YORUM
Tehdit aktörleri 2024’ün en büyük veri ihlallerinden birini gerçekleştirdiler ve şirketin ortamına girmelerine bile gerek kalmadı. Amaçları? Bulut depolama sistemlerinden veri çalmak ve kurbanları maddi kazanç için gasp etmek.
Karşı kampanya kar tanesi müşteriler yeni veya karmaşık taktikler, teknikler veya prosedürlerin (TTP’ler) sonucu değildi. Aksine, kampanyanın arkasındaki tehdit aktörleri halihazırda mevcut olan ifşa edilmiş, meşru kimlik bilgilerini satın aldı veya buldu ve bunları oturum açmak için kullandı. Çok faktörlü kimlik doğrulaması (MFA) olmayan hesaplar için gereken tek şey budur. Devam eden Kar tanesi kampanyası kimlik bilgisi yönetimi için bir başka ilgi çekici kullanım örneğini sunuyor ve bilgi hırsızlarının ve çalınan kimlik bilgilerinin tehlikeleri hakkında bir uyarıda bulunuyor.
Mayıs 2024’ün sonlarında, UNC5537 olarak takip edilen finansal olarak motive olmuş bir tehdit aktörü, Ticketmaster ve Santander’den gelen verileri bir siber suç forumunda satışa sunmaya başladı ve bunların siber güvenlik ihlalleri olduğunu iddia etti. bulut veri ambarı platformu Snowflake.
Snowflake ve Mandiant’ın analizi, çalınan müşteri kimlik bilgileri kullanılarak bireysel müşteri hesaplarının ihlal edildiğini tespit etti. Mandiant’a göre, tehdit aktörü bu ifşa edilmiş kimlik bilgilerini kullanarak yaklaşık 165 şirketin hesabına erişebilmiş olabilir.
Önemli Noktalar
Birkaç önemli çıkarım:
Etkilenen hesaplar MFA ile yapılandırılmamıştı. Başarılı kimlik doğrulama yalnızca geçerli bir kullanıcı adı ve parola gerektiriyordu; bu da tehdit aktörlerinin hedeflenen hesaplara kolayca erişmesine olanak sağlıyordu.
Analiz, infostealer kötü amaçlı yazılım çıktısında tanımlanan kimlik bilgilerinin bazılarının Dark Web’de yıllardır satışta olduğunu ve hala geçerli olduğunu gösterdi; bu da bu kimlik bilgilerinin döndürülmediği veya güncellenmediği anlamına geliyor. Infostealer’lar, virüslü cihazlardan hassas bilgileri çalmak için tasarlanmış bir kötü amaçlı yazılım türüdür ve bu da yetkisiz erişime ve veri hırsızlığına yol açabilir. Snowflake saldırıları durumunda, infostealer’lar, virüslü cihazlar aracılığıyla Snowflake’un müşterilerinin kullanıcılarının oturum açma kimlik bilgilerini ele geçirerek saldırganların platformda depolanan müşteri hesaplarına ve verilerine erişmesine olanak tanıdı. Ek olarak, bir infostealer kişisel veriler, finansal kayıtlar ve iş zekası da dahil olmak üzere hassas müşteri bilgilerini sızdırabilir.
Tehlikeye atılan Snowflake örneklerinin ağ izin listeleri yoktu. İzin listeleme, IP adresleri, etki alanları ve uygulamalar gibi yaptırıma tabi varlıkların bir listesini derlemeyi içerir. Yalnızca bu belirlenmiş listedeki varlıklara belirli bir kaynağa erişim izni verilir veya belirli eylemleri gerçekleştirebilirler. Bu yaklaşım, saldırı yüzeyini azaltarak ve erişimi güvenilir, doğrulanmış varlıklarla sınırlayarak güvenliği artırmaya yardımcı olur.
Bu kampanyanın yüksek profilli başarısı ve bulut depolama sağlayıcılarında genellikle mevcut olan verilerin derinliği ve genişliği göz önüne alındığında, benzer kimlik bilgisi doldurma çabalarında bir artış görmeyi bekleyebiliriz. Şimdi, olası ifşaları önlemek için ilgili güvenlik kontrollerinizin (şifre politikaları gibi) olabildiğince güvenli olduğunu doğrulamanın zamanıdır.
Savunmalar Nasıl Güçlendirilir
Bu tür saldırılara karşı savunmanızı nasıl güçlendirebilirsiniz?
MFA’yı etkinleştirin. MFA, bir kuruluşun güvenlik duruşunu ve dayanıklılığını önemli ölçüde iyileştirebilen basit ancak oldukça etkili bir önlemdir. Kimlik bilgileri, kimlik avı veya bilgi hırsızları gibi kötü amaçlı yazılımlar aracılığıyla çalınabilir. Ancak MFA, bir hesaba erişmek için yalnızca bir paroladan fazlasını gerektirerek fazladan bir güvenlik katmanı ekler ve saldırıların yetkisiz erişim elde etmesini zorlaştırır.
Kimlik bilgilerinizi yönetin. Kuruluşunuzun elinden gelenin en iyisini yaparak, ifşa edilmiş kimlik bilgileri için Dark Web’i izleyin. Bu, bir satıcı, kredi izleme veya diğer yollar aracılığıyla olabilir. Kişisel bilgilerinizin tehlikeye atıldığına dair bir bildirim alırsanız, riski değerlendirmek ve uygun sonraki adımları belirlemek için mümkün olan en kısa sürede harekete geçmeniz önemlidir — potansiyel olarak bir parolayı değiştirmek de buna dahildir.
Tedarikçilerinizi hedef alan siber saldırıları izleyin. Kritik hizmet sağlayıcılarınızı hedef alabilecek siber saldırı kampanyaları hakkında erken uyarılar almak için açık kaynaklı raporlama veya diğer araçlar aracılığıyla izleme oluşturun. Kimlik bilgilerini değiştirmek ve etkilenen şirketle olan bağlantılarınızda politika uyumluluğunu onaylamak için önceden bildirimi kullanın.
Son zamanlarda kar tanesi Hesap saldırıları, bulut depolama sistemlerini korumada sağlam kimlik bilgisi yönetimi ve MFA’nın kritik önemini vurgular. Kimlik bilgisi tabanlı saldırıların sıklığı ve ölçeği artma olasılığıyla birlikte, kuruluşların savunmalarını güçlendirmeleri ve güvenlik uygulamalarının gelişen tehditlere karşı dayanıklı olduğundan emin olmaları için şimdi tam zamanı.
