ABD'deki hukuk firmaları, giderek daha sofistike hale gelen tehdit aktörlerinin hedefi haline geldi. Geleneksel kimlik avı (phishing) taktiklerinin ötesine geçen bu gruplar, artık güvenilir IT personeli gibi davranarak hem telefon görüşmelerinde hem de yüz yüze temaslarda kurumsal sistemlere sızıyor. FBI'ın son acil durum uyarısına göre, Silent Ransom Grubu (SRG) olarak da bilinen Luna Moth, Chatty Spider ve UNC3753 kod adlı tehdit grubu, 2023'ten bu yana ABD merkezli hukuk firmalarını hedef alıyor. SRG, sigorta, finans ve sağlık sektörlerindeki şirketleri de hedef listesine eklemiş durumda.
FBI, tehdit aktörünün geçmişte küçük 'abonelik ücretleri' talep eden kimlik avı e-postaları gönderdiğini ve kurban ağlarına erişim sağlamak için bu yöntemi kullandığını belirtiyor. Sahte aboneliği iptal etmek için kurbanın tehdit aktörünü araması isteniyor, ardından aktör bir bağlantı gönderiyor ve bu bağlantı kurbanın uzaktan erişim yazılımı indirmesine yol açıyor. Geri arama ve telefon tabanlı saldırı teslimatı (TOAD) olarak bilinen bu taktik, Palo Alto Networks Unit 42 tarafından 2022'de detaylandırılmıştı. O dönemde Unit 42, kampanyanın kurbanlara yüz binlerce dolara mal olduğunu açıklamıştı.
SRG, sosyal mühendislik kampanyasını daha da geliştirdi. FBI, 2026 baharı itibarıyla grubun, kurbanın IT departmanından bir çalışan gibi davrandığını tespit etti. Dolandırıcılık, SRG aktörlerinin doğrudan arama yapması veya hedefe kimlik avı e-postaları göndermesiyle başlıyor; çalışanlar, IT desteği gibi davranan SRG aktörünü aramaya yönlendiriliyor. Telefonda, çalışanlara uzak masaüstü oturumuna erişim izni vermeleri söyleniyor. Bu başarısız olursa, SRG aktörü kurbanın fiziksel konumuna bir tehdit aktörü göndererek bilgisayara bir depolama aygıtı taktırıyor. Bu senaryoda, tehdit aktörü, kimlik avı e-postasının olası etkilerini gidermek için cihazı yedeklemesi veya imaj alması gerektiğini söylüyor.
Sonuç ve Değerlendirme
Erişim sağlandıktan sonra SRG aktörü, ayrıcalıkları minimum düzeyde yükseltiyor ve şifreleme yapmadan hızla veri sızdırmaya geçiyor. Veri sızdırmak için Windows Secure Copy (WinSCP) veya gizli ya da yeniden adlandırılmış bir 'Rclone' sürümü kullanılıyor. SRG aktörleri ayrıca Google Drive veya Microsoft OneDrive gibi dahili dosya paylaşım platformlarına veri sızdırıyor. Fiziksel olarak gönderilen bir tehdit aktörü varsa, veriler harici bir sabit diske veya USB sürücüsüne aktarılıyor. FBI uyarısında, geleneksel antivirüs ürünlerinin bu saldırıyı tespit etme olasılığının düşük olduğu belirtiliyor çünkü SRG genellikle meşru sistem yönetimi veya uzaktan erişim araçlarını kullanıyor.
Bu tehdit karşısında siber güvenlik liderlerinin güçlü siber hijyen uygulamaları benimsemesi kritik önem taşıyor. Güçlü parolalar, çok faktörlü kimlik doğrulama ve güncel antivirüs araçları zorunlu hale getirilmeli. FBI'ın SRG ile ilgili fidye yazılımı tehditlerine karşı yayınladığı rehberlik doğrultusunda, çalışanların sosyal mühendislik saldırılarına karşı eğitilmesi ve şüpheli telefon aramaları ile yüz yüze temaslarda doğrulama prosedürlerinin uygulanması gerekiyor. Ayrıca, uzaktan erişim araçlarının kullanımı sıkı politikalar ve izleme ile kontrol altına alınmalı.
SRG'nin bu yeni taktiği, siber suçluların fiziksel dünyaya da sıçradığını gösteriyor. Kuruluşlar, yalnızca dijital savunmalarını değil, aynı zamanda fiziksel güvenlik önlemlerini de gözden geçirmeli. Ziyaretçi yönetimi, kimlik doğrulama ve yetkisiz erişim tespit sistemleri bu bağlamda önem kazanıyor. FBI uyarısı, özellikle hukuk firmalarının hassas verileri nedeniyle hedef alındığını vurguluyor; bu nedenle sektörün siber güvenlik yatırımlarını artırması kaçınılmaz.
Kaynak: infosecurity-magazine.com