Scattered Spider Tehdidlerine Dikkat!
Son dönemlerde, tehdit istihbaratı araştırmacıları, ABD’deki birçok sigorta şirketine yönelik siber saldırılarla ilgili önemli uyarılarda bulunuyor. Bu saldırıların arkasında yer alan grubun, daha önce Birleşik Krallık’taki perakende sektörüne yönelik gerçekleştirdiği saldırılardan tanıdığımız Scattered Spider faaliyetlerine benzerlik taşıdığı belirtiliyor. Sektör odaklı bir yaklaşım benimseyen bu grup, Amerika Birleşik Devletleri’ndeki sigorta sektörünü hedef almış durumda.
John Hultquist, Google Tehdit İstihbarat Grubu’nun (GTIG) Baş Analisti, “Artık ABD’deki sigorta sektöründe meydana gelen birden fazla sızma vakası, Scattered Spider faaliyetlerinin tüm özelliklerini taşıyor. Sigorta sektörü için yüksek alarm durumunda olmaları gerektiğini vurguluyoruz,” şeklinde açıklamada bulundu.
Scattered Spider Taktikleri
Scattered Spider, karmaşık sosyal mühendislik saldırıları ile bilinir. Bu grup, yüksek profilli birçok kuruluşta siber güvenlik önlemlerini aşmak için bir dizi taktik kullanıyor. Diğer isimleri arasında 0ktapus, UNC3944, Scatter Swine, Starfraud ve Muddled Libra da bulunuyor. Grubun, phishing, SIM-swap ve MFA (Çok Faktörlü Kimlik Doğrulama) yorgunluğu gibi yöntemlerle, başlangıç erişimi sağlaması dikkat çekici. Saldırının son aşamasında ise, RansomHub, Qilin ve DragonForce gibi ransomware türleri kullanılmakta.
Bu saldırılarda sosyal mühendislik teknikleri genellikle kurbanların güvenini sarsarak işe yarıyor. Kuruluşlar, bu tür saldırılara karşı yetersiz eğitim ve hazırlıksız yakalanmamaları için dikkatli olmalıdır.
Scattered Spider Saldırılarından Korunma Yöntemleri
Bu tarz tehdit aktörlerine karşı savunma geliştirmek isteyen kuruluşların, altyapı, kimlik sistemleri ve yönetim hizmetleri üzerindeki görünürlüklerini artırmaları önceliklidir. GTIG, kimliklerin ayrılması ve güçlü doğrulama kriterlerinin uygulanmasını öneriyor. Parola sıfırlama ve MFA kaydı işlemleri için sıkı kimlik kontrolü uygulamaları da kritik öneme sahiptir.
Ayrıca, Scattered Spider’ın sosyal mühendislik yöntemlerine güven göz önüne alındığında, çalışanların ve iç güvenlik ekiplerinin impersonasyon girişimleri konusunda eğitilmesi büyük bir önem taşımaktadır. Bu tür saldırılar genellikle agresif bir dil kullanarak hedefin bilgi vermeye zorlanması yoluyla gerçekleştirilmektedir. Mesajlaşma uygulamaları, telefon görüşmeleri ve SMS gibi çeşitli kanallar aracılığıyla bu tür saldırılar gerçekleştiriliyor.
Birleşik Krallık’ta Marks & Spencer, Co-op ve Harrods gibi büyük perakende zincirlerine yapılan saldırılardan sonra, Ulusal Siber Güvenlik Merkezi (NCSC) kuruluşların siber güvenlik önlemlerini güçlendirmeleri için önerilerde bulundu. Bu üç saldırıda da, Scattered Spider ile ilişkili sosyal mühendislik taktiklerinin kullanıldığı ve DragonForce ransomware’inin son aşamada devreye alındığı bilgisi mevcut.
NCSC, iki faktörlü kimlik doğrulamanın etkin hale getirilmesi, yetkisiz girişlerin izlenmesi ve Domain Admin, Enterprise Admin ve Cloud Admin hesaplarına yapılan girişlerin meşru olup olmadığının kontrol edilmesi gibi tavsiyelerde bulundu. Ayrıca, yardım masası hizmetinin kimlik doğrulama süreçlerinin gözden geçirilmesi gerektiği, özellikle yüksek yetkili çalışanlar için bu sürecin daha dikkatli yürütülmesi gerektiği vurgulandı.
Siber saldırılara karşı hazırlıklı olabilmek için, alışılmadık kaynaklardan yapılan girişlerin (örneğin, konut aralığından gelen VPN hizmetleri) tespit edilmesi de potansiyel bir saldırının önlenmesinde büyük bir rol oynayabilir.
Sonuç Olarak Neler Yapılmalı?
Son zamanlarda yükselen siber tehditler, şirketlerin sadece savunma önlemlerine odaklanmalarını değil, aynı zamanda eğitim ve farkındalık çalışmalarını da artırmalarını gerektiriyor. Scattered Spider benzeri grupların saldırılarına karşı proaktif yaklaşımlar geliştirmek, kurumsal güvenliği artırmak ve olası riskleri azaltmak açısından son derece önemlidir.
Çalışan eğitiminin yanı sıra, güncel güvenlik yazılımlarının kullanılması, veri güvenliği politikalarının gözden geçirilmesi ve sürekli güvenlik testlerinin yapılması, tüm organizasyonların alması gereken temel önlemler arasında yer alıyor. Ayrıca, düzenli olarak sızma testleri gerçekleştirmek ve güvenlik açıklarını kapatmak, kuruluşların bu tür saldırıları daha etkin bir şekilde önlemelerine yardımcı olacaktır.
Sonuç olarak, siber güvenliğe yatırım yapmak, sadece bir zorunluluk değil, aynı zamanda gelecekteki olası saldırılara karşı şirketlerin dayanıklılığını artıracak önemli bir stratejidir.
