Spider Casino häkkerid väldivad vahistamist silmapiiril

Näib, et nii ohuluure analüütikud, intsidentidele reageerijad kui ka föderaalõiguskaitseorganid teavad kõike mitmesuguste nimedega ohurühmast – muu hulgas The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud ja Octo Tempest. Miks siis rühmitus (mis oli MGM Resortsi ja Caesars Entertainmenti häkkimise taga) ründab endiselt edukalt USA organisatsioone karistamatult, ilma häireteta?

Sel nädalal kinnitasid teated, et föderaalõiguskaitseorganid teavad hästi inglise keelt emakeelena kõneleva küberkuritegude rühmituse identiteeti, kuid pole suutnud vahistada. Tegelikult kinnitasid allikad Reutersile, et õiguskaitseorganitele on nende isikud teada Hajutatud ämblik häkkimiskollektiivi rohkem kui kuus kuud.

Küberjulgeolekuohtude jahtijad, nagu CrowdStrike'i president Michael Sentonas, tabasid otsustavalt hämmeldunud tooni, märkides, et tõsiasi, et lunavararühm on endiselt töökorras ja põhjustab "laastamist", on "õiguskaitse ebaõnnestumine".

FBI nõuanne hajutatud ämbliku kohta

Föderatsioonid pakkusid mõningast vastust: 16. novembril avaldasid FBI ja CISA an nõuanded hajutatud ämbliku kohta, pakkudes kompromissi indikaatoreid (IoC) ja täiendavaid üksikasju, et varustada ettevõtte turvameeskondi oma võrkude kaitsmise üksikasjadega.

"FBI ja CISA soovitavad organisatsioonidel rakendada alltoodud leevendusi, et parandada teie organisatsiooni küberjulgeoleku hoiakut ohus osaleja tegevuse põhjal ja vähendada hajutatud ämbliku ohus osalejate kompromissi ohtu," seisis nõuandes. See sisaldas soovituste loendit, sealhulgas rakenduste juhtelemente, kaugjuurdepääsu tööriista auditeerimist ja FIDO/WebAuthni autentimise või avaliku võtme infrastruktuuri (PKI) põhise mitmefaktorilise autentimise (MFA) rakendamist.

Kuigi grupi küberkuritegude kohta on nii palju teavet, see on kasulik, kuid see ei anna vastust, miks lunavararühma liikmeid pole lihtsalt vahistatud või vähemalt nende tegevust häiritud, märgivad mõned.

Häkkerid muutuvad vägivallaähvarduste tõttu agressiivsemaks

Nagu enamik asju, mis asuvad korporatiivse Ameerika ja õiguskaitse ristumiskohas, jäävad paljud üksikasjad saladuseks. Kuid mõju kontsern töötab ohjeldamatu kaudu avalike ettevõtete võrgustikud nagu MGM Resorts on hästi tuntud.

"UNC3944 on üks levinumaid ja agressiivsemaid ohutegureid, mis praegu Ameerika Ühendriikide organisatsioone mõjutab," ütleb Charles Carmakal, Google Cloudi Mandiant Consulting CTO. "Need on uskumatult häirivad."

Ja näib, et rühmitus paneb kogu aeg karistamatult toime küberkuritegusid, ulatudes isegi füüsilise vägivallaga ähvardamiseni. Microsofti teadlased selgitasid oma analüüsis rühma, mida nad nimetavad Oktoobri torm, et see kasutab hirmu isikliku turvalisuse pärast, et survestada ohvreid maksma.

"Harvadel juhtudel kasutab Octo Tempest hirmu õhutamise taktikat, sihites konkreetseid isikuid telefonikõnede ja sõnumite kaudu," ütles Microsofti intsidentidele reageerimise ja ohuluure meeskonnad. "Need osalejad kasutavad isiklikku teavet, nagu kodused aadressid ja perekonnanimed, koos füüsiliste ähvardustega, et sundida ohvreid jagama ettevõtte juurdepääsuks mandaate."

Andmete mäed hajutatud ämbliku kohta

Analüütikute avaldatud üksikasjade hulk grupi kohta on peadpööritav. Scattered Spider märgiti esmakordselt 2022. aastal, kui see kasutas mandaatide varastamiseks Oktapuse andmepüügikomplekti. Rühm õnnestus SIM vahetustega kuid näib olevat saavutanud edu 2023. aasta keskel, kui sellest sai lunavara kui teenusepakkuja sidusettevõte Must kass, ehk Alphv.

Pidevalt oma oskusi arendades lisasid grupi liikmed lõpuks nutika uue sotsiaalse inseneri nurga: helistasid kasutajatoed, et lähtestada mandaadid ja võtta üle kontrollitud kontod kui sihtkeskkondade esmane tugipunkt. Just sellise mänguga Scattered Spider meeskond lõpuks harjus kompromiteerida MGM Resortsi ja kõigutas Las Vegas Stripi tegevust rohkem kui nädal, tekitades ainuüksi MGM Resortsile sadu miljoneid dollareid kahju. Rühm samaaegselt rikkunud Caesareid ja pidas kiiresti läbirääkimisi 15 miljoni dollari suuruse lunaraha maksmise üle.

Mandiant's Carmakal ütleb, et rühm peaks pärast neid kahte juhtumit rohkem kontrollima: "Nad on hiljuti pälvinud palju tähelepanu, kuna nad on hiljuti võtnud sihikule külalislahkus- ja meelelahutusorganisatsioonid."

Õiguskaitse võitleb küberkuritegevusega

Föderaalvõimud ei jaga hajutatud ämbliku uurimise üksikasju, kuid küberjulgeolekutööstuse insaiderid kahtlustavad, et traditsioonilistel õiguskaitseorganitel, nagu FBI, on raske kohaneda küberkurjategijate tagaajamisega.

"Õiguskaitseorganid on rohkem harjunud töörühmadega, millel on suurem struktuur ja korraldus, ning neil on raskusi kaootilisemate ja lõdvalt seotud ohustajate tagasitulekuga," ütleb Bugcrowdi asutaja Casey Ellis.

Critical Starti vanemjuhi Callie Guentheri sõnul võib FBI suutmatus häirida häkkimisrühmitusi, nagu Scattered Spider, olla veel mõnda aega probleemiks.

"FBI võitlus selle rühma ohjeldamiseks toob esile ka laiemad väljakutsed, millega õiguskaitse digitaalajastul silmitsi seisab," ütleb Guenther. „Hajutatud ämbliku juhtum viitab uuele küberohtude ajastule, kus kuritegelikud rühmitused kasutavad agressiivset taktikat, sealhulgas füüsilise vägivallaga ähvardamist. See kuritegevuse strateegiate eskaleerumine nõuab õiguskaitse- ja küberjulgeolekuekspertidelt sama jõulist ja uuenduslikku vastust.

Praegu näib, et üksikute ettevõttemeeskondade ülesanne on takistada Scattered Spideril oma võrke nihutamast. Seni jätkab küberjulgeoleku kogukond oma ärakasutamise üksikasjade kogumist ja vahistamise ootamist.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/threat-intelligence/scattered-spider-casino-hackers-evade-arrest-plain-sight