Търсене
Close this search box.

Анализаторите на разузнавателни данни за заплахи, служителите, които реагират на инциденти, и федералните правоприлагащи органи изглежда знаят всичко за групата за заплахи с редица прякори – The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud, Octo Tempest и др. Тогава защо групата (която стои зад хакерските атаки на MGM Resorts и Caesars Entertainment) все още успешно атакува безнаказано американски организации, без да е прекъснала работата си до момента?

 

Тази седмица бяха публикувани доклади, които потвърждават, че федералните правоприлагащи органи са наясно с идентичността на групата за киберпрестъпления, която се състои от лица, за които английският език е майчин, но все още не са успели да извършат никакви арести. Всъщност източници потвърдиха пред Ройтерс, че правоприлагащите органи знаят самоличността на хакерския колектив Scattered Spider от повече от шест месеца.

 

Ловците на заплахи в областта на киберсигурността, като президента на CrowdStrike Майкъл Сентанас, изразиха недоумение, като отбелязаха, че фактът, че групата за изнудване все още действа и причинява „хаос“, е „провал на „правоприлагащите органи“.

Консултация на ФБР относно Scattered Spider

Федералните служби все пак предложиха някакъв отговор: На 16 ноември ФБР и CISA публикуваха консултативен документ относно Scattered Spider, в който се посочват индикатори за компрометиране (IoC) и допълнителни подробности, за да могат екипите по сигурността на предприятията да се подготвят за защита на своите мрежи.

„ФБР и CISA препоръчват на организациите да приложат посочените по-долу смекчаващи мерки, за да подобрят позицията на вашата организация в областта на киберсигурността въз основа на активността на заплахите и да намалят риска от компрометиране от  Scattered Spider“, се казва в консултацията. Той включва списък с препоръки, включително контрол на приложенията, одит на инструментите за отдалечен достъп и прилагане на удостоверяване на автентичността по FIDO/WebAuthn или многофакторно удостоверяване (MFA), базирано на инфраструктурата на публичния ключ (PKI).

Макар и полезна, ако има толкова много информация за киберпрестъпленията на групата, тя не дава отговор на въпроса защо членовете на групата  просто не са били арестувани или най-малкото операцията им не е била прекъсната, отбелязват някои.

Хакерите стават все по-агресивни със заплахи за насилие

Подобно на повечето неща, които се намират на кръстопътя между корпоративна Америка и правоприлагащите органи, много от подробностите остават защитени в тайна. Въпреки това ефектите от действията на групата, която вилнее в мрежите на публични компании като MGM Resorts, са добре известни.

„UNC3944 е една от най-разпространените и агресивни заплахи, които оказват влияние върху организациите в Съединените щати днес“, казва Чарлз Кармакал, технически директор на Mandiant Consulting в Google Cloud. „Те са изключително разрушителни.“

И изглежда, че групата непрекъснато извършва безнаказани киберпрестъпления, като дори се разклонява към заплахи за физическо насилие. Изследователите на Microsoft обясняват в своя анализ на групата, която наричат Octo Tempest, че тя използва страха за личната си безопасност, за да притиска жертвите да плащат.

„В редки случаи Octo Tempest прибягва до тактики за всяване на страх, като се насочва към конкретни лица чрез телефонни обаждания и текстови съобщения“, казват в доклада си екипите на Microsoft за реакция при инциденти и разузнаване на заплахи. „Тези престъпници използват лична информация, като например домашни адреси и фамилни имена, заедно с физически заплахи, за да принудят жертвите да споделят идентификационни данни за корпоративен достъп.“

Планини от данни за Scattered Spider

Самият обем на подробностите, публикувани от анализаторите за групата, е главозамайващ. За пръв път Scattered Spider е сигнализирана още през 2022 г., когато използва фишинг комплекта Oktapus, за да краде идентификационни данни. Групата успешно се е занимавала с размяна на SIM карти, но изглежда е достигнала своя връх в средата на 2023 г., когато е станала филиал на доставчика на рансъмуер-като-услуга BlackCat, известен още като Alphv.

Непрекъснато повишавайки уменията си, членовете на групата в крайна сметка добавят нов хитър аспект на социалното инженерство: обаждат се на отделите за помощ, за да възстановят идентификационните данни и да поемат проверени акаунти като първоначална опора в целевите среди. Това е начинът, по който екипът на Scattered Spider в крайна сметка компрометира MGM Resorts и блокира операциите в Лас Вегас Стрип за повече от седмица, като само за MGM Resorts загубите възлизат на стотици милиони долари. Едновременно с това групата прониква в Caesars и бързо договаря откуп от 15 млн. долара.

Кармакал от Mandiant казва, че след тези два инцидента групата би трябвало да бъде подложена на по-строг контрол: „Напоследък те привлякоха голямо внимание заради неотдавнашното си насочване към организации от сферата на хотелиерството и развлеченията“.

Правоприлагащите органи се борят с киберпрестъпността

Федералните власти не споделят никакви подробности за разследването на Scattered Spider, но специалисти от индустрията за киберсигурност подозират, че традиционните правоприлагащи органи като ФБР трудно се адаптират към преследването на киберпрестъпници.

„Правоприлагащите органи са свикнали с работни групи с повече структура и организация и се борят със завръщането на по-хаотичните и свободно свързани хакери“, казва основателят на Bugcrowd Кейси Елис.

Всъщност неспособността на ФБР да разбие хакерски групи като Scattered Spider може да бъде проблем за известно време напред, смята Кали Гюнтер, старши мениджър в Critical Start.

„Борбата на ФБР да овладее тази група също така подчертава по-широките предизвикателства, пред които са изправени правоприлагащите органи в цифровата ера“, казва Гуентър. „Случаят  „Scattered Spider“ е показателен за новата ера на киберзаплахите, в която престъпните групи използват агресивни тактики, включително заплахи за физическо насилие. Тази ескалация на престъпните стратегии изисква също толкова силен и иновативен отговор от страна на правоприлагащите органи и експертите по киберсигурност.“

Засега изглежда, че зависи от екипите на отделните предприятия да спрат Scattered Spider да попречи на техните мрежи. Междувременно общността за киберсигурност ще продължи да събира подробности за техните подвизи и да чака арести.

 

Източник: DARKReading

Подобни публикации

9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
8 декември 2024

Тексаски тийнейджър е арестуван за хакове на те...

Преследването на членовете на Scattered Spider, киберпрестъпната гр...
Бъдете социални
Още по темата
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
04/12/2024

Проект на SecureG и CTIA за...

В стремежа си да убеди потребителите,...
04/12/2024

Производителят на водки Sto...

Компаниите на Stoli Group в САЩ...
Последно добавени
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
09/12/2024

ЕС отправя спешно запитване...

Европейският съюз съобщи в петък, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!