Bir fidye yazılımı çetesi, bazı durumlarda sahte IT çalışanlarını doğrudan kurbanların ofislerine göndererek saldırılarını artırdı. Bu sahtekarlar, kurbanların bilgisayarlarından veri çalmak için USB sürücüler kullanarak veya diğer çete üyelerinin bilgisayarlara uzaktan bağlanmalarına yardımcı oluyor.
Cuma günü, Google’ın siber güvenlik ekipleri Mandiant ve Google Tehdit İstihbarat Grubu, “Silent Ransom Group” olarak bilinen siber suç çetesinin kurbanların bilgilerini “fiziksel, yüz yüze erişim” kullanarak çalmaya çalıştığını iddia eden yeni bir rapor yayınladı. Bu saldırılar, bu yıl Ocak ile Mayıs ayları arasında “çonlarca” kurbanı hedef aldı.
Mandiant’in baş teknoloji sorumlususu Charles Carmakal, TechCrunch’a verdiği demeçte, “Mandiant, düşmanların içeriye sızmış müsteşrikleri yerleştirdiği, çalışanları rüşvetle satın aldığı veya fiziksel olarak binalara girerek siber saldırıları kolaylaştırdığı çeşitli meseleleri araştırmıştır.” diyerek, bu taktiğin yıllar içinde başka davalarda da kullanıldığını belirtti.
Geçen ay, FBI, “Silent Ransom Group”un sosyal mühendislik ve oltalama saldırıları düzenleyerek IT destek çalışanları gibi davrandığını belirten bir uyarı yayınladı. Ancak bazı durumlarda grup, sahte IT destek personelini kurbanların ofislerine göndererek, çalışanların bilgisayarlarına bağlanmış ve USB sürücüler veya uzaktan erişim araçları kullanarak sözleşmeler, sosyal güvenlik numaraları gibi kişisel bilgiler ve mali belgeler gibi verileri çalmıştır.
FBI sözcüsü, TechCrunch’a şu açıklamayı yaptı: “Fiziksel olarak ofislerde bulunarak veya cihazlara erişmeye çalışan IT desteği gibi kendini tanıtan birçok kişinin olduğu durumları gözlemlediğimizi teyit edebiliriz.”
Geleneksel fidye yazılımı saldırılarında olduğu gibi kurbanların verilerini gerçekten şifrelemeyen bu tür bir şantaj taktiği artık yaygın hale geldi. Çeteye ait bir sızıntı sitesi, kurbanları çalınan verilerin yayınlanacağı ile tehdit ederken, ödeme yapılmadığında bu verileri yayımlamaktadır.
Bize Ulaşın
Bu hack kampanyaları hakkında daha fazla bilginiz var mı? Ya da başka veri ihlalleri hakkında? Sizden haber almak isteriz. İş dışındaki bir cihaz ve ağdan, Lorenzo Franceschi-Bicchierai ile Signal üzerinden +1 917 257 1382’den güvenli olarak iletişime geçebilir, Telegram ve Keybase @lorenzofb üzerinden ya da e-posta ile ulaşabilirsiniz.
Bu genellikle hackerların kurbanlara doğrudan e-posta atarak tehditte bulunduğu durumların ardından gerçekleşir.
Google’a göre, hackerlar, “Eğer işbirliği yapmaz veya kabul etmezseniz, çalışanlarınızı, ortaklarınızı ve müşterilerinizi bilgilendireceğiz; ardından verilerinizi yayınlayacağız.” diye yazdı.
Google’ın raporuna göre, hackerlar ayrıca daha geleneksel yöntemler kullanıyor; oltalama e-postaları, takip eden telefon görüşmeleri ve sosyal mühendislik gibi. Siber suçlular, kurbanları ikna etmek için şirketin IT desteği gibi davranıyor.
“Arayanlar, hedef davranışını yönlendirmek için çeşitli sözlü talimatlar kullanıyor. Güvenlik sorununu çözmek veya kurumsal veri taşıma projelerine yardımcı olma bahanesiyle güven oluşturuyor ve hedefleri ekran paylaşım oturumuna katılmaya yönlendiriyor.” diye yazdı Google araştırmacıları. Hackerlar daha sonra kurbanları ekran paylaşım uygulamalarını indirmeye ve açmaya ikna ederek veya Zoom ya da Microsoft Teams gibi uygulamalardaki ekran paylaşım özelliklerini kullanarak güvenlik kontrollerini aşmaktadır.
Hackerlar genellikle uzaktan veri hırsızlığı yapmalarına rağmen, bu durumlar bazı hackerların suçlarını bir adım öteye taşımaya istekli olduklarını gösteriyor. Geleneksel hacking tekniklerini fiziksel dışarıda saldırılarla birleştirerek önemli bir tırmanış yaşanıyor.
Makalelerimizdeki bağlantılardan alışveriş yaptığınızda, küçük bir komisyon kazanabiliriz. Bu durum, editoryal bağımsızlığımızı etkilemez.
