BlackFile, Perakende ve Konaklama Sektörüne Yönelik Veri Hırsızlığı ve Şantaj Saldırıları Düzenliyor

BlackFile Grubu, Perakende ve Konaklama Sektörünü Hedef Alıyor

Güvenlik araştırmacıları, BlackFile adlı fidye yazılımı grubunun, perakende ve konaklama sektöründeki şirketlere yönelik sesli dolandırıcılık (vishing) ve sosyal mühendislik saldırıları gerçekleştirdiğini açıkladı. Saldırılar, Şubat ayından beri aktif olarak devam ediyor.

Unit 42’nin son istihbarat raporuna göre, saldırılar yalnızca bu sektörlerle sınırlı kalmıyor; sağlık, teknoloji, ulaşım, lojistik ve toptan ticaret gibi birçok endüstride de etkili oluyor. BlackFile grubu, CL-CRI-1116, UNC6671 ve Cordial Spider gibi farklı adlarla da takip ediliyor.

Fidye Talepleri Yedi Haneye Ulaşıyor

Unit 42’nin kıdemli araştırmacısı Matt Brady, saldırganların temel amacının, hedef şirketleri yüksek miktarda fidye ödemeye zorlamak olduğunu belirtti. Brady, "Bu tehdit aktörlerinin ana hedefi, genellikle yedi haneli fidye talepleriyle şirketleri baskı altına almak" dedi.

Saldırganlar, kurumsal tek oturum açma (SSO) hizmetlerini taklit eden sahte web sayfaları ve sesli aramalar yoluyla çalışanların kimlik bilgilerini çalıyor. Ardından, bu bilgileri kullanarak yönetici hesaplarına erişim sağlıyorlar.

Yöneticilere Yönelik Saldırılar ve Veri Hırsızlığı

RH-ISAC’ın açıklamasına göre, saldırganlar yönetici personelin kişisel bilgilerini ve iletişim bilgilerini hedef alıyor. Bu bilgileri kullanarak, şirket içindeki diğer hesaplara erişim sağlıyor ve veri hırsızlığı yapıyorlar.

BlackFile grubu, fidye ödemeyen şirketleri veri sızıntı sitesi üzerinden tehdit ediyor. Saldırganlar, şirketlerin verilerini sızdırma tehdidinde bulunarak, ödeme yapmaya zorluyor.

Sektördeki Diğer Tehdit Aktörleriyle Bağlantı

BlackFile’ın faaliyetleri, Google Threat Intelligence Group ve Okta tarafından Ocak ayında uyarılan geniş çaplı sesli dolandırıcılık dalgasıyla örtüşüyor. Ayrıca, CrowdStrike’in Cordial Spider olarak adlandırdığı veri hırsızlığı ve fidye saldırılarıyla da benzerlik gösteriyor.

RH-ISAC, şirketlere çok faktörlü kimlik doğrulama uygulamalarını zorunlu kılmalarını ve IT destek ekiplerinin tek bir aramada gerçekleştirebilecekleri işlemleri sınırlandırmalarını öneriyor.

Saldırganların Taktikleri

• Sesli dolandırıcılık (vishing): Kurbanları aramak ve IT destek gibi davranarak kimlik bilgilerini çalmak.
• Sosyal mühendislik: Yöneticilerin kişisel bilgilerini kullanarak hesaplara erişim sağlamak.
• Veri sızıntı sitesi: Fidye ödemeyen şirketleri kamuoyuna açıklamakla tehdit etmek.
• Swatting saldırıları: Yöneticilere yönelik fiziksel tehditler oluşturmak.

Kurumlara Yönelik Öneriler

RH-ISAC, şirketlere aşağıdaki önlemleri almalarını tavsiye ediyor:

• Çalışanlara çok faktörlü kimlik doğrulama uygulamalarını zorunlu kılmak.
• IT destek ekiplerinin yetkilerini sınırlandırmak ve yönetim onayı gerektiren işlemleri belirlemek.
• Çalışanların kişisel bilgilerini korumak için gerekli güvenlik önlemlerini almak.
• Olası saldırılara karşı sürekli izleme ve erken uyarı sistemleri kurmak.

BlackFile grubunun faaliyetleri, siber güvenlik dünyasında ciddi bir tehdit oluşturuyor. Şirketlerin bu saldırılara karşı hazırlıklı olması ve gerekli önlemleri alması büyük önem taşıyor.