Scattered Spider ve Son Saldırılar
Scattered Spider, son dönemde medyanın gündeminden düşmeyen bir siber suç örgütü olarak öne çıkıyor. Son haberler, bu hacker grubunun Amerika Birleşik Devletleri’nin tanınmış sigorta şirketleri olan Aflac, Philadelphia Insurance Companies ve Erie Insurance’a yönelik saldırılar gerçekleştirdiğini ortaya koyuyor. SEC Form 8-K dosyalarında belirtilen bu saldırılar, hassas müşteri verilerinin çalınması ve operasyonel kesintilerle sonuçlandı. Bu durum, Google Threat Intelligence Group’un, Scattered Spider faaliyetlerinin ABD’deki birçok siber saldırı ile ilişkilendirildiğini açıklamasıyla çakışıyor.
Peki, bu tam olarak ne anlama geliyor? Anlamak için, Scattered Spider saldırılarının nasıl gerçekleştiğine ve bu duruma nasıl geldiğimize kısa bir göz atalım.
Buraya Nasıl Geldik?
Scattered Spider adıyla bilinen suç örgütü, 2022 yılından bu yana aktif durumda. Bu grup, 2023’te Caesars ve MGM Resorts gibi dikkat çekici saldırılarla bağlantılı olarak tanınırlık kazandı. 2024 yılında ise Transport for London saldırısı ile adından söz ettirdi.
Caesars saldırısında, hackerlar bir IT kullanıcısının kimliğini taklit ederek dış kaynaklı bir yardım masasıyla iletişime geçti ve şifrelerin sıfırlanmasını sağladı. Bunun sonucunda, müşteri sadakat programı veritabanını çaldılar ve 15 milyon dolarlık fidye ödemesi aldılar.
MGM Resorts saldırısında, hackerlar LinkedIn bilgilerini kullanarak bir çalışanın kimliğini taklit etti ve bu sayede 6 terabayt veri çaldı. Firmanın ödeme yapmayı reddetmesi sonucu 36 saatlik bir kesinti yaşandı ve bu durum şirketin 100 milyon dolarlık kaybına yol açtı.
Transport for London saldırısı, 5.000 kullanıcının banka bilgilerini ifşa etti, 30.000 çalışan kimliklerini doğrulamak için yüz yüze görüşmelere çağrıldı ve çevrimiçi hizmetlerde önemli aksaklıklar yaşandı.
Bu saldırıların ortak noktası, yardım masası süreçlerini istismar ederek şifreleri sıfırlamak veya çok faktörlü kimlik doğrulama faktörlerini geçmektir. Hacker, yeterli bilgiyle yardım masasını arayıp, yeni mobil cihaz için MFA kayıt bağlantısı isteyerek hesabın kontrolünü ele geçiriyor.
Scattered Spider ‘ın 2025 Yılına Dönüşü
2025 yılında, Scattered Spider tekniğini yeniden kullanarak Marks and Spencer ve Co-op gibi UK perakendecilerine yönelik büyük çaplı saldırılara imza attı. Bu saldırılar, hem gizli verilerin kaybına hem de mağaza ve dijital hizmetlerin uzun süreli kesintilerine neden oldu. M&S, 300 milyon sterlin kayıp yaşadı ve hisse değerinde 1 milyar sterline yaklaşan bir düşüş gördü.
2025’in Mayıs-Haziran dönemi, Dior, The North Face, Cartier, Victoria’s Secret ve Coca-Cola gibi dünya genelinde birçok perakendecinin hedef alındığı bir döneme damga vurdu. Bu saldırılar, daha önce görülen kitlesel Snowflake saldırılarından farklı olarak, birçok bağımsız etkinlik olarak kendini gösterdi.
Bu saldırılarda, kimlik temelli teknikler kullanıldığı dikkati çekiyor. Scattered Spider‘ın temel stratejisi her zaman kimlik zafiyetlerini istismar etmek oldu. Buna ek olarak, bu teknikler yalnızca onların değil, farklı siber suç gruplarının ortak bir özelliği haline gelmiştir.
Kimlik Temelli Taktikler Yeni Normal Mi?
Scattered Spider’ın saldırıları, kimlik temelli ihlallerin sayısındaki artışın bir göstergesi olarak değerlendirilmektedir. 2022 yılında ortaya çıkan bu taktikler sonrasında, grup sürekli olarak kimliklere yönelik zayıflıkları istismar ederek kurbanlarının sistemlerine erişim sağladı. Bu bağlamda, güvenlik uzmanları, yardım masası dolandırıcılığının etkili bir yolu olduğunu belirtmektedir.
Yardım masası dolandırıcılıkları, genellikle hızlı ve etkili sonuçlar verdiği için giderek yaygınlaşma potansiyeline sahiptir. Bu dolandırıcılıklar, yüksek seviyede yönetici ayrıcalıkları olan hesapları hedef alarak, bir kez içeri geçince saldırganların ilerlemesini kolaylaştırıyor.
Yardım Masası Dolandırıcılıkları ve Güvenlik Önlemleri
Scattered Spider‘ın siber saldırılarına karşı alınacak önemli önlemler arasında yardım masası süreçlerinin gözden geçirilmesi yer alıyor. Bu tür bir güvenlik önlemi olmadan, çalışanların sosyal mühendislik ile manipüle edilmeleri, saldırganların işlerini kolaylaştırıyor.
Günümüzde, güvenlik kontrol sistemlerini aşmayı hedefleyen saldırılar, sadece kullanıcı kimliklerini hedef alıyor. Bu bağlamda, Push Security gibi platformlar, kimlik tabanlı saldırılara karşı gelişmiş tespit ve yanıt verimliliği sunmaktadır.
Push Security platformu, tarayıcı bazlı güvenlik çözümleri ile AiTM phishing, kimlik avı, şifre taraması ve oturum kaçırma gibi teknikleri tespit edebilir. Ayrıca, şirketlerin tüm kullandıkları uygulama boyunca kimlik zafiyetlerini tespit etmesine yardımcı olabilir.
Sonuç olarak, Scattered Spider gibi gelişmiş tehditlerin karşısında durabilmek için kuruluşların dikkatli ve sürekli bir gözlem gerektiren güvenlik stratejilerine ihtiyacı var. Bu stratejiler, hem çalışanların farkındalığını artırmak hem de siber güvenliği sağlamlaştırmak için büyük önem taşımaktadır.
