Scattered Spider Casino Hackere unddrager sig anholdelse i almindeligt syn

Både trusselsefterretningsanalytikere, hændelsesbesvarere og føderale retshåndhævere ser alle ud til at vide alt om trusselsgruppen med en række monikere - blandt andre The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud og Octo Tempest. Så hvorfor angriber gruppen (som stod bag MGM Resorts og Caesars Entertainment hacks) stadig med succes amerikanske organisationer ustraffet uden nogen forstyrrelser til dato?

I denne uge bekræftede rapporter, at den føderale retshåndhævelse er udmærket klar over identiteten af ​​cyberkriminalitetsgruppen, som består af engelsktalende som modersmål, men alligevel ikke har været i stand til at foretage nogen anholdelser. Faktisk bekræftede kilder over for Reuters, at retshåndhævelsen har kendt identiteten på Spredt Edderkop hacking-kollektiv i mere end seks måneder.

Cybersikkerhedstrusseljægere som CrowdStrikes præsident Michael Sentonas slog en decideret forvirret tone an og bemærkede, at det faktum, at ransomware-gruppen stadig er i drift og forårsager "ravage" er en "fejl i "lovhåndhævelse".

FBI Advisory on Scattered Spider

FBI tilbød nogle svar: Den 16. november frigav FBI og CISA en rådgivning om spredt edderkop, der giver indikatorer for kompromis (IoC'er) og yderligere detaljer for at bevæbne virksomhedssikkerhedsteams med detaljer for at forsvare deres netværk.

"FBI og CISA anbefaler, at organisationer implementerer nedenstående begrænsninger for at forbedre din organisations cybersikkerhedsposition baseret på trusselsaktørens aktivitet og for at reducere risikoen for kompromittering fra Scattered Spider-trusselsaktører," sagde rådgiveren. Den inkluderede en liste over anbefalinger, herunder applikationskontrol, revision af fjernadgangsværktøjer og implementering af FIDO/WebAuthn-godkendelse eller offentlig nøgleinfrastruktur (PKI)-baseret multifaktorautentificering (MFA).

Selvom det er nyttigt, hvis der er så meget information om gruppens cyberkriminalitet, svarer det ikke på, hvorfor medlemmer af ransomware-gruppen ikke blot er blevet arresteret, eller i det mindste, deres drift afbrudt, bemærker nogle.

Hackere bliver mere aggressive med trusler om vold

Som de fleste ting, der sidder i skæringspunktet mellem virksomhedernes Amerika og retshåndhævelse, forbliver mange af detaljerne beskyttet i hemmelighed. Men virkningerne af, at gruppen løber løbsk gennem offentlige virksomhedsnetværk som MGM Resorts er velkendte.

"UNC3944 er en af ​​de mest udbredte og aggressive trusselsaktører, der påvirker organisationer i USA i dag," siger Charles Carmakal, Mandiant Consulting CTO hos Google Cloud. "De er utroligt forstyrrende."

Og gruppen ser ud til at begå cyberkriminalitet ustraffet hele tiden, endda forgrenet sig til trusler om fysisk vold. Microsoft-forskere forklarede i deres analyse af gruppen, som de kalder Octo Tempest, at den bruger frygt for personlig sikkerhed til at presse ofrene til at betale.

"I sjældne tilfælde tyr Octo Tempest til frygtfremkaldende taktikker og målretter mod specifikke personer gennem telefonopkald og sms'er," sagde Microsofts Incident Response og Threat Intelligence-team i deres rapport. "Disse aktører bruger personlige oplysninger, såsom hjemmeadresser og familienavne, sammen med fysiske trusler for at tvinge ofre til at dele legitimationsoplysninger for virksomhedens adgang."

Bjerge af data om spredt edderkop

Alene mængden af ​​detaljer offentliggjort af analytikere om gruppen er svimlende. Scattered Spider blev første gang markeret tilbage i 2022, da det ville udnytte Oktapus phishing-sættet til at stjæle legitimationsoplysninger. Gruppen med succes samlet i SIM-swaps men ser ud til at have nået sit fremskridt i midten af ​​2023, da det blev en affiliate af ransomware-as-a-service provider Sort kat, aka Alphv.

I takt med at de øgede deres færdigheder, tilføjede gruppens medlemmer til sidst en smart ny social ingeniørvinkel: at ringe til helpdeske for at nulstille legitimationsoplysninger og overtage verificerede konti som et indledende fodfæste i målmiljøer. Det er den gambit, Scattered Spider-besætningen i sidste ende plejede kompromittere MGM Resorts og hæmme Las Vegas Strip-operationer i mere end en uge, og løbe op med tab i hundredvis af millioner af dollars alene for MGM Resorts. Gruppen samtidig brudt Cæsars og fik hurtigt forhandlet en løsesum på 15 millioner dollars.

Mandiant's Carmakal siger, at gruppen burde se mere granskning i kølvandet på disse to hændelser: "De har for nylig vundet meget opmærksomhed på grund af deres seneste målretning mod gæstfriheds- og underholdningsorganisationer."

Retshåndhævelse kæmper med cyberkriminalitet

Føderale myndigheder deler ikke nogen detaljer om efterforskningen af ​​Scattered Spider, men cybersikkerhedsindustriens insidere har mistanke om, at traditionelle retshåndhævende enheder som FBI har svært ved at tilpasse sig jagten på cyberkriminelle.

"Lovhåndhævelsen er mere vant til arbejdsgrupper med mere struktur og organisation og kæmper med tilbagevenden af ​​mere kaotiske og løst koblede trusselsaktører," siger Bugcrowd-grundlægger Casey Ellis.

Faktisk kan FBI's manglende evne til at forstyrre hackergrupper som Scattered Spider være et problem i nogen tid fremover, ifølge Callie Guenther, senior manager hos Critical Start.

"FBI's kamp for at begrænse denne gruppe fremhæver også de bredere udfordringer, som retshåndhævelsen står over for i den digitale tidsalder," siger Guenther. "Sagen om 'Scattered Spider' er et tegn på en ny æra med cybertrusler, hvor kriminelle grupper anvender aggressive taktikker, herunder trusler om fysisk vold. Denne eskalering i kriminelle strategier kræver en lige så robust og innovativ reaktion fra retshåndhævelses- og cybersikkerhedseksperter."

For nu ser det ud til, at det er op til individuelle virksomhedsteams at forhindre Scattered Spider i at smutte over deres netværk. I mellemtiden vil cybersikkerhedssamfundet fortsætte med at indsamle detaljer om deres bedrifter og vente på anholdelser.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/threat-intelligence/scattered-spider-casino-hackers-evade-arrest-plain-sight