Hajallaan olevat Spider Casinon hakkerit välttelevät pidätystä näkemättä

Uhkatietojen analyytikot, välikohtausvastaavat ja liittovaltion lainvalvontaviranomaiset näyttävät kaikki tietävän kaiken uhkaryhmästä, jolla on useita nimimerkkejä - The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud ja Octo Tempest. Joten miksi ryhmä (joka oli MGM Resortsin ja Caesars Entertainmentin hakkeroinnin takana) hyökkää edelleen menestyksekkäästi yhdysvaltalaisia ​​organisaatioita vastaan ​​rankaisematta, ilman häiriöitä tähän mennessä?

Tällä viikolla raportit vahvistivat, että liittovaltion lainvalvontaviranomaiset ovat hyvin tietoisia englannin äidinkielenään puhuvan kyberrikollisryhmän henkilöllisyydestä, mutta eivät ole kyenneet tekemään yhtään pidätystä. Itse asiassa lähteet vahvistivat Reutersille, että lainvalvontaviranomaiset ovat tienneet heidän henkilöllisyytensä Hajallaan hämähäkki hakkerointikollektiivi yli kuuden kuukauden ajan.

Kyberturvallisuusuhkien metsästäjät, kuten CrowdStriken presidentti Michael Sentonas, osuivat selvästi hämmentyneeseen sävyyn ja huomauttivat, että se tosiasia, että kiristysohjelmaryhmä on edelleen toiminnassa ja aiheuttaa "tuhoa", on "lainvalvontatoimien epäonnistuminen".

FBI:n neuvonta hajahämähäkistä

Feds tarjosi jotain vastausta: 16. marraskuuta FBI ja CISA julkaisivat tiedon neuvonta Scattered Spideristä, joka tarjoaa indikaattoreita kompromisseista (IoC) ja lisätietoja varustaakseen yritysten tietoturvatiimejä verkkojensa puolustamiseksi.

"FBI ja CISA suosittelevat, että organisaatiot ottavat käyttöön alla olevat lievennykset parantaakseen organisaatiosi kyberturvallisuusasentoa uhkatoimijan toiminnan perusteella ja vähentääkseen Scattered Spider -uhkatoimijoiden kompromissiriskiä", neuvolassa sanotaan. Se sisälsi luettelon suosituksista, mukaan lukien sovellusten ohjaukset, etäkäyttötyökalujen tarkastukset ja FIDO/WebAuthn-todennuksen tai julkisen avaimen infrastruktuuriin (PKI) perustuvan monitekijätodennuksen (MFA) käyttöönoton.

Vaikka ryhmän tietoverkkorikoksista on niin paljon tietoa, se on hyödyllistä, mutta se ei anna vastausta siihen, miksi kiristyshaittaohjelmaryhmän jäseniä ei ole yksinkertaisesti pidätetty tai ainakin heidän toimintansa häiriintynyt, jotkut huomauttavat.

Hakkerit alkavat olla aggressiivisempia väkivallalla uhkaamisen myötä

Kuten useimmat asiat, jotka sijaitsevat yritysten Amerikan ja lainvalvontaviranomaisten risteyksessä, monet yksityiskohdat pysyvät salassa. Kuitenkin vaikutukset ryhmän käynnissä rehottaa läpi julkisten yritysverkostojen kuten MGM Resorts ovat hyvin tunnettuja.

"UNC3944 on yksi yleisimmistä ja aggressiivisimmista uhkatekijöistä, jotka vaikuttavat organisaatioihin Yhdysvalloissa nykyään", sanoo Charles Carmakal, Google Cloudin Mandiant Consulting -teknologiajohtaja. "Ne ovat uskomattoman häiritseviä."

Ja ryhmä näyttää tekevän kyberrikoksia rankaisematta koko ajan, jopa uhaten fyysisellä väkivallalla. Microsoftin tutkijat selittivät analyysissään ryhmästä, jota he kutsuvat Lokakuun myrsky, että se käyttää pelkoa henkilökohtaisen turvallisuuden vuoksi painostaakseen uhreja maksamaan.

"Harvinaisissa tapauksissa Octo Tempest turvautuu pelkoa lietsoviin taktiikoihin, kohdistaen tiettyihin henkilöihin puheluiden ja tekstiviestien avulla", Microsoftin välikohtausvastaus- ja uhkatiedustelutiimit sanoivat raportissaan. "Nämä toimijat käyttävät henkilökohtaisia ​​tietoja, kuten kotiosoitteita ja sukunimiä, sekä fyysisiä uhkauksia pakottaakseen uhrit jakamaan valtuustietoja yrityksen pääsyä varten."

Tietovuoret hajaantuneesta hämähäkistä

Analyytikkojen ryhmästä julkaisemien yksityiskohtien valtava määrä on huimaa. Scattered Spider ilmoitettiin ensimmäisen kerran vuonna 2022, jolloin se hyödynsi Oktapusin tietojenkalastelupakettia valtuustietojen varastamiseen. Ryhmä onnistui osallistui SIM-vaihtoihin mutta näyttää saavuttaneen harppauksensa vuoden 2023 puolivälissä, kun siitä tuli ransomware-as-a-palveluntarjoajan tytäryhtiö Musta kissa, eli Alphv.

Ryhmän jäsenet lisäsivät jatkuvasti taitojaan ja lisäsivät lopulta uuden näppärän sosiaalisen suunnittelun näkökulman: he soittivat tukipisteisiin nollatakseen valtuustiedot ja ottavan haltuunsa vahvistettuja tilejä alustavana jalansijana kohdeympäristöihin. Scattered Spiderin miehistö käytti sitä lopulta vaarantaa MGM Resortsin ja heiluttelevat Las Vegas Stripin toimintaa yli viikon ajan, aiheuttaen satojen miljoonien dollarien tappioita pelkästään MGM Resortsille. Ryhmä rikkoi samanaikaisesti Caesareita ja neuvotteli nopeasti 15 miljoonan dollarin lunnaat.

Mandiant's Carmakal sanoo, että ryhmän pitäisi nähdä enemmän valvontaa näiden kahden tapauksen jälkeen: "He ovat viime aikoina saaneet paljon huomiota, koska he ovat viime aikoina kohdistaneet vieraanvaraisuus- ja viihdeorganisaatioihin."

Lainvalvontaviranomaiset taistelevat tietoverkkorikollisuuden kanssa

Liittovaltion viranomaiset eivät jaa mitään yksityiskohtia Scattered Spiderin tutkinnasta, mutta kyberturvallisuusalan sisäpiiriläiset epäilevät, että perinteisten lainvalvontaviranomaisten, kuten FBI:n, on vaikea sopeutua kyberrikollisten jahtaamiseen.

"Lainvalvontaviranomaiset ovat tottuneet enemmän työryhmiin, joissa on enemmän rakennetta ja organisaatiota, ja he kamppailevat kaoottisempien ja löyhämpien uhkatoimijoiden paluun kanssa", Bugcrowdin perustaja Casey Ellis sanoo.

Itse asiassa FBI:n kyvyttömyys häiritä hakkerointiryhmiä, kuten Scattered Spider, saattaa olla ongelma vielä jonkin aikaa, Critical Startin ylimmän johtajan Callie Guentherin mukaan.

"FBI:n taistelu tämän ryhmän hillitsemiseksi korostaa myös lainvalvontaviranomaisten digitaaliaikakauden laajempia haasteita", Guenther sanoo. ""Scattered Spider" -tapaus on osoitus kyberuhkien uudesta aikakaudesta, jossa rikollisryhmät käyttävät aggressiivisia taktiikoita, mukaan lukien fyysisen väkivallan uhkailu. Tämä rikollisten strategioiden kärjistyminen vaatii yhtä vankkaa ja innovatiivista vastausta lainvalvonta- ja kyberturvallisuusasiantuntijoilta."

Toistaiseksi näyttää siltä, ​​​​että yksittäisten yritystiimien tehtävänä on estää Scattered Spider -verkkojen hobaaminen. Sillä välin kyberturvallisuusyhteisö jatkaa tietojen keräämistä heidän hyväksikäytöstään ja odottaa pidätyksiä.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/threat-intelligence/scattered-spider-casino-hackers-evade-arrest-plain-sight