Το FBI προειδοποιεί για τις τακτικές της διαβόητης ομάδας χάκερ Scattered Spider – Πώς να προστατευτείτε

Το Ομοσπονδιακό Γραφείο Ερευνών και η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής εξέδωσαν μια συμβουλή σχετικά με την διαβόητη ομάδας χάκερ Scattered Spider, μια χαλαρά συνδεδεμένη ομάδα hacking που τώρα συνεργάζεται με τη ρωσική επιχείρηση ransomware ALPHV/BlackCat.

Το Scattered Spider, γνωστό και ως  0ktapus, Starfraud, UNC3944 , Scatter Swine , Octo Tempest και Muddled Libra, είναι έμπειρο στην κοινωνική μηχανική και βασίζεται σε βομβαρδισμό ηλεκτρονικού ψαρέματος (phishing), ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) για να αποκτήσουν αρχική πρόσβαση σε μεγάλους οργανισμούς.

Η ομάδα περιλαμβάνει νεαρά αγγλόφωνα μέλη (ηλικίας έως και 16 ετών) με διαφορετικά σύνολα δεξιοτήτων που συχνάζουν στα ίδια φόρουμ χάκερ και στα ίδια κανάλια Telegram.

Ορισμένα από τα μέλη πιστεύεται ότι είναι επίσης μέρος του “Comm” – μιας χαλαρής κοινότητας που εμπλέκεται σε βίαιες πράξεις και περιστατικά στον κυβερνοχώρο που έχει κερδίσει την προσοχή των μέσων μαζικής ενημέρωσης τον τελευταίο καιρό .

Σε αντίθεση με τη γενική πεποίθηση ότι πρόκειται για μια συνεκτική συμμορία, είναι ένα δίκτυο ατόμων, με διαφορετικούς παράγοντες απειλής που συμμετέχουν σε κάθε επίθεση. Αυτή η ρευστή δομή είναι που δυσκολεύει την παρακολούθηση τους.

Ωστόσο, σύμφωνα με δημοσιογράφους του Reuters, το FBI γνωρίζει τις ταυτότητες τουλάχιστον 12 μελών της ομάδας, αλλά κανένας δεν έχει κατηγορηθεί ή συλληφθεί ακόμη.

Ιστορικό

Οι επιθέσεις του Scattered Spider τεκμηριώθηκαν από το περασμένο καλοκαίρι, όταν ερευνητές της εταιρείας κυβερνοασφάλειας Group-IB δημοσίευσαν μια έκθεση σχετικά με ένα μπαράζ επιθέσεων με στόχο την κλοπή διαπιστευτηρίων ταυτότητας Okta και κωδικών 2FA, η οποία είχε ξεκινήσει τον Μάρτιο του ίδιου έτους.

Τον Δεκέμβριο του 2022, η CrowdStrike παρουσίασε τον παράγοντα απειλών ως μια ομάδα με οικονομικά κίνητρα που στοχεύει τις τηλεπικοινωνίες, χρησιμοποιώντας υψηλού επιπέδου τακτικές κοινωνικής μηχανικής, αντιστροφή άμυνας και ένα πλούσιο σύνολο εργαλείων λογισμικού.

Τον Ιανουάριο του 2023, το Crowdstrike ανακάλυψε ότι το Scattered Spider χρησιμοποιούσε μεθόδους BYOVD (Bring Your Own Vulnerable Driver) για να αποφύγει τον εντοπισμό από προϊόντα ασφαλείας EDR (endpoint εντοπισμός και απόκριση).

Πιο πρόσφατα, τον Σεπτέμβριο του τρέχοντος έτους, σε δύο επιθέσεις υψηλού προφίλ κατά των MGM Casino και Caesars Entertainment, που αποδόθηκαν στο Scattered Spider, χρησιμοποίησαν το ντουλάπι BlackCat/ALPHV για να κρυπτογραφήσουν συστήματα.

Η προηγούμενη δραστηριότητα από τον παράγοντα απειλών περιλαμβάνει επιθέσεις στα MailChimp , Twilio , DoorDash και Riot Games. Μια αναφορά Οκτωβρίου από τη Microsoft, η οποία τους αποκαλεί Octo Tempest, λέει ότι είναι μια από τις πιο επικίνδυνες οικονομικές εγκληματικές ομάδες και είναι γνωστό ότι καταφεύγουν σε βίαιες απειλές για να επιτύχουν τους στόχους τους.

Πηγή: Microsoft

Τα ευρήματα των ερευνητών σχετικά με την ποικιλία των μεθόδων επίθεσης της ομάδας δείχνουν ότι τα μέλη της διαθέτουν γνώσεις που εκτείνονται σε διαφορετικούς τομείς του εγκλήματος στον κυβερνοχώρο, από την κοινωνική μηχανική και το hacking, έως την ανταλλαγή SIM, το ηλεκτρονικό ψάρεμα και την παράκαμψη προστασίας σύνδεσης.

Τακτικές του Scattered Spider

Η ειδοποίηση του FBI υπογραμμίζει τις ισχυρές τακτικές αρχικής πρόσβασης του Scattered Spider που περιλαμβάνουν τη στόχευση των υπαλλήλων μιας εταιρείας, παριστάνοντας το προσωπικό πληροφορικής ή γραφείου υποστήριξης και εξαπατώντας τους να παρέχουν διαπιστευτήρια ή ακόμα και άμεση πρόσβαση στο δίκτυο.

Οι μεμονωμένες τακτικές περιλαμβάνουν τηλεφωνικές κλήσεις, phishing SMS, ηλεκτρονικό ψάρεμα, επιθέσεις κόπωσης MFA και εναλλαγή SIM. Οι τομείς που χρησιμοποιούνται για ηλεκτρονικό ψάρεμα ηλεκτρονικού ταχυδρομείου και SMS καταχρώνται τις επωνυμίες Okta και Zoho ServiceDesk σε συνδυασμό με το όνομα του στόχου για να φαίνονται νόμιμοι.

Αφού εδραιώσει το έδαφος στο δίκτυο, το Scattered Spider χρησιμοποιεί μια σειρά από δημόσια διαθέσιμα εργαλεία λογισμικού για αναγνώριση και πλευρική κίνηση, όπως:

• Fleetdeck.io : Απομακρυσμένη παρακολούθηση και διαχείριση συστήματος
• Level.io : Απομακρυσμένη παρακολούθηση και διαχείριση συστήματος
• Mimikatz : Εξαγωγή διαπιστευτηρίων
• Ngrok : Απομακρυσμένη πρόσβαση σε διακομιστή ιστού μέσω σήραγγας διαδικτύου
• Pulseway : Απομακρυσμένη παρακολούθηση και διαχείριση συστήματος
• Screenconnect : Διαχείριση απομακρυσμένης σύνδεσης συσκευής δικτύου
• Splashtop : Διαχείριση απομακρυσμένης σύνδεσης συσκευής δικτύου
• Tactical.RMM : Απομακρυσμένη παρακολούθηση και διαχείριση συστήματος
• Tailscale : VPN για ασφαλείς επικοινωνίες δικτύου
• Teamviewer : Διαχείριση απομακρυσμένης σύνδεσης συσκευής δικτύου

Εκτός από τα παραπάνω νόμιμα εργαλεία που χρησιμοποιούνται για κακόβουλους σκοπούς, το Scattered Spider πραγματοποιεί επίσης επιθέσεις phishing για να εγκαταστήσει κακόβουλο λογισμικό όπως το WarZone RAT, το Raccoon Stealer και το Vidar Stealer, για να κλέψει διαπιστευτήρια σύνδεσης, cookies και άλλα δεδομένα χρήσιμα στην επίθεση από παραβιασμένα συστήματα.

Μια νέα τακτική που παρατηρήθηκε στις πρόσφατες επιθέσεις της ομάδας απειλών είναι η εξαγωγή δεδομένων και η κρυπτογράφηση αρχείων χρησιμοποιώντας το ransomware ALPHV/BlackCat, ακολουθούμενη από επικοινωνία με τα θύματα μέσω μιας εφαρμογής ανταλλαγής μηνυμάτων, email ή άλλων ασφαλών εργαλείων για τη διαπραγμάτευση πληρωμής λύτρων.

Τα μέλη του Scattered Spider που συνδέονται με την BlackCat είναι επίσης γνωστό ότι χρησιμοποιούν τον ιστότοπο διαρροής δεδομένων της συμμορίας ransomware ως μέρος των προσπαθειών τους εκβιασμού, όπου διαρρέουν δεδομένα ή εκδίδουν δηλώσεις, όπως συνέβη με την επίθεσή τους στο Reddit .

Πώς να προστατευτείτε

• Χρησιμοποιήστε τα στοιχεία ελέγχου εφαρμογών με το “allowlisting” για να διαχειριστείτε την εκτέλεση λογισμικού.
• Παρακολουθήστε τα εργαλεία απομακρυσμένης πρόσβασης και εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) ανθεκτικό στο phishing.
• Ασφαλίστε και περιορίστε τη χρήση του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP) με βέλτιστες πρακτικές και MFA.
• Διατηρήστε αντίγραφα ασφαλείας εκτός σύνδεσης και τηρήστε ένα ισχυρό σχέδιο ανάκτησης δεδομένων.
• Ακολουθήστε τα πρότυπα NIST για ισχυρούς κωδικούς πρόσβασης που αλλάζουν λιγότερο συχνά.
• Διατηρείτε τα συστήματα και το λογισμικό ενημερωμένα τακτικά, εστιάζοντας στην επιδιόρθωση των τρωτών σημείων.
• Εφαρμόστε τμηματοποίηση δικτύου για να ελέγξετε την κυκλοφορία και να αποτρέψετε την εξάπλωση ransomware.
• Χρησιμοποιήστε εργαλεία παρακολούθησης δικτύου και ανίχνευσης και απόκρισης τελικού σημείου (EDR) για τον εντοπισμό μη φυσιολογικών δραστηριοτήτων.
• Βελτιώστε την ασφάλεια του email απενεργοποιώντας επικίνδυνους συνδέσμους και κρυπτογραφώντας τα δεδομένα αντιγράφων ασφαλείας.
• Τέλος, συνιστάται στους οργανισμούς να δοκιμάζουν και να επικυρώνουν τους ελέγχους ασφαλείας τους έναντι των τεχνικών MITER ATT&CK

Πηγή: FOXreport.gr