Анализаторите на разузнавателни данни за заплахи, служителите, които реагират на инциденти, и федералните правоприлагащи органи изглежда знаят всичко за групата за заплахи с редица прякори – The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud, Octo Tempest и др. Тогава защо групата (която стои зад хакерските атаки на MGM Resorts и Caesars Entertainment) все още успешно атакува безнаказано американски организации, без да е прекъснала работата си до момента?
Тази седмица бяха публикувани доклади, които потвърждават, че федералните правоприлагащи органи са наясно с идентичността на групата за киберпрестъпления, която се състои от лица, за които английският език е майчин, но все още не са успели да извършат никакви арести. Всъщност източници потвърдиха пред Ройтерс, че правоприлагащите органи знаят самоличността на хакерския колектив Scattered Spider от повече от шест месеца.
Ловците на заплахи в областта на киберсигурността, като президента на CrowdStrike Майкъл Сентанас, изразиха недоумение, като отбелязаха, че фактът, че групата за изнудване все още действа и причинява „хаос“, е „провал на „правоприлагащите органи“.
Федералните служби все пак предложиха някакъв отговор: На 16 ноември ФБР и CISA публикуваха консултативен документ относно Scattered Spider, в който се посочват индикатори за компрометиране (IoC) и допълнителни подробности, за да могат екипите по сигурността на предприятията да се подготвят за защита на своите мрежи.
„ФБР и CISA препоръчват на организациите да приложат посочените по-долу смекчаващи мерки, за да подобрят позицията на вашата организация в областта на киберсигурността въз основа на активността на заплахите и да намалят риска от компрометиране от Scattered Spider“, се казва в консултацията. Той включва списък с препоръки, включително контрол на приложенията, одит на инструментите за отдалечен достъп и прилагане на удостоверяване на автентичността по FIDO/WebAuthn или многофакторно удостоверяване (MFA), базирано на инфраструктурата на публичния ключ (PKI).
Макар и полезна, ако има толкова много информация за киберпрестъпленията на групата, тя не дава отговор на въпроса защо членовете на групата просто не са били арестувани или най-малкото операцията им не е била прекъсната, отбелязват някои.
Подобно на повечето неща, които се намират на кръстопътя между корпоративна Америка и правоприлагащите органи, много от подробностите остават защитени в тайна. Въпреки това ефектите от действията на групата, която вилнее в мрежите на публични компании като MGM Resorts, са добре известни.
„UNC3944 е една от най-разпространените и агресивни заплахи, които оказват влияние върху организациите в Съединените щати днес“, казва Чарлз Кармакал, технически директор на Mandiant Consulting в Google Cloud. „Те са изключително разрушителни.“
И изглежда, че групата непрекъснато извършва безнаказани киберпрестъпления, като дори се разклонява към заплахи за физическо насилие. Изследователите на Microsoft обясняват в своя анализ на групата, която наричат Octo Tempest, че тя използва страха за личната си безопасност, за да притиска жертвите да плащат.
„В редки случаи Octo Tempest прибягва до тактики за всяване на страх, като се насочва към конкретни лица чрез телефонни обаждания и текстови съобщения“, казват в доклада си екипите на Microsoft за реакция при инциденти и разузнаване на заплахи. „Тези престъпници използват лична информация, като например домашни адреси и фамилни имена, заедно с физически заплахи, за да принудят жертвите да споделят идентификационни данни за корпоративен достъп.“
Самият обем на подробностите, публикувани от анализаторите за групата, е главозамайващ. За пръв път Scattered Spider е сигнализирана още през 2022 г., когато използва фишинг комплекта Oktapus, за да краде идентификационни данни. Групата успешно се е занимавала с размяна на SIM карти, но изглежда е достигнала своя връх в средата на 2023 г., когато е станала филиал на доставчика на рансъмуер-като-услуга BlackCat, известен още като Alphv.
Непрекъснато повишавайки уменията си, членовете на групата в крайна сметка добавят нов хитър аспект на социалното инженерство: обаждат се на отделите за помощ, за да възстановят идентификационните данни и да поемат проверени акаунти като първоначална опора в целевите среди. Това е начинът, по който екипът на Scattered Spider в крайна сметка компрометира MGM Resorts и блокира операциите в Лас Вегас Стрип за повече от седмица, като само за MGM Resorts загубите възлизат на стотици милиони долари. Едновременно с това групата прониква в Caesars и бързо договаря откуп от 15 млн. долара.
Кармакал от Mandiant казва, че след тези два инцидента групата би трябвало да бъде подложена на по-строг контрол: „Напоследък те привлякоха голямо внимание заради неотдавнашното си насочване към организации от сферата на хотелиерството и развлеченията“.
Федералните власти не споделят никакви подробности за разследването на Scattered Spider, но специалисти от индустрията за киберсигурност подозират, че традиционните правоприлагащи органи като ФБР трудно се адаптират към преследването на киберпрестъпници.
„Правоприлагащите органи са свикнали с работни групи с повече структура и организация и се борят със завръщането на по-хаотичните и свободно свързани хакери“, казва основателят на Bugcrowd Кейси Елис.
Всъщност неспособността на ФБР да разбие хакерски групи като Scattered Spider може да бъде проблем за известно време напред, смята Кали Гюнтер, старши мениджър в Critical Start.
„Борбата на ФБР да овладее тази група също така подчертава по-широките предизвикателства, пред които са изправени правоприлагащите органи в цифровата ера“, казва Гуентър. „Случаят „Scattered Spider“ е показателен за новата ера на киберзаплахите, в която престъпните групи използват агресивни тактики, включително заплахи за физическо насилие. Тази ескалация на престъпните стратегии изисква също толкова силен и иновативен отговор от страна на правоприлагащите органи и експертите по киберсигурност.“
Засега изглежда, че зависи от екипите на отделните предприятия да спрат Scattered Spider да попречи на техните мрежи. Междувременно общността за киберсигурност ще продължи да събира подробности за техните подвизи и да чака арести.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.