Arkana Güvenlik
Arkana, büyük bir ABD kablo ve geniş bant sağlayıcısı olan WideOpenWest'e (WOW!) karşı agresif ve yüksek profilli bir saldırı ile kamuoyuna giriş yapan yeni tanımlanmış bir fidye yazılımı grubudur.
Arkana'nın kökeni
Arkana, büyük bir ABD kablo ve geniş bant sağlayıcısı olan WideOpenWest'e (WOW!) karşı agresif ve yüksek profilli bir saldırı ile kamuoyuna giriş yapan yeni tanımlanmış bir fidye yazılımı grubudur. Yeni ortaya çıkmasına rağmen, grubun operasyonel karmaşıklığı, deneyimli tehdit aktörleri tarafından yönetilebileceğini göstermektedir. Arkana,şantaj ve zorlayıcı taktiklere odaklanan üç aşamalı bir fidye yazılımı modeli (Fidye, Satışve Sızıntı) işletiyor. Onion sitelerinde ve iletişimlerinde kullanılan dil, potansiyel Rus kökenlerine veya bağlantılarına işaret ediyor, ancak bu henüz kesin olarak doğrulanmadı.
Stratejileri sadece teknik değil aynı zamanda psikolojiktir ve kurbanlar üzerindeki baskıyı artırmak için utandırma taktiklerine ve kurumsal doxxing'e dayanmaktadır. Grubun kamuya açık bir "Utanç Duvarı" kullanması ve doxxed yönetici bilgilerinin yayılması, şantaj planlarının bir parçası olarak itibar saldırılarına doğru bir kaymaya işaret ediyor.
Arkana tarafından hedeflenen ülkeler
Başka hiçbir saldırı kamuya açıklanmamış olsa da Arkana'nın ABD merkezli bir şirket olan WOW!a yönelik saldırısı, Batılı, özellikle de Kuzey Amerikalı kuruluşları hedef almaya yönelik ilgilerini göstermektedir. Yaklaşımları, yüksek düzeyde düzenlenmiş ortamlarda köklü kuruluşlara meydan okumaya istekli olduklarını göstermektedir.
Arkana'nın hedeflediği sektörler
Arkana, WideOpenWest'e yönelik bilinen ilk saldırısında da görüldüğü üzere, öncelikli olarak telekomünikasyon ve internet hizmetleri sektörünü hedef almıştır. Bununla birlikte, gasp merkezli modelleri ve altyapı istismar teknikleri, büyük miktarda PII, finansal veri depolayan ve kritik arka uç sistemleri işleten herhangi bir sektöre saldırmak için iyi bir konuma sahip olduklarını göstermektedir.
Arkana'nın kurbanları
Şu anda teyit edilen tek kurban WideOpenWest (WOW!). Grup erişim talep etti:
- 403.000'den fazla müşteri hesabı
- AppianCloud ve Symphonica gibi arka uç platformları
- Hassas finansal ve PII verileri
- SSN'ler, adresler ve iletişim bilgileri dahil olmak üzere yönetici kişisel verileri
Bu durum, derin yanal hareketlere ve ayrıcalıklı arkauç sistemlerinevurgu yapıldığına işaret ediyor; bu da potansiyel olarakmüşteri uç noktalarında geniş ölçekte fidye yazılımı dağıtımını mümkün kılıyor.
Arkana'nın saldırı teknikleri
Muhtemelen yamalanmamış güvenlik açıkları veya kimlik phishing yoluyla internete dönük sistemlerden veya tehlikeye atılmış kimlik bilgilerinden yararlanılarak elde edilmiştir.
AppianCloud gibi arka uç platformlarında yüksek izinler elde etti; muhtemelen platforma özgü yanlış yapılandırmalardan veya kimlik doğrulama atlamalarından yararlandı.
WOW!'un dahili sistemlerine uzun süreli erişimi sürdürürken tespit edilmekten kaçındı; muhtemelen günlüğü devre dışı bıraktı veya erişim modellerini gizledi.
Kullanıcı adları, parolalar ve güvenlik sorusu yanıtları dahil olmak üzere geniş bir kimlik bilgileri kümesine erişilir; yanal hareket ve kalıcılık için kullanılır.
Symphonica ve Appian gibi yüksek değerli hedefleri belirleyerek dahili hizmetleri ve API'leri (ör. faturalama, müşteri verileri) eşleştirdi.
Faturalama API'leri, CRM sistemleri ve muhtemelen Symphonica aracılığıyla kontrol edilen cihazlar dahil olmak üzere dahili sistemler arasında yayılır.
Müşteriye yönelik sistemlerden PII, kimlik doğrulama verileri ve arka uç kodu da dahil olmak üzere büyük miktarda veri sızdırdı.
Symphonica aracılığıyla müşteri cihazlarına malware gönderme kabiliyeti olduğu iddia edildi; muhtemelen arka uç erişimi yoluyla özel komut dosyaları veya yükler içeriyordu.
Veriler muhtemelen zaman içinde elde edilmiş ve sterilize edilmiş örneklerin ve ekran görüntülerinin yayınlanması da dahil olmak üzere gasp sürecinde kullanılmıştır.
Çalınan verilerin kamuya açıklanması, yöneticilerin doxxing'i, itibar kaybı, son kullanıcılara potansiyel malware dağıtımı.
Muhtemelen yamalanmamış güvenlik açıkları veya kimlik phishing yoluyla internete dönük sistemlerden veya tehlikeye atılmış kimlik bilgilerinden yararlanılarak elde edilmiştir.
AppianCloud gibi arka uç platformlarında yüksek izinler elde etti; muhtemelen platforma özgü yanlış yapılandırmalardan veya kimlik doğrulama atlamalarından yararlandı.
WOW!'un dahili sistemlerine uzun süreli erişimi sürdürürken tespit edilmekten kaçındı; muhtemelen günlüğü devre dışı bıraktı veya erişim modellerini gizledi.
Kullanıcı adları, parolalar ve güvenlik sorusu yanıtları dahil olmak üzere geniş bir kimlik bilgileri kümesine erişilir; yanal hareket ve kalıcılık için kullanılır.
Symphonica ve Appian gibi yüksek değerli hedefleri belirleyerek dahili hizmetleri ve API'leri (ör. faturalama, müşteri verileri) eşleştirdi.
Faturalama API'leri, CRM sistemleri ve muhtemelen Symphonica aracılığıyla kontrol edilen cihazlar dahil olmak üzere dahili sistemler arasında yayılır.
Müşteriye yönelik sistemlerden PII, kimlik doğrulama verileri ve arka uç kodu da dahil olmak üzere büyük miktarda veri sızdırdı.
Symphonica aracılığıyla müşteri cihazlarına malware gönderme kabiliyeti olduğu iddia edildi; muhtemelen arka uç erişimi yoluyla özel komut dosyaları veya yükler içeriyordu.
Veriler muhtemelen zaman içinde elde edilmiş ve sterilize edilmiş örneklerin ve ekran görüntülerinin yayınlanması da dahil olmak üzere gasp sürecinde kullanılmıştır.
Çalınan verilerin kamuya açıklanması, yöneticilerin doxxing'i, itibar kaybı, son kullanıcılara potansiyel malware dağıtımı.
Arkana tarafından kullanılan TTP'ler
Vectra AI ile Arkana nasıl tespit edilir
Sıkça Sorulan Sorular
Arkana nedir ve diğer fidye yazılımı gruplarından farkı nedir?
Arkana, üç aşamalı bir gasp modeline sahip yeni tanımlanmış bir fidye yazılımı grubudur: Fidye, Satış ve Sızıntı. Geleneksel fidye yazılımlarını agresif doxxing ve itibar saldırıları ile birleştirmektedir.
Arkana bilinen herhangi bir siber suç grubuyla bağlantılı mı?
Teyit edilmiş bir bağlantı yok, ancak kullanılan dil ve taktikler olası bir Rus kökenine ya da Doğu Avrupa siber suç ekosistemlerine işaret ediyor.
WOW'a yaptıkları saldırının kapsamı neydi?
Arkana, arka uç altyapısını ihlal ettiğini, 403.000'den fazla müşteri hesabına sızdığını ve Symphonica ve AppianCloud gibi platformların kontrolünü ele geçirdiğini iddia ediyor.
Arkana ilk erişimi nasıl elde etti?
Henüz doğrulanmamış olsa da, muhtemel yöntemler arasında şunlar yer almaktadır phishing, kimlik bilgisi doldurma veya yamalanmamış kamuya açık sistemlerden yararlanma.
Ne tür veriler çalındı?
Veriler arasında kullanıcı adları, parolalar, SSN'ler, kredi kartı bilgileri, hizmet paketi ayrıntıları, Firebase Kimlikleri ve e-posta iletişim tercihleri bulunur.
Arkana gerçek bir fidye yazılımı mı dağıttı?
Bir veri gasp grubu olarak faaliyet gösteriyorlar, ancak aynı zamanda müşteri cihazlarına malware gönderebileceklerini iddia ediyorlar, bu da fidye malware dağıtımının mümkün olduğunu gösteriyor.
Kuruluşlar bu tür saldırıları nasıl tespit edebilir ve bunlara nasıl yanıt verebilir?
Vectra AI gibi Tehdit Tespit ve Müdahale çözümlerini uygulayın. Olağandışı API çağrılarını, yetkisiz erişimi ve anormal veri sızıntısını izleyin. zero trust ilkelerini ve MFA'yı uygulayın.
Arkana hala aktif mi?
Şu an itibariyle Onion siteleri çalışır durumda ve kurban olarak sadece WOW! listelediler, ancak altyapıları devam eden faaliyetlere ve gelecekteki saldırılara işaret ediyor.
Arkana mağdurları için yasal riskler nelerdir?
Mağdurlar, çalınan verilerin niteliği nedeniyle yasal para cezaları (ör. HIPAA, GDPR), etkilenen müşterilerden gelen davalar ve toplu eylem yükümlülükleriyle karşı karşıya kalabilir.
Bireyler etkilenirlerse ne yapabilirler?
WOW! müşterileri yapmalı:
- Kredi izlemeyi etkinleştirin
- Parolaları ve güvenlik sorularını değiştirin
- phishing ı girişimlerini ve yetkisiz hesap erişimini izleyin