Silent Ransom Grubu, BT Personeli Kimliğine Bürünerek Fiziksel Erişimle Sistemlere Sızıyor Yazılım

Silent Ransom Grubu, BT Personeli Kimliğine Bürünerek Fiziksel Erişimle Sistemlere Sızıyor

Silent Ransom Group (SRG), geleneksel kimlik avının ötesine geçerek BT personeli gibi davranıp fiziksel erişimle sistemlere sızıyor. ABD'deki hukuk fi

ABD'deki hukuk firmaları, giderek daha sofistike hale gelen tehdit aktörlerinin hedefi haline geldi. Bu gruplar, artık sadece e-posta yoluyla kimlik avı yapmakla kalmıyor; güvenilir BT personeli gibi davranarak hem telefonla hem de yüz yüze temas kurarak kurumsal sistemlere sızıyorlar. FBI'ın son Flash Alert uyarısına göre, Silent Ransom Group (SRG) olarak da bilinen Luna Moth, Chatty Spider ve UNC3753 kod adlı grup, 2023'ten bu yana sürekli olarak ABD merkezli hukuk firmalarını hedef alıyor. SRG, sigorta, finans ve sağlık sektörlerindeki şirketleri de kurban listesine eklemiş durumda.

FBI, tehdit aktörünün başlangıçta küçük 'abonelik ücretleri' talep eden kimlik avı e-postaları gönderdiğini belirtiyor. Kurban, sahte aboneliği iptal etmek için belirtilen numarayı aradığında, saldırgan uzaktan erişim yazılımını indiren bir bağlantı gönderiyor. Bu taktik, 'callback ve telefon odaklı saldırı dağıtımı' (TOAD) olarak biliniyor ve Palo Alto Networks Unit 42 tarafından 2022'de detaylandırılmıştı. O dönemde Unit 42, kampanyanın kurbanlara yüz binlerce dolara mal olduğunu bildirmişti.

SRG, sosyal mühendislik kampanyasını daha da geliştirdi. FBI, 2026 baharı itibarıyla grubun, kurbanın BT departmanından bir çalışan gibi davranarak doğrudan telefonla aradığını veya kimlik avı e-postaları gönderdiğini tespit etti. Dolandırıcılık, SRG aktörlerinin hedefteki çalışanları arayarak veya e-posta göndererek BT desteği gibi davranmasıyla başlıyor. Telefonda, çalışanlara uzak masaüstü oturumuna erişim izni vermeleri söyleniyor. Bu başarısız olursa, SRG aktörü fiziksel olarak kurbanın bulunduğu yere bir tehdit aktörü göndererek bilgisayara bir depolama aygıtı takmasını sağlıyor.

Detaylar ve Etkileri

Bu senaryoda, tehdit aktörü kurbanı, kimlik avı e-postasının olası etkilerini gidermek için cihazı yansıtmaları veya yedekleme dosyası oluşturmaları gerektiğine ikna ediyor. Erişim sağlandıktan sonra SRG aktörü, ayrıcalıkları minimum düzeyde yükselterek hızla veri sızdırmaya geçiyor ve şifreleme yapmıyor. Veri sızdırmak için Windows Secure Copy (WinSCP) veya gizlenmiş ya da yeniden adlandırılmış bir 'Rclone' sürümü kullanılıyor. SRG aktörleri ayrıca Google Drive veya Microsoft OneDrive gibi dahili dosya paylaşım platformlarına da veri sızdırıyor. Fiziksel olarak gönderilen tehdit aktörü ise verileri harici bir sabit diske veya USB sürücüsüne kopyalıyor.

Nasıl Önlem Alınmalı?

FBI uyarısına göre, geleneksel antivirüs ürünlerinin bu saldırıyı tespit etmesi pek olası değil çünkü SRG genellikle meşru sistem yönetimi veya uzaktan erişim araçlarını kullanıyor. Bu nedenle siber güvenlik liderlerinin, güçlü parolalar, çok faktörlü kimlik doğrulama ve güncel antivirüs araçları gerektirerek siber hijyeni güçlendirmeleri kritik önem taşıyor. FBI, SRG kaynaklı fidye yazılımı tehditlerine karşı korunmak için bu önlemlerin yanı sıra, kullanıcıları şüpheli aramalar ve yüz yüze temaslar konusunda eğitmeyi de öneriyor.

Gelecekte Ne Bekleniyor?

Özellikle hukuk firmaları gibi hassas verilere sahip kuruluşlar, bu tür sofistike sosyal mühendislik saldırılarına karşı savunmasız. Çalışanların, BT personeli gibi davranan kişilere karşı dikkatli olması ve herhangi bir erişim izni vermeden önce kimlik doğrulaması yapması gerekiyor. Ayrıca, fiziksel güvenlik önlemlerinin artırılması ve yetkisiz kişilerin ofislere girişinin engellenmesi de önemli. SRG'nin kullandığı taktikler, siber suçluların artık sadece dijital değil, fiziksel dünyada da aktif olduğunu gösteriyor.

Kaynak: infosecurity-magazine.com

Paylaş: