شرکت بزرگ بیمه آمریکایی Aflac در روز جمعه اعلام کرد که در جریان یک کارزار گسترده علیه شرکتهای بیمه در ایالات متحده، مورد نفوذ سایبری قرار گرفته است؛ حملهای که احتمالاً منجر به سرقت اطلاعات شخصی و سلامت کاربران شده است.
Aflac که مخفف American Family Life Assurance Company است، بزرگترین ارائهدهنده بیمه تکمیلی در آمریکاست و یک شرکت Fortune 500 محسوب میشود که خدمات بیمهای را به میلیونها مشتری در ایالات متحده و ژاپن ارائه میدهد.
در بیانیهای رسمی، Aflac اعلام کرد که شبکه این شرکت تحت تأثیر باجافزار قرار نگرفته، اما مشخص نیست که آیا تلاش برای اجرای باجافزار صورت گرفته و مسدود شده یا حمله صرفاً به سرقت دادهها محدود بوده است.
«ما بهسرعت پروتکلهای پاسخ به حادثه سایبری را فعال کردیم و در عرض چند ساعت نفوذ را متوقف نمودیم. مهمتر از همه اینکه کسبوکار ما همچنان فعال است و سیستمهایمان تحت تأثیر باجافزار قرار نگرفتهاند.»
این شرکت افزود که همچنان به خدماترسانی به مشتریان ادامه میدهد، از جمله صدور بیمهنامه، بررسی خسارتها و سایر خدمات روزمره. این حمله بخشی از یک کارزار سازمانیافته سایبری بوده که صنایع بیمه را هدف گرفته است.
پس از کشف نفوذ، Aflac کارشناسان امنیت سایبری خارجی را بهکار گرفت تا حادثه را بررسی کرده و محتوای فایلهایی را که ممکن است در حمله فاش شده باشند، تحلیل کنند.
در گزارشی به کمیسیون بورس و اوراق بهادار آمریکا (SEC)، Aflac توضیح داد که فایلهای احتمالی درز کرده شامل طیف گستردهای از اطلاعات حساس مربوط به مشتریان، ذینفعان، کارمندان، نمایندگان و افراد دیگر هستند؛ از جمله اطلاعات مربوط به خسارت، اطلاعات سلامت، شماره تأمین اجتماعی و دیگر دادههای شناسایی شخصی (PII).
حملات گروه Scattered Spider به صنعت بیمه
اگرچه Aflac بهصورت رسمی حمله را به گروه خاصی نسبت نداده، اما شواهد نشان میدهد که روش اجرای این حمله با تاکتیکهای گروه معروف Scattered Spider مطابقت دارد.
این گروه که با نامهای دیگری مانند 0ktapus, UNC3944, Scatter Swine, Starfraud, و Muddled Libra نیز شناخته میشود، به دلیل حملات مهندسی اجتماعی پیچیده علیه سازمانهای بزرگ شناخته شده است. این تاکتیکها شامل فیشینگ، تعویض سیمکارت (SIM swapping) و بمباران احراز هویت چندمرحلهای (MFA bombing) هستند.
در سپتامبر ۲۰۲۳، این گروه توانست به سیستمهای MGM Resorts نفوذ کند و بیش از ۱۰۰ سرور VMware ESXi را با باجافزار BlackCat رمزگذاری کند. آنها با عملیات باجافزاری دیگر مانند RansomHub، Qilin و DragonForce نیز همکاری داشتهاند.
از جمله اهداف دیگر این گروه میتوان به شرکتهای Twilio، Coinbase، DoorDash، Caesars، MailChimp، Riot Games و Reddit اشاره کرد.
John Hultquist، تحلیلگر ارشد گروه اطلاعات تهدید گوگل (GTIG)، به BleepingComputer گفته است که Scattered Spider اخیراً تمرکز خود را بر شرکتهای بیمه آمریکایی گذاشته است و تأکید کرده که:
«صنعت بیمه باید در بالاترین سطح هشدار قرار داشته باشد، بهویژه در برابر حملات مهندسی اجتماعی به میزهای پشتیبانی و مراکز تماس.»
اخیراً نیز شرکتهای بیمهای مانند Philadelphia Insurance Companies (PHLY) و Erie Insurance پس از تشخیص دسترسی غیرمجاز، با اختلالات گستردهای مواجه شدهاند.
در ماه مه، Hultquist هشدار داد که Scattered Spider که قبلاً فروشگاههای زنجیرهای در بریتانیا را هدف قرار میداد، اکنون تمرکز خود را به خردهفروشیها در ایالات متحده منتقل کرده است. این گروه سابقه دارد که هر بار فقط یک صنعت را هدف قرار دهد و بهطور متمرکز عمل کند.
یک نظر