Scattered Spider: Yeni Tehditler ve Finansal Hizmetlere Yönelen Siber Saldırılar
Son dönemde, siber güvenlik uzmanları, Scattered Spider adlı ünlü siber suç grubunun, finansal hizmetler sektörüne yönelik yeni bir siber saldırı dalgasıyla bağlantılı olduğuna dair belirti ve bulgular tespit edilmiştir. ReliaQuest adlı tehdit istihbarat firması, grubun dikkatini finans sektörü üzerine yoğunlaştırdığına dair kanıtlar sundu. Bu durum, grubun “karanlık” döneme geçeceği iddialarını sorgulatmaktadır.
Finansal Sektörde Artan Faaliyetler
ReliaQuest’in raporuna göre, söz konusu grup, bağlantılı alan adlarının artışıyla birlikte finansal hizmet sektörüne yönelik potansiyel saldırılar gerçekleştirmektedir. Özellikle, henüz adı açıklanmayan bir Amerikan banka kuruluşuna yönelik hedefli bir saldırı, bu durumu doğrular nitelikte. Sosyal mühendislik yöntemleri kullanarak bir üst düzey yöneticinin hesabına erişim sağlamış ve şifresini sıfırlamıştır. Bu tür saldırılar, siber suçluların, hedeflerine ulaşmak için ne denli karmaşık ve çeşitli teknikler kullanabileceğini göstermektedir.
İlerleme ve Erişim Stratejileri
Scattered Spider, bir Azure Active Directory hesabını kullanarak, hassas IT ve güvenlik belgelerine erişim sağladı. Ardından, Citrix ortamında daha fazla gezinti yaparak VPN aracılığıyla, VMware ESXi altyapısını ihlal edip kimlik bilgilerini elde etti. Bu süreçte, saldırganlar Veeam hizmet hesabının şifresini sıfırlayarak, Azure Global Administrator yetkileri atadı ve sanal makineleri tespit edilmeden kaydırdı. Ayrıca, mevcudiyetlerini gizlemek için Snowflake ve Amazon Web Services (AWS) gibi veri havuzlarından verileri dışarı çıkarmaya çalıştıkları yönünde bulgularda mevcuttur.
Sonuç ya da Kandırmaca? Scattered Spider’ın İddiaları
Son dönem faaliyetleri, grubun 14 başka suç grubu ile birlikte faaliyetlerine son vereceği yönündeki iddialarını çürütmektedir. Scattered Spider, The Com adı verilen daha geniş bir çevrimin parçası olan dağınık bir saldırı grubudur. Bu grup, ShinyHunters ve LAPSUS$ gibi diğer siber suç gruplarıyla da önemli bir örtüşme göstererek, zamanla “dağılmış LAPSUS$ avcıları” adı altında bir araya gelmiştir.
Özellikle ShinyHunters, hedeflerine yönelik hassas verileri çaldıktan sonra şantaj girişimlerinde de bulunmuştur. Bu tür durumlar, diğer finansal motivasyonlu siber suç gruplarının kurbanlarını hedef almasının ardından, bazı kurbanların daha sonra başka gruplar tarafından yeniden siber saldırıya uğraması ile sonuçlanmıştır.
Artan Siber Güvenlik Tehditleri
ReliaQuest, bu durumun bir hatırlatıcı niteliğinde olduğunu ifade ederek, kuruluşların siber tehditlere karşı dikkatli olmaları gerektiğini vurguladı. Ransomware gruplarında olduğu gibi, bu tür grupların emekli olmasının pek mümkün olmadığına dikkat çekildi. Gelecekte, bu grupların yeniden bir araya gelecekleri veya farklı bir isimle faaliyetlerine devam edecekleri olasılığı oldukça yüksektir.
Trustwave’ın SpiderLabs Tehdit İstihbarat Müdürü Karl Sigler, Scattered Spider’ın emeklilik ilanını “ciddi bir şüpheyle” değerlendirilmesi gerektiğini belirtti. Gerçek bir tasfiye yerine stratejik bir geri çekilmenin söz konusu olduğunu vurgulayan Sigler, grubun, artan yasadışı faaliyetlerle başa çıkmak için daha dikkatli adımlar attığını ifade etti.
Siber Suçluların Dinamikleri ve Strateji Değişiklikleri
Scattered Spider’ın son dönem iddiaları da, grubun dahili bir sıkıntı ya da artan soruşturmalara karşı bir stratejik geri çekilme gerçekleştirmiş olabileceğini düşündürmektedir. Belki de bu durum, dışarıdan bir saldırı ya da bir iletişim kanalının açığa çıkması sonucu gerçekleşmiş olabilir. Cybercrime dünyasında, grupların karşılaştığı artan baskı durumunda sıklıkla böyle “emeklilik” ilanlarının yapıldığı görülmektedir. Geçmişteki örneklerden de anlaşıldığı gibi, bu tür gruplar genellikle sadece isimlerini değiştirmek veya yeniden yapılanmak üzere kısa bir süreliğine geri çekilme eğilimindedir.
Siber suç dünyası, sürekli değişen bir dinamik ve bu alandaki tehditler, güvenlik uzmanları için her zaman dikkatle izlenmesi gereken unsurlar arasında yer almalıdır. Grubun gelecekteki aktiviteleri ve hedefleri, sürekli olarak değişen stratejileri ve teknikleriyle siber suçların nadir ve istenmeyen bir biçimde artmasına neden olmaktadır.
