Не за първи път Scattered Spider концентрират действията си върху даден сектор. Рано тази година групата беше активна сред търговски вериги в Обединеното кралство, след това премести дейността си към същия сектор и на територията на САЩ. В момента всички белези сочат, че следващото поле на действие на групата са застрахователните компании.

Според Джон Хълтквист, главен анализатор на GTIG, застрахователната индустрия „следва да бъде на високо ниво на готовност“, тъй като групировката концентрира всички свои усилия именно в тази посока.

Социално инженерство и смяна на SIM карти като главно оръжие

Scattered Spider, известна също като 0ktapus, UNC3944, Scatter Swine, Starfraud и Muddled Libra, разчита на комбинация от методи, сред които:

• Социално инженерство — звънейки на служители и help desk специалисти с цел да изкопчат пароли и информационни детайли.
• Смяна на SIM картите на жертвите (SIM swapping) — позволява на групата да прихване SMS съобщения с кодове за двуфакторно удостоверяване.
• MFA бомбардиране — изпращането на множество потвърждения, с надеждата жертвите да потвърдят поне едно.

Рансъмуер и по-нататъшно проникване

След като проникне в мрежите на дадена организация, групировката често преминава към внедряване на рансъмуер (например RansomHub, Qilin и DragonForce), с цел изнудване на жертвите за плащания.
Scattered Spider показа същия подход при атаките срещу веригите Marks & Spencer, Harrods и Co-op във Великобритания.

Как да се защитят компаниите?

Специалистите съветват всяка организация да:

• Въведе строги правила при смяна на пароли и двуфакторно удостоверяване (MFA).
• Раздели профилите с високи права и да приложи съответно по-строги правила за достъп.
• Редовно да обучава служителите си да разпознават социално инженерство, включително чрез SMS, съобщения и обаждания с „агресивно поведение“.

Препоръки на Националния център за киберсигурност (NCSC)

Британският NCSC съветва всички организации да:

•  Въведат многофакторно удостоверяване (2FA/MFA).
•  Проследяват подозрителни логвания, особено такива с произход от услуги като VPN с резиденциални IP.
• Редовно да одитират профилите с високи права (например Domain Admin, Enterprise Admin, Cloud Admin).
•  Ревизират процедурата на help desk-а при смяна на пароли и потвърждаване на самоличности.

Заключение

Група като Scattered Spider показва колко изобретателни могат да бъдат съвременните киберпрестъпници.
Не техническите уязвимости, а главно човешкият фактор, позволява на нападателите да проникнат в иначе добре подсигурени мрежи.