TechCrunch’ın elde ettiği bir rapora göre, geçen yıl 130’dan fazla kuruluşu vuran ve yaklaşık 10.000 çalışanın kimlik bilgilerini çalan bilgisayar korsanları hala birkaç teknoloji ve video oyunu şirketini hedefliyor.
Siber güvenlik firması CrowdStrike tarafından hazırlanan rapor, bilgisayar korsanlarını “Scattered Spider” olarak adlandırıyor. Daha önce halka açık bir rapordaşirket, bu grubun aynı zamanda “Kavrulmuş 0ktapus” olarak da bilindiğini açık bir referansla söyledi. rapor Geçen yıl bir başka siber güvenlik firması olan Group-IB tarafından yayınlandı.
TechCrunch’ın elde ettiğine benzer raporlar, tehdit istihbaratı şirketleri tarafından müşterileri için, müşterileri doğrudan hedef alan bilgisayar korsanlarına veya aynı sektördeki diğer şirketlere karşı uyarmak amacıyla hazırlanır. Raporda, CrowdStrike, doğrudan hedeflenen kuruluşlardan elde ettiği verilere atıfta bulunarak, “ek adli eserler” olmadığı göz önüne alındığında, bilgisayar korsanlığı kampanyasına ilişkin sınırlı görünürlüğe sahip olduğunu belirtiyor. Bu nedenle şirket, bunun Scattered Spider faaliyeti olduğuna dair değerlendirmesinde “güvensizliğinin” düşük olduğunu kabul ediyor.
Basınla konuşma yetkileri olmadığı için isimlerinin gizli kalmasını isteyen iki siber güvenlik görevlisi, sektördeki anlayışın Scattered Spider’ın 0ktapus ile aynı grup olduğunu söyledi.
“Scattered Spider, Ocak 2023’te çok sayıda kimlik avı sayfası dağıtmaya devam etti. CrowdStrike Intelligence, rakibin hedef kapsamını büyük olasılıkla oyun veya finansal yazılımda uzmanlaşmış teknoloji sektörü şirketlerini içerecek şekilde genişlettiğini ve öncelikli olarak iş süreci dış kaynak kullanımı (BPO) şirketlerine ve hücresel şirketlere odaklandığını değerlendiriyor. sağlayıcılar”, halka açık olmayan raporu okuyun.
Bunun geçen ay Riot Games’i hackleyen grupla aynı grup olup olmadığı belli değil, ancak CrowdStrike raporunda yer alan kimlik avı etki alanları listesinde, şirketin adını içerdiği göz önüne alındığında, video oyunu devini hedef almak için yapılmış bir tane var. URL.
Kimlik avı alan adları arasında, video oyunu yapımcıları Roblox ve Zynga’nın kimliğine bürünmek için uyarlanmış başka alanlar da var; e-posta pazarlama ve haber bülteni devi Mailchimp ve ana şirketi Intuit; Satış ekibi; Comcast; ve Grubhub. Mailchimp, Intuit ve diğer teknoloji devlerinin de aralarında bulunduğu şirketlere müşteri hizmetleri sağlayan bir yüklenici olan TaskUs da listede yer aldı.
Ocak ayında Mailchimp, saldırıya uğradığını açıkladı – altı ay içinde şirkete yönelik ikinci saldırı. O sırada Mailchimp, bilgisayar korsanlarının kimlik avı yoluyla çalışanlarını hedeflediğini söyledi. Bu olayın Scattered Spider’ın faaliyetleriyle bağlantılı olup olmadığı belli değil. Mailchimp, yorum talebine yanıt vermedi.
Riot yorum yapmaktan kaçındı.
Salesforce sözcüsü Allen Tsai, şirketin “sektör genelindeki kimlik avı kampanyalarının farkında olduğunu ve bunları izlediğini” söyledi.
Tsai bir e-postada, “Şu anda, belirtilen raporla ilgili müşteri verilerine yetkisiz erişime dair hiçbir göstergemiz yok” dedi.
Bir Intuit sözcüsü, raporu görmedikleri için yorum yapmadı.
Roblox, Zynga, TaskUs, Comcast ve Grubhub, yorum talebine hemen yanıt vermedi.
Rapor, bilgisayar korsanlığı grubunun kimlik avı sayfalarının “çoğunluğunun” Okta oturum açma portallarını taklit edecek şekilde tasarlandığını, “çok daha küçük bir sayının Microsoft kimliğine büründüğünü” söyledi.
CrowdStrike, yorum talebine yanıt vermedi.
Benzer bir saldırının kurbanı olan bir Google Fi abonesi misiniz? Ayrıca şirketten, size yönelik saldırıyla ilgili kişiselleştirilmiş bir bildirim aldınız mı? Sizden haber almak isteriz. Lorenzo Franceschi-Bicchierai ile +1 917 257 1382 numaralı telefondan Signal üzerinden veya Wickr, Telegram ve Wire @lorenzofb aracılığıyla veya [email protected] adresine e-posta göndererek güvenli bir şekilde iletişime geçebilirsiniz. TechCrunch ile SecureDrop aracılığıyla da iletişime geçebilirsiniz.