Accenture Siber Tehdit İstihbaratı tarafından yapılan yeni analize göre, siber suçlular ve diğer tehdit aktörleri, ikincil iş e-postası ele geçirme (BEC) saldırılarında fidye yazılımı saldırılarından atılan verileri giderek daha fazla kullanıyor.

ACTI ekibi, Temmuz 2021 ile Temmuz 2022 arasında, öne çıkan kurbanların sayısıyla ölçülen, en aktif 20 fidye yazılımı sızıntı sitesinden gelen verileri analiz etti. 4.026 kurbandan (şirketler, sivil toplum kuruluşları ve devlet kurumları), çeşitli fidye yazılımı gruplarını ele geçirdi. ACTI, özel sızıntı siteleri, tahminen %91’i müteakip veri açıklamalarına maruz kaldı.

Özel sızıntı siteleri en yaygın olarak finansal veriler sağlar, ardından çalışan ve müşterinin kişisel olarak tanımlanabilir bilgileri ve iletişim belgeleri gelir. Saldırı gruplarının verileri sızdırmak için fidye yazılımı kullandığı ve ardından verileri özel sızıntı sitelerinde yayınladığı çifte gasp girişimlerinin yükselişi, büyük miktarda hassas kurumsal veriyi herhangi bir tehdit aktörünün kullanımına sunmuştur. BEC saldırılarını gerçekleştirmek için en yararlı olan en değerli veri türleri, operasyonel belgelerin yanı sıra finansal, çalışan ve iletişim verileridir. ACTI, BEC saldırılarını yürütmek için en yararlı veri türleri ile bu fidye yazılımı sızıntı sitelerinde en yaygın olarak yayınlanan veri türleri arasında önemli bir örtüşme olduğunu söyledi.

ACTI, verilerin “ikincil BEC saldırıları için kolayca silah haline getirebilen suçlular için zengin bir bilgi kaynağı” olduğunu söyledi. “Çifte gasp sızıntılarından kaynaklanan artan BEC ve VEC saldırıları tehdidini artıran birincil faktör, [corporate and communication data]”

Fidye yazılımı saldırılarında çalınan ve BEC saldırılarında kullanılan farklı veri türlerini gösteren iki çubuk grafik.
Mevcut açıklanan veriler ile bu tür verilerin BEC saldırıları için kullanışlılığı arasında örtüşme vardır.

Veri hırsızları, müşterilerinin çalınan bilgileri bulmasını ve erişmesini kolaylaştırıyor. Özel sızıntı siteleri, Tor etki alanlarında gizli değil, herkesin erişebileceği sitelerde giderek daha fazla kullanılabilir hale geliyor ve bazıları tehdit aktörlerinin saldırıları için ihtiyaç duydukları şeyi bulmalarını kolaylaştırmak için aranabilir dizine alınmış veriler sunuyor.

ACTI, örneğin, veri satan pazar yeri Industrial Spy’ın operatörleri, belirli dosyaları bulmayı kolaylaştırmak için içeriklerini yansıtan etiketlerle klasörleri düzenler ve adlandırır. Müşteriler, çalışan verileri, faturalar, taramalar, sözleşmeler, yasal belgeler ve e-posta mesajları gibi belirli dosyaları bulmak için pazaryerinin arama işlevini kullanabilir. Arama ayrıca belirli endüstrilerden ve ülkelerden gelen verileri de arayabilir.

“Bunun gibi dizinlenmiş ve aranabilir veritabanları, aktörlerin toplu verileri indirmek ve istenen bilgileri bulmayı ummak yerine belirli verileri daha verimli bir şekilde elde etmelerine yardımcı olur.” ACTI dedi.



siber-1