Siber Saldırı Bülteni: Saldırganlar Hacklemez, Giriş Yapar: MFA Kör Noktası >

Siber Saldırı Bülteni: Saldırganlar Giriş Yapmıyor - Giriş Yapıyorlar: MFA Kör Noktası >

Vectra AI Japonya、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
cybercriminels
>
Fidye Yazılım Grubu

Arkana Güvenlik

Arkana, büyük bir ABD kablo ve geniş bant sağlayıcısı olan WideOpenWest'e (WOW!) karşı agresif ve yüksek profilli bir saldırı ile kamuoyuna giriş yapan yeni tanımlanmış bir fidye yazılımı grubudur.

Arkana'nın TTP'lerini tespit edin
Kuruluşunuz Arkana Fidye Yazılımı Saldırılarına Karşı Güvende mi?
Arka plan
Hedefler
TTP'ler
Algılama
Sıkça Sorulan Sorular
Tehdit Brifingini izleyin

Arkana'nın kökeni

Arkana, büyük bir ABD kablo ve geniş bant sağlayıcısı olan WideOpenWest'e (WOW!) karşı agresif ve yüksek profilli bir saldırı ile kamuoyuna giriş yapan yeni tanımlanmış bir fidye yazılımı grubudur. Yeni ortaya çıkmasına rağmen, grubun operasyonel karmaşıklığı, deneyimli tehdit aktörleri tarafından yönetilebileceğini göstermektedir. Arkana,şantaj ve zorlayıcı taktiklere odaklanan üç aşamalı bir fidye yazılımı modeli (Fidye, Satışve Sızıntı) işletiyor. Onion sitelerinde ve iletişimlerinde kullanılan dil, potansiyel Rus kökenlerine veya bağlantılarına işaret ediyor, ancak bu henüz kesin olarak doğrulanmadı.

Stratejileri sadece teknik değil aynı zamanda psikolojiktir ve kurbanlar üzerindeki baskıyı artırmak için utandırma taktiklerine ve kurumsal doxxing'e dayanmaktadır. Grubun kamuya açık bir "Utanç Duvarı" kullanması ve doxxed yönetici bilgilerinin yayılması, şantaj planlarının bir parçası olarak itibar saldırılarına doğru bir kaymaya işaret ediyor.

Resim: SOCradar

Arkana'nın kökeni
Hedefler

Arkana'nın hedefleri

Arkana tarafından hedeflenen ülkeler

Başka hiçbir saldırı kamuya açıklanmamış olsa da Arkana'nın ABD merkezli bir şirket olan WOW!a yönelik saldırısı, Batılı, özellikle de Kuzey Amerikalı kuruluşları hedef almaya yönelik ilgilerini göstermektedir. Yaklaşımları, yüksek düzeyde düzenlenmiş ortamlarda köklü kuruluşlara meydan okumaya istekli olduklarını göstermektedir.

Arkana'nın hedeflediği sektörler

Arkana, WideOpenWest'e yönelik bilinen ilk saldırısında da görüldüğü üzere, öncelikli olarak telekomünikasyon ve internet hizmetleri sektörünü hedef almıştır. Bununla birlikte, gasp merkezli modelleri ve altyapı istismar teknikleri, büyük miktarda PII, finansal veri depolayan ve kritik arka uç sistemleri işleten herhangi bir sektöre saldırmak için iyi bir konuma sahip olduklarını göstermektedir.

Arkana'nın hedeflediği sektörler

Arkana, WideOpenWest'e yönelik bilinen ilk saldırısında da görüldüğü üzere, öncelikli olarak telekomünikasyon ve internet hizmetleri sektörünü hedef almıştır. Bununla birlikte, gasp merkezli modelleri ve altyapı istismar teknikleri, büyük miktarda PII, finansal veri depolayan ve kritik arka uç sistemleri işleten herhangi bir sektöre saldırmak için iyi bir konuma sahip olduklarını göstermektedir.

Arkana'nın kurbanları

Şu anda teyit edilen tek kurban WideOpenWest (WOW!). Grup erişim talep etti:

  • 403.000'den fazla müşteri hesabı
  • AppianCloud ve Symphonica gibi arka uç platformları
  • Hassas finansal ve PII verileri
  • SSN'ler, adresler ve iletişim bilgileri dahil olmak üzere yönetici kişisel verileri

Bu durum, derin yanal hareketlere ve ayrıcalıklı arkasistemlerinevurgu yapıldığına işaret ediyor; bu da potansiyel olarakmüşteri uç noktalarında geniş ölçekte fidye yazılımı dağıtımını mümkün kılıyor.

Saldırı Yöntemi

Arkana'nın saldırı teknikleri

İlk Erişim
Ayrıcalık Yükseltme
Savunma Kaçırma
Kimlik Bilgileri Erişimi
Keşif
Yanal Hareket
Koleksiyon
Yürütme
Sızma
Etki
Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

Muhtemelen yamalanmamış güvenlik açıkları veya kimlik phishing yoluyla internete dönük sistemlerden veya tehlikeye atılmış kimlik bilgilerinden yararlanılarak elde edilmiştir.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

AppianCloud gibi arka uç platformlarında yüksek izinler elde etti; muhtemelen platforma özgü yanlış yapılandırmalardan veya kimlik doğrulama atlamalarından yararlandı.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

WOW!'un dahili sistemlerine uzun süreli erişimi sürdürürken tespit edilmekten kaçındı; muhtemelen günlüğü devre dışı bıraktı veya erişim modellerini gizledi.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

Kullanıcı adları, parolalar ve güvenlik sorusu yanıtları dahil olmak üzere geniş bir kimlik bilgileri kümesine erişilir; yanal hareket ve kalıcılık için kullanılır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Symphonica ve Appian gibi yüksek değerli hedefleri belirleyerek dahili hizmetleri ve API'leri (ör. faturalama, müşteri verileri) eşleştirdi.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

Faturalama API'leri, CRM sistemleri ve muhtemelen Symphonica aracılığıyla kontrol edilen cihazlar dahil olmak üzere dahili sistemler arasında yayılır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

Müşteriye yönelik sistemlerden PII, kimlik doğrulama verileri ve arka uç kodu da dahil olmak üzere büyük miktarda veri sızdırdı.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Symphonica aracılığıyla müşteri cihazlarına malware gönderme kabiliyeti olduğu iddia edildi; muhtemelen arka uç erişimi yoluyla özel komut dosyaları veya yükler içeriyordu.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Veriler muhtemelen zaman içinde elde edilmiş ve sterilize edilmiş örneklerin ve ekran görüntülerinin yayınlanması da dahil olmak üzere gasp sürecinde kullanılmıştır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Çalınan verilerin kamuya açıklanması, yöneticilerin doxxing'i, itibar kaybı, son kullanıcılara potansiyel malware dağıtımı.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

Muhtemelen yamalanmamış güvenlik açıkları veya kimlik phishing yoluyla internete dönük sistemlerden veya tehlikeye atılmış kimlik bilgilerinden yararlanılarak elde edilmiştir.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

AppianCloud gibi arka uç platformlarında yüksek izinler elde etti; muhtemelen platforma özgü yanlış yapılandırmalardan veya kimlik doğrulama atlamalarından yararlandı.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

WOW!'un dahili sistemlerine uzun süreli erişimi sürdürürken tespit edilmekten kaçındı; muhtemelen günlüğü devre dışı bıraktı veya erişim modellerini gizledi.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

Kullanıcı adları, parolalar ve güvenlik sorusu yanıtları dahil olmak üzere geniş bir kimlik bilgileri kümesine erişilir; yanal hareket ve kalıcılık için kullanılır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

Symphonica ve Appian gibi yüksek değerli hedefleri belirleyerek dahili hizmetleri ve API'leri (ör. faturalama, müşteri verileri) eşleştirdi.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

Faturalama API'leri, CRM sistemleri ve muhtemelen Symphonica aracılığıyla kontrol edilen cihazlar dahil olmak üzere dahili sistemler arasında yayılır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

Müşteriye yönelik sistemlerden PII, kimlik doğrulama verileri ve arka uç kodu da dahil olmak üzere büyük miktarda veri sızdırdı.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

Symphonica aracılığıyla müşteri cihazlarına malware gönderme kabiliyeti olduğu iddia edildi; muhtemelen arka uç erişimi yoluyla özel komut dosyaları veya yükler içeriyordu.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Veriler muhtemelen zaman içinde elde edilmiş ve sterilize edilmiş örneklerin ve ekran görüntülerinin yayınlanması da dahil olmak üzere gasp sürecinde kullanılmıştır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Çalınan verilerin kamuya açıklanması, yöneticilerin doxxing'i, itibar kaybı, son kullanıcılara potansiyel malware dağıtımı.

MITRE ATT&CK Haritalama

Arkana tarafından kullanılan TTP'ler

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1210
Exploitation of Remote Services
TA0009: Collection
T1213
Data from Information Repositories
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
Platform Tespitleri

Vectra AI ile Arkana nasıl tespit edilir

Brute-Force

Privilege Anomaly: Unusual Host

Ransomware File Activity

Daha fazla algılama görüntüleyin
Saldırıya maruz kalma durumunuzu değerlendirin

Sıkça Sorulan Sorular

Arkana nedir ve diğer fidye yazılımı gruplarından farkı nedir?

Arkana, üç aşamalı bir gasp modeline sahip yeni tanımlanmış bir fidye yazılımı grubudur: Fidye, Satış ve Sızıntı. Geleneksel fidye yazılımlarını agresif doxxing ve itibar saldırıları ile birleştirmektedir.

Arkana bilinen herhangi bir siber suç grubuyla bağlantılı mı?

Teyit edilmiş bir bağlantı yok, ancak kullanılan dil ve taktikler olası bir Rus kökenine ya da Doğu Avrupa siber suç ekosistemlerine işaret ediyor.

WOW'a yaptıkları saldırının kapsamı neydi?

Arkana, arka uç altyapısını ihlal ettiğini, 403.000'den fazla müşteri hesabına sızdığını ve Symphonica ve AppianCloud gibi platformların kontrolünü ele geçirdiğini iddia ediyor.

Arkana ilk erişimi nasıl elde etti?

Henüz doğrulanmamış olsa da, muhtemel yöntemler arasında şunlar yer almaktadır phishing, kimlik bilgisi doldurma veya yamalanmamış kamuya açık sistemlerden yararlanma.

Ne tür veriler çalındı?

Veriler arasında kullanıcı adları, parolalar, SSN'ler, kredi kartı bilgileri, hizmet paketi ayrıntıları, Firebase Kimlikleri ve e-posta iletişim tercihleri bulunur.

Arkana gerçek bir fidye yazılımı mı dağıttı?

Bir veri gasp grubu olarak faaliyet gösteriyorlar, ancak aynı zamanda müşteri cihazlarına malware gönderebileceklerini iddia ediyorlar, bu da fidye malware dağıtımının mümkün olduğunu gösteriyor.

Kuruluşlar bu tür saldırıları nasıl tespit edebilir ve bunlara nasıl yanıt verebilir?

Vectra AI gibi Tehdit Tespit ve Müdahale çözümlerini uygulayın. Olağandışı API çağrılarını, yetkisiz erişimi ve anormal veri sızıntısını izleyin. zero trust ilkelerini ve MFA'yı uygulayın.

Arkana hala aktif mi?

Şu an itibariyle Onion siteleri çalışır durumda ve kurban olarak sadece WOW! listelediler, ancak altyapıları devam eden faaliyetlere ve gelecekteki saldırılara işaret ediyor.

Arkana mağdurları için yasal riskler nelerdir?

Mağdurlar, çalınan verilerin niteliği nedeniyle yasal para cezaları (ör. HIPAA, GDPR), etkilenen müşterilerden gelen davalar ve toplu eylem yükümlülükleriyle karşı karşıya kalabilir.

Bireyler etkilenirlerse ne yapabilirler?

WOW! müşterileri yapmalı:

  • Kredi izlemeyi etkinleştirin
  • Parolaları ve güvenlik sorularını değiştirin
  • phishing ı girişimlerini ve yetkisiz hesap erişimini izleyin

Kuruluşunuz Arkana Fidye Yazılımı Saldırılarına Karşı Güvende mi?

Saldırıya maruz kalma durumunuzu değerlendirin