DragonForce adlı bir fidye yazılımı grubu, Amerika Birleşik Devletleri genelinde Cricket Wireless mağazaları işleten büyük bir perakendeci olan Mobilelink USA’ya bir izinsiz giriş gerçekleştirdiğini iddia ediyor. Grup, şirket sistemlerinden 5TB’dan fazla veri çıkardığını söyledi. Saldırganlar, materyalin iç belgeler ve müşteriyle ilgili bilgiler içerdiğini iddia ediyor, ancak iddiayı doğrulamak için örnek dosyalar yayımlamadılar.
Mobilelink USA, 21 eyalette 550’den fazla Cricket markalı mağazayı yönetmektedir. Güvenlik analistleri, iddiaların doğru olması halinde potansiyel etkinin geniş bir müşteri kitlesine yayılabileceğini söyledi. Perakendecilerin genellikle müşteri iletişim bilgileri, cihaz satın alma kayıtları ve hizmet aktivasyonu için kullanılan hesapla ilgili bilgiler dahil olmak üzere operasyonel verilerin karışımını elinde tuttuğunu belirttiler. Analistler, bu materyalin herhangi bir şekilde ortaya çıkmasının oltalama girişimleri ve diğer dolandırıcılık türlerinin riskini artırabileceğini belirtti.
Rusya bağlantılı DragonForce, araştırmacılar tarafından küresel veri hırsızlığı ve şantaj kampanyalarında aktif bir hizmet kuruluşu olarak tanımlanıyor. Grup, çeşitli sektörlerdeki şirketleri hedef alan olaylarla bağlantılı olarak görüldü. Uzmanlar, DragonForce’un genellikle veri hırsızlığı kanıtını yayınlamadan önce doğrulanmamış iddiaları yayınlayarak ihlalleri duyurduğunu söyledi. Bu yaklaşımın örgütleri müzakere etmeye zorlamayı amaçladığını eklediler.
Mobilelink USA’ya yapılan müdahale henüz şirket tarafından doğrulanmadı. Kamuoyuna açıklama yapılmadı ve saldırının niteliğiyle ilgili detaylar sınırlı kaldı. Siber güvenlik analistleri, saldırganların büyük veri setlerini çıkardıklarını iddia ettiklerinde şirketlerin genellikle iddiaları doğrulamak veya çüretmek için paralel adli araştırmalar yürüttüğünü söyledi. Bu sorgulamaların zaman alabileceğini çünkü araştırmacıların potansiyel erişim noktalarını belirlemek için sunucu faaliyetlerini, logları ve ağ davranışını incelemesi gerektiğini belirttiler.
Uzmanlar, müşteri verileri ele geçirilirse, bireylerin sahte iletişim yoluyla ek kişisel bilgilere ulaşma girişimleriyle karşılaşabileceğini belirtti. Saldırganlar genellikle kısmi verileri, meşru müşteri hizmetleri ekiplerinden gelmiş gibi görünen ikna edici mesajlar oluşturmak için kullanır. Analistler, Cricket Wireless ve Mobilelink USA müşterilerine hesap faaliyetlerini izlemeleri, fatura bildirimlerini incelemeleri ve kişisel bilgilerin doğrulanması istenmeyen temaslara karşı dikkatli olmalarını tavsiye etti.
Fidye yazılımı grupları, büyük müşteri tabanları ve dağıtık BT ortamları nedeniyle perakendecileri sıkça hedef alır. Analistler, satış noktası sistemleri, müşteri destek platformları ve cihaz yönetim araçlarının, ağlar tam olarak segmentlere ayrılmazsa veya izlenmezse saldırganlara fırsatlar sağlayabileceğini söylediler. Perakendecilerin günlük operasyonları desteklemek için sürekli sistem kullanılabilirliğine güvendiğini ve bunun onları şantajlara karşı savunmasız hale getirebileceğini eklediler.
Kolluk kuvvetleri ve siber güvenlik yetkilileri, veri hırsızlığı konusunda uzmanlaşmış fidye yazılımı gruplarını takip etmeye devam ediyor. Soruşturmacılar, şantaj odaklı saldırıların hâlâ önemli bir zorluk olduğunu çünkü saldırganların genellikle sınırları aşarak şifreli iletişim kanallarına güvendiğini belirtti. Veri hırsızlığı iddialarının bazen abartıldığını ancak sınırlı maruziyetin bireyler için risk yaratabileceği için dikkatlice değerlendirilmesi gerektiğini belirttiler.
Mobilelink USA, daha fazla bilginin ne zaman açıklanacağını belirtmedi. Analistler, şirket ilk değerlendirmeleri tamamladığında veya fidye yazılımı grubu kanıt yayımladığında ek detaylar bekliyor.