Scattered Spider Tehdit Grubu ve Saldırı Taktikleri
Son günlerde, Google tarafından yapılan açıklamalara göre, Scattered Spider isimli siber suç grubu, Birleşik Krallık’taki perakende zincirlerinin ardından Amerika Birleşik Devletleri’ndeki perakendecileri de hedef almaya başladı. John Hultquist, Google Tehdit İstihbarat Grubu’nun Baş Analisti, BleepingComputer’a yaptığı açıklamada, "ABD perakende sektörü şu anda fidye yazılımı ve zorbalık operasyonlarıyla hedef alınıyor ve bunun UNC3944 ile bağlantılı olduğunu düşünüyoruz," dedi. Hultquist’in belirttiği gibi, bu grup daha önce Birleşik Krallık’taki perakendecilere odaklanmıştı ve bu yüzden ABD’li perakendecilerin dikkatli olması gerekiyor.
İlk Hedef: Marks & Spencer
İlk olarak, İngiliz perakende devi Marks & Spencer‘ın saldırıya uğradığı bildirildi. Bu fidye yazılımı saldırısında, saldırganlar VMware ESXi sunucularındaki sanal makineleri şifrelemek için DragonForce şifreleyicisini kullandı. Bu saldırının, Microsoft’un Scattered Spider için kullandığı isim olan Octo Tempest ile bağlantılı olduğu ifade ediliyor.
Ayrıca, Co-op isimli perakendeci de bir siber olay yaşadı ve saldırganların mevcut ve eski üyelere ait verileri çaldığını doğruladı. Öte yandan Harrods, 1 Mayıs’ta bilgisayar ağına sızmaya çalışan saldırganlar nedeniyle internet erişimini kısıtlama zorunda kaldığını açıkladı; bu durum, bir siber saldırıya karşı daha aktif bir yanıt verdiğini göstermektedir.
DragonForce Fidye Yazılımı Operasyonu
DragonForce fidye yazılımı operasyonu, altı ay içerisinde bu üç saldırıyı da üstlendi. BleepingComputer, bu saldırıları gerçekleştirenlerin Scattered Spider‘la bağlantılı sosyal mühendislik taktiklerini kullandığını öğrenmiştir. DragonForce, Aralık 2023’te ortaya çıktı ve yakın bir zamanda diğer siber suç gruplarına hizmetlerini beyaz etiketle sunma konusunda yeni bir hizmet tanıttı.
Scattered Spider’ın Nisan ayında Birleşik Krallık’taki perakendecilere odaklanmaya başlamasından bu yana, Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), organizasyonların siber güvenlik savunmalarını güçlendirmelerine yardımcı olmak için kılavuz yayımladı. NCSC, bu siber saldırıların "uyanma çağrısı" olarak görülmesi gerektiğini vurguladı ve herhangi bir kuruluşun bir sonraki hedef olabileceğini belirtti.
Hedeflerin Belirlenmesi ve Suç Grubunun Dinamikleri
Birleşik Krallık NCSC, bu olayları belirli bir siber suç grubuna atfetmemiştir ve hâlâ mağdurlarla birlikte çalışarak durumu değerlendirmektedir. "Hâlâ detayları belirlemek için çalışıyoruz," diyen NCSC, "Bu saldırıların bağlantılı olup olmadığını veya tek bir aktör tarafından düzenlenip düzenlenmediğini söyleyemiyoruz," şeklinde ekledi.
Scattered Spider, etkili sosyal mühendislik saldırıları ile bilinen ve birçok yüksek profilli kuruluşa sızmayı başaran bir tehdit aktörleri kolektividir. Bu grupta yer alan birçok üye, genellikle 16 yaşında gençlerden oluşmakta ve kendilerini Telegram kanalları, Discord sunucuları ve hacker forumlarında organize etmektedirler.
Saldırı Yöntemleri ve Stratejileri
Scattered Spider, siber güvenlik alanında oldukça yetenekli bir grup olarak tanımlanıyor. Hultquist, bu aktörlerin "agresif, yaratıcı ve olgun güvenlik programlarını aşmada oldukça etkili" olduğunu belirtti. Özellikle sosyal mühendislik ve üçüncü şahısları kullanarak hedeflerine girmekte büyük başarı sağlıyorlar.
Saldırılarda kullandıkları taktikler arasında phishing, SIM swapping ve multi-factor authentication (MFA) yorgunluk taktiği bulunmaktadır. Bu tür savunmasızlıkları hedef alarak, hedeflerine girmekte oldukça uzmanlaşmışlardır.
Sonuç olarak, teknolojinin gelişmesiyle birlikte siber tehditler de giderek artış göstermektedir. Perakende sektöründeki bu tür saldırılar, şirketlerin siber güvenlik önlemlerini yeniden gözden geçirmesini ve güçlendirmesini gerektirmektedir. Cybersecurity alanında alınacak önlemler, kesinlikle uzun vadeli bir strateji çerçevesinde ele alınmalıdır.
