimlik Sahtekarlığı Kullanıyor Siber Güvenlik

Sessiz Fidye Grubu, Sistemlere Sızmak İçin Yüz Yüze BT Kimlik Sahtekarlığı Kullanıyor

Silent Ransom Group, ABD'deki hukuk firmalarını hedef alarak telefon ve yüz yüze BT kimlik sahtekarlığı ile sistemlere sızıyor. FBI uyarı yayınladı.

ABD genelindeki hukuk firmaları, geleneksel kimlik avı taktiklerinin ötesine geçen son derece sofistike tehdit aktörlerinin hedefi haline geldi. Bu gruplar artık güvenilir BT personeli gibi davranarak hem telefonla hem de yüz yüze temas kurarak kurumsal sistemlere sızıyor. FBI'ın yayınladığı son Flash Alert uyarısına göre, Silent Ransom Group (SRG) olarak da bilinen Luna Moth, Chatty Spider ve UNC3753, 2023 yılından bu yana ABD merkezli hukuk firmalarını hedef alıyor. SRG, sigorta, finans ve sağlık gibi diğer sektörlerdeki şirketleri de mağdur etti.

FBI, tehdit aktörünün geçmişte küçük 'abonelik ücretleri' talep eden kimlik avı e-postaları göndererek ağlara erişim sağladığını belirtti. Sahte aboneliği iptal etmek için kurbanın tehdit aktörünü araması isteniyor, ardından e-postayla gönderilen bağlantıya tıklanarak uzaktan erişim yazılımı indiriliyor. Bu taktik, 'geri arama ve telefon odaklı saldırı teslimatı' (TOAD) olarak biliniyor ve ilk kez 2022'de Palo Alto Networks Unit 42 tarafından detaylandırılmıştı. O dönemde Unit 42, kampanyanın kurbanlara yüz binlerce dolara mal olduğunu söylemişti.

SRG, sosyal mühendislik kampanyasını daha da geliştirdi. FBI, grubun 2026 baharı itibarıyla kurbanın BT departmanındaki personeli taklit ettiğini gözlemledi. Dolandırıcılık, SRG aktörlerinin doğrudan arayarak veya hedefe kimlik avı e-postası göndererek çalışanları BT desteği gibi davranan SRG aktörünü aramaya yönlendirmesini içeriyor. Telefonda, çalışanlara uzak masaüstü oturumuna erişim izni vermeleri söyleniyor. Bu başarısız olursa, SRG aktörü fiziksel bir tehdit aktörünü kurbanın konumuna göndererek bilgisayarına bir depolama aygıtı takmasını sağlıyor.

Bu senaryoda, tehdit aktörü kurbana, kimlik avı e-postasının olası etkilerini gidermek için cihazı görüntülemesi veya yedek dosya oluşturması gerektiğini söylüyor. Erişim sağlandıktan sonra SRG aktörü, ayrıcalıkları minimum düzeyde yükseltiyor ve şifreleme yapmadan hızla veri sızdırmaya yöneliyor. Veri sızdırmak için Windows Secure Copy (WinSCP) veya gizli ya da yeniden adlandırılmış 'Rclone' sürümü kullanılıyor. SRG aktörleri ayrıca Google Drive veya Microsoft OneDrive gibi dahili dosya paylaşım platformlarına da veri sızdırıyor. Fiziksel bir tehdit aktörü gönderilirse, veriler harici bir sabit diske veya USB sürücüsüne kopyalanıyor.

FBI uyarısına göre, geleneksel antivirüs ürünlerinin bu saldırıyı tespit etmesi pek olası değil çünkü SRG genellikle meşru sistem yönetimi veya uzaktan erişim araçlarını kullanıyor. Bu nedenle kuruluşların, güçlü parolalar, çok faktörlü kimlik doğrulama ve güncel antivirüs araçları gibi siber hijyen önlemlerini sıkılaştırması gerekiyor. FBI, SRG kaynaklı fidye yazılımı tehditlerine karşı korunmak için rehberlik yayınladı ve kuruluşların bu yönergeleri takip etmesini öneriyor.

Siber güvenlik liderleri, güçlü siber hijyen uygulayarak bu tür saldırılara karşı savunmayı artırabilir. Çalışanların şüpheli arama ve e-postalara karşı eğitilmesi, fiziksel güvenlik önlemlerinin gözden geçirilmesi ve uzaktan erişim politikalarının sıkılaştırılması kritik önem taşıyor. Ayrıca, veri sızdırma tespit sistemleri ve düzenli güvenlik denetimleri ile olağandışı etkinliklerin izlenmesi, SRG gibi grupların saldırılarını engellemede etkili olabilir.

Kaynak: infosecurity-magazine.com

Paylaş: