Търсене
Close this search box.

Scattered Spider избягват арест

Анализаторите на разузнавателни данни за заплахи, служителите, които реагират на инциденти, и федералните правоприлагащи органи изглежда знаят всичко за групата за заплахи с редица прякори – The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud, Octo Tempest и др. Тогава защо групата (която стои зад хакерските атаки на MGM Resorts и Caesars Entertainment) все още успешно атакува безнаказано американски организации, без да е прекъснала работата си до момента?

 

Тази седмица бяха публикувани доклади, които потвърждават, че федералните правоприлагащи органи са наясно с идентичността на групата за киберпрестъпления, която се състои от лица, за които английският език е майчин, но все още не са успели да извършат никакви арести. Всъщност източници потвърдиха пред Ройтерс, че правоприлагащите органи знаят самоличността на хакерския колектив Scattered Spider от повече от шест месеца.

 

Ловците на заплахи в областта на киберсигурността, като президента на CrowdStrike Майкъл Сентанас, изразиха недоумение, като отбелязаха, че фактът, че групата за изнудване все още действа и причинява „хаос“, е „провал на „правоприлагащите органи“.

Консултация на ФБР относно Scattered Spider

Федералните служби все пак предложиха някакъв отговор: На 16 ноември ФБР и CISA публикуваха консултативен документ относно Scattered Spider, в който се посочват индикатори за компрометиране (IoC) и допълнителни подробности, за да могат екипите по сигурността на предприятията да се подготвят за защита на своите мрежи.

„ФБР и CISA препоръчват на организациите да приложат посочените по-долу смекчаващи мерки, за да подобрят позицията на вашата организация в областта на киберсигурността въз основа на активността на заплахите и да намалят риска от компрометиране от  Scattered Spider“, се казва в консултацията. Той включва списък с препоръки, включително контрол на приложенията, одит на инструментите за отдалечен достъп и прилагане на удостоверяване на автентичността по FIDO/WebAuthn или многофакторно удостоверяване (MFA), базирано на инфраструктурата на публичния ключ (PKI).

Макар и полезна, ако има толкова много информация за киберпрестъпленията на групата, тя не дава отговор на въпроса защо членовете на групата  просто не са били арестувани или най-малкото операцията им не е била прекъсната, отбелязват някои.

Хакерите стават все по-агресивни със заплахи за насилие

Подобно на повечето неща, които се намират на кръстопътя между корпоративна Америка и правоприлагащите органи, много от подробностите остават защитени в тайна. Въпреки това ефектите от действията на групата, която вилнее в мрежите на публични компании като MGM Resorts, са добре известни.

„UNC3944 е една от най-разпространените и агресивни заплахи, които оказват влияние върху организациите в Съединените щати днес“, казва Чарлз Кармакал, технически директор на Mandiant Consulting в Google Cloud. „Те са изключително разрушителни.“

И изглежда, че групата непрекъснато извършва безнаказани киберпрестъпления, като дори се разклонява към заплахи за физическо насилие. Изследователите на Microsoft обясняват в своя анализ на групата, която наричат Octo Tempest, че тя използва страха за личната си безопасност, за да притиска жертвите да плащат.

„В редки случаи Octo Tempest прибягва до тактики за всяване на страх, като се насочва към конкретни лица чрез телефонни обаждания и текстови съобщения“, казват в доклада си екипите на Microsoft за реакция при инциденти и разузнаване на заплахи. „Тези престъпници използват лична информация, като например домашни адреси и фамилни имена, заедно с физически заплахи, за да принудят жертвите да споделят идентификационни данни за корпоративен достъп.“

Планини от данни за Scattered Spider

Самият обем на подробностите, публикувани от анализаторите за групата, е главозамайващ. За пръв път Scattered Spider е сигнализирана още през 2022 г., когато използва фишинг комплекта Oktapus, за да краде идентификационни данни. Групата успешно се е занимавала с размяна на SIM карти, но изглежда е достигнала своя връх в средата на 2023 г., когато е станала филиал на доставчика на рансъмуер-като-услуга BlackCat, известен още като Alphv.

Непрекъснато повишавайки уменията си, членовете на групата в крайна сметка добавят нов хитър аспект на социалното инженерство: обаждат се на отделите за помощ, за да възстановят идентификационните данни и да поемат проверени акаунти като първоначална опора в целевите среди. Това е начинът, по който екипът на Scattered Spider в крайна сметка компрометира MGM Resorts и блокира операциите в Лас Вегас Стрип за повече от седмица, като само за MGM Resorts загубите възлизат на стотици милиони долари. Едновременно с това групата прониква в Caesars и бързо договаря откуп от 15 млн. долара.

Кармакал от Mandiant казва, че след тези два инцидента групата би трябвало да бъде подложена на по-строг контрол: „Напоследък те привлякоха голямо внимание заради неотдавнашното си насочване към организации от сферата на хотелиерството и развлеченията“.

Правоприлагащите органи се борят с киберпрестъпността

Федералните власти не споделят никакви подробности за разследването на Scattered Spider, но специалисти от индустрията за киберсигурност подозират, че традиционните правоприлагащи органи като ФБР трудно се адаптират към преследването на киберпрестъпници.

„Правоприлагащите органи са свикнали с работни групи с повече структура и организация и се борят със завръщането на по-хаотичните и свободно свързани хакери“, казва основателят на Bugcrowd Кейси Елис.

Всъщност неспособността на ФБР да разбие хакерски групи като Scattered Spider може да бъде проблем за известно време напред, смята Кали Гюнтер, старши мениджър в Critical Start.

„Борбата на ФБР да овладее тази група също така подчертава по-широките предизвикателства, пред които са изправени правоприлагащите органи в цифровата ера“, казва Гуентър. „Случаят  „Scattered Spider“ е показателен за новата ера на киберзаплахите, в която престъпните групи използват агресивни тактики, включително заплахи за физическо насилие. Тази ескалация на престъпните стратегии изисква също толкова силен и иновативен отговор от страна на правоприлагащите органи и експертите по киберсигурност.“

Засега изглежда, че зависи от екипите на отделните предприятия да спрат Scattered Spider да попречи на техните мрежи. Междувременно общността за киберсигурност ще продължи да събира подробности за техните подвизи и да чака арести.

 

Източник: DARKReading

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
Бъдете социални
Още по темата
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Christie's потвърждава проб...

Christie’s потвърди, че е претърпяла инцидент...
22/05/2024

От LockBit твърдят, че са о...

Късно снощи бандата за рансъмуер LockBit...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!