Το FBI μοιράζεται τις τακτικές της διαβόητης ομάδας χάκερ Scattered Spider

Το Ομοσπονδιακό Γραφείο Ερευνών και η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής εξέδωσαν μια συμβουλή σχε

τι

κά με τον δράστη αποφυγής απειλών που παρακολουθείται ως Scattered Spider, μια χαλαρά συνδεδεμένη ομάδα hacking που τώρα συνεργάζεται με τη ρωσική επιχείρηση ransomware ALPHV/BlackCat.

Scattered Spider, επίσης γνωστή ως 0ktapus, Starfraud,

UNC3944

Scatter Swine,

Octo Tempest

και

Μπερδεμένος Ζυγός

είναι έμπειρος στην κοινωνική μηχανική και βασίζεται στο phishing, στον έλεγχο ταυτότητας πολλαπλών εργοστασίων με ώθηση βομβαρδισμού (στοχευμένη κόπωση MFA) και στην εναλλαγή SIM για να αποκτήσει αρχική πρόσβαση στο δίκτυο σε μεγάλους οργανισμούς.

Η ομάδα περιλαμβάνει νεαρά αγγλόφωνα μέλη (ηλικίας έως και 16 ετών) με διαφορετικά σύνολα δεξιοτήτων που συχνάζουν στα ίδια φόρουμ χάκερ και στα ίδια κανάλια Telegram.

Ορισμένα από τα μέλη πιστεύεται ότι είναι επίσης μέρος του “Comm” – μιας χαλαρής κοινότητας που εμπλέκεται σε βίαιες πράξεις και περιστατικά στον κυβερνοχώρο που κερδίζει

μεγάλη προσοχή των ΜΜΕ τον τελευταίο καιρό

.

Σε αντίθεση με τη γενική πεποίθηση ότι πρόκειται για μια συνεκτική συμμορία, είναι ένα δίκτυο ατόμων, με διαφορετικούς παράγοντες απειλής που συμμετέχουν σε κάθε επίθεση. Αυτή η ρευστή δομή είναι που δυσκολεύει την παρακολούθηση τους.

Ωστόσο, σύμφωνα με

δημοσιογράφοι του Reuters

το FBI γνωρίζει τις ταυτότητες τουλάχιστον 12 μελών της ομάδας, αλλά κανένα δεν έχει κατηγορηθεί ή συλληφθεί ακόμη.

Ιστορικό

Οι επιθέσεις Scattered Spider τεκμηριώθηκαν από το περασμένο καλοκαίρι, όταν ερευνητές της εταιρείας κυβερνοασφάλειας Group-IB δημοσίευσαν μια αναφορά σχετικά με ένα ξεφάντωμα επιθέσεων με στόχο την κλοπή διαπιστευτηρίων ταυτότητας Okta και κωδικών 2FA, η οποία ξεκίνησε τον Μάρτιο του ίδιου έτους.

Τον Δεκέμβριο του 2022, η CrowdStrike παρουσίασε τον παράγοντα απειλών ως μια ομάδα με οικονομικά κίνητρα που στοχεύει τις τηλεπικοινωνίες, χρησιμοποιώντας υψηλού επιπέδου τακτικές κοινωνικής μηχανικής, αντιστροφή άμυνας και ένα πλούσιο σύνολο εργαλείων λογισμικού.

Τον Ιανουάριο του

2023

, το Crowdstrike ανακάλυψε ότι το Scattered Spider χρησιμοποιούσε μεθόδους BYOVD (Bring Your Own Vulnerable Driver) για να αποφύγει τον εντοπισμό από προϊόντα ασφαλείας EDR (endpoint εντοπισμός και απόκριση).

Πιο πρόσφατα, τον Σεπτέμβριο του τρέχοντος έτους, σε δύο επιθέσεις υψηλού προφίλ κατά των MGM Casino και Caesars Entertainment, αποδόθηκαν στο Scattered Spider, όπου οι ηθοποιοί της απειλής χρησιμοποίησαν το ντουλάπι BlackCat/ALPHV για να κρυπτογραφήσουν συστήματα.

Η προηγούμενη δραστηριότητα από τον παράγοντα απειλών περιλαμβάνει επιθέσεις στα MailChimp, Twilio, DoorDash και Riot Games.

Μια έκθεση Οκτωβρίου από τη Microsoft, η οποία τους αποκαλεί Octo Tempest, λέει ότι είναι μια από τις πιο επικίνδυνες οικονομικές εγκληματικές ομάδες και είναι γνωστό ότι καταφεύγουν σε βίαιες απειλές για να επιτύχουν τους στόχους τους.

Τα ευρήματα των ερευνητών σχετικά με την ποικιλία των μεθόδων επίθεσης της ομάδας δείχνουν ότι τα μέλη της διαθέτουν γνώσεις που εκτείνονται σε διαφορετικούς τομείς του εγκλήματος στον κυβερνοχώρο, από την κοινωνική μηχανική και το hacking, έως την ανταλλαγή SIM, το ηλεκτρονικό ψάρεμα και την παράκαμψη προστασίας σύνδεσης.

Τακτικές Scattered Spider

Η ειδοποίηση του FBI και της CISA υπογραμμίζει τις ισχυρές τακτικές αρχικής πρόσβασης του Scattered Spider που περιλαμβάνουν τη στόχευση των υπαλλήλων μιας εταιρείας, παριστάνοντας τους ως προσωπικό πληροφορικής ή γραφείου υποστήριξης και εξαπατώντας τους να παρέχουν διαπιστευτήρια ή ακόμα και άμεση πρόσβαση στο δίκτυο.

Οι μεμονωμένες τακτικές περιλαμβάνουν τηλεφωνικές κλήσεις, phishing SMS, ηλεκτρονικό ψάρεμα, επιθέσεις κόπωσης MFA και εναλλαγή SIM. Οι τομείς που χρησιμοποιούνται για ηλεκτρονικό ψάρεμα ηλεκτρονικού ταχυδρομείου και SMS καταχρώνται τις επωνυμίες Okta και Zoho ServiceDesk σε συνδυασμό με το όνομα του στόχου για να φαίνονται νόμιμοι.

Αφού εδραιώσει το έδαφος στο δίκτυο, το Scattered Spider χρησιμοποιεί μια σειρά από δημόσια διαθέσιμα εργαλεία λογισμικού για αναγνώριση και πλευρική κίνηση, όπως:

• 
  Fleetdeck.io
  
  : Απομακρυσμένη παρακολούθηση και διαχείριση συστήματος
• 
  Level.io
  
  : Απομακρυσμένη παρακολούθηση και διαχείριση συστήματος
• 
  Μιμικάτζ
  
  : Εξαγωγή διαπιστευτηρίων
• 
  Νγκροκ
  
  :
  
  Απομακρυσμένη πρόσβαση
  
  σε διακομιστή ιστού μέσω σήραγγας Διαδικτύου
• 
  Pulseway
  
  : Απομακρυσμένη παρακολούθηση και διαχείριση συστήματος
• 
  Σύνδεση οθόνης
  
  : Διαχείριση απομακρυσμένης σύνδεσης συσκευής δικτύου
• 
  Splashtop
  
  : Διαχείριση απομακρυσμένης σύνδεσης συσκευής δικτύου
• 
  Τακτική.RMM
  
  : Απομακρυσμένη παρακολούθηση και διαχείριση συστήματος
• 
  Κλίμακα ουράς
  
  : VPN για ασφαλείς επικοινωνίες δικτύου
• 
  Teamviewer
  
  : Διαχείριση απομακρυσμένης σύνδεσης συσκευής δικτύου

Εκτός από τα παραπάνω νόμιμα εργαλεία που χρησιμοποιούνται για κακόβουλους σκοπούς, το Scattered Spider πραγματοποιεί επίσης επιθέσεις phishing για να εγκαταστήσει κακόβουλο λογισμικό όπως το WarZone RAT, το Raccoon Stealer και το Vidar Stealer, για να κλέψει διαπιστευτήρια σύνδεσης, cookies και άλλα δεδομένα χρήσιμα στην επίθεση από παραβιασμένα συστήματα.

Μια νέα τακτική που παρατηρήθηκε στις πρόσφατες επιθέσεις της ομάδας απειλών είναι η εξαγωγή δεδομένων και η κρυπτογράφηση αρχείων χρησιμοποιώντας το ransomware ALPHV/BlackCat, ακολουθούμενη από

επικοινωνία

με τα θύματα μέσω μιας εφαρμογής ανταλλαγής μηνυμάτων, email ή άλλων ασφαλών εργαλείων για τη διαπραγμάτευση πληρωμής λύτρων.

Οι ηθοποιοί του Scattered Spider που συνδέονται με την BlackCat είναι επίσης γνωστό ότι χρησιμοποιούν τον ιστότοπο διαρροής δεδομένων της συμμορίας ransomware ως μέρος των προσπαθειών τους εκβιασμού, όπου διαρρέουν δεδομένα ή εκδίδουν δηλώσεις σχετικά με την επίθεση, όπως συνέβη με την επίθεσή τους στο Reddit.

Το Scattered Spider δείχνει ιδιαίτερο ενδιαφέρον για πολύτιμα περιουσιακά στοιχεία όπως αποθετήρια πηγαίου κώδικα, πιστοποιητικά υπογραφής κώδικα και αποθήκευση διαπιστευτηρίων.

Επίσης, οι εισβολείς παρακολουθούν στενά τα κανάλια Slack, τις Ομάδες της Microsoft και τα email του Microsoft Exchange του θύματος για μηνύματα που περιέχουν οποιαδήποτε ένδειξη ότι οι δραστηριότητές τους έχουν ανακαλυφθεί.

Το πρακτορείο προσθέτει ότι οι κυβερνοεγκληματίες το πετυχαίνουν «δημιουργώντας νέες ταυτότητες στο περιβάλλον» που συχνά έχουν ψεύτικα προφίλ στα μέσα κοινωνικής δικτύωσης για μια ψευδή αίσθηση νομιμότητας.

Προτεινόμενα μέτρα μετριασμού

Το FBI και η CISA συνιστούν την εφαρμογή συγκεκριμένων μέτρων μετριασμού για την προστασία από απειλές που επιβάλλονται από το Scattered Spider.

Οι βασικές συστάσεις στη συμβουλευτική προτείνουν:

1. Χρησιμοποιήστε τα στοιχεία ελέγχου εφαρμογών με το “allowlisting” για να διαχειριστείτε την εκτέλεση λογισμικού.
2. Παρακολουθήστε τα εργαλεία απομακρυσμένης πρόσβασης και εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) ανθεκτικό στο phishing.
3. Ασφαλίστε και περιορίστε τη χρήση του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP) με βέλτιστες πρακτικές και MFA.
4. Διατηρήστε αντίγραφα ασφαλείας εκτός σύνδεσης και τηρήστε ένα ισχυρό σχέδιο ανάκτησης δεδομένων.
5. Ακολουθήστε τα πρότυπα NIST για ισχυρούς κωδικούς πρόσβασης που αλλάζουν λιγότερο συχνά.
6. Διατηρείτε τα συστήματα και το λογισμικό ενημερωμένα τακτικά, εστιάζοντας στην επιδιόρθωση των τρωτών σημείων.
7. Εφαρμόστε τμηματοποίηση δικτύου για να ελέγξετε την κυκλοφορία και να αποτρέψετε την εξάπλωση ransomware.
8. Χρησιμοποιήστε εργαλεία παρακολούθησης δικτύου και ανίχνευσης και απόκρισης τελικού σημείου (EDR) για τον εντοπισμό μη φυσιολογικών δραστηριοτήτων.
9. Βελτιώστε την ασφάλεια του email απενεργοποιώντας επικίνδυνους συνδέσμους και κρυπτογραφώντας τα δεδομένα αντιγράφων ασφαλείας.