Les analystes du renseignement sur les menaces, les intervenants en cas d'incident et les forces de l'ordre fédérales semblent tous tout savoir sur le groupe de menace avec une gamme de surnoms : The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud et Octo Tempest, entre autres. Alors pourquoi le groupe (qui était à l’origine des piratages de MGM Resorts et Caesars Entertainment) réussit-il toujours à attaquer des organisations américaines en toute impunité, sans aucune perturbation à ce jour ?
Cette semaine, des rapports ont confirmé que les forces de l'ordre fédérales connaissent bien l'identité du groupe de cybercriminalité, composé d'anglophones natifs, mais n'ont néanmoins pu procéder à aucune arrestation. En fait, des sources ont confirmé à Reuters que les forces de l'ordre connaissaient l'identité des Araignée dispersée collectif de hacking depuis plus de six mois.
Les chasseurs de menaces de cybersécurité, comme le président de CrowdStrike, Michael Sentonas, ont adopté un ton résolument déconcerté, soulignant que le fait que le groupe de ransomwares soit toujours opérationnel et cause des « ravages » est un « échec des « forces de l'ordre ».
Avis du FBI sur les araignées dispersées
Le gouvernement fédéral a proposé une certaine réponse : le 16 novembre, le FBI et la CISA ont publié un avis sur l'araignée dispersée, fournissant des indicateurs de compromission (IoC) et des détails supplémentaires pour fournir aux équipes de sécurité de l'entreprise des détails pour défendre leurs réseaux.
"Le FBI et la CISA recommandent aux organisations de mettre en œuvre les mesures d'atténuation ci-dessous pour améliorer la posture de cybersécurité de votre organisation en fonction de l'activité des acteurs malveillants et pour réduire le risque de compromission par les acteurs malveillants de Scattered Spider", indique l'avis. Il comprenait une liste de recommandations, notamment le contrôle des applications, l'audit des outils d'accès à distance et la mise en œuvre de l'authentification FIDO/WebAuthn ou de l'authentification multifacteur (MFA) basée sur l'infrastructure à clé publique (PKI).
Bien qu'utiles, s'il existe tant d'informations sur les cybercrimes du groupe, cela ne permet pas de comprendre pourquoi les membres du groupe de ransomware n'ont pas simplement été arrêtés, ou à tout le moins, leurs opérations ont été perturbées, notent certains.
Les pirates informatiques deviennent plus agressifs avec les menaces de violence
Comme la plupart des choses qui se situent à l’intersection des entreprises américaines et des forces de l’ordre, de nombreux détails restent protégés dans le secret. Cependant, les effets du groupe qui s'étend à travers les réseaux d'entreprises publiques comme MGM Resorts sont bien connus.
« UNC3944 est aujourd'hui l'une des menaces les plus répandues et les plus agressives ayant un impact sur les organisations aux États-Unis », déclare Charles Carmakal, CTO de Mandiant Consulting chez Google Cloud. "Ils sont incroyablement perturbateurs."
Et le groupe semble commettre constamment des cybercrimes en toute impunité, allant même jusqu’à menacer de violence physique. Les chercheurs de Microsoft ont expliqué dans leur analyse du groupe, qu'ils appellent Octo Tempête, qu'il utilise la peur pour la sécurité personnelle pour faire pression sur les victimes afin qu'elles paient.
« Dans de rares cas, Octo Tempest recourt à des tactiques alarmistes, ciblant des individus spécifiques par le biais d'appels téléphoniques et de SMS », ont déclaré les équipes de réponse aux incidents et de renseignement sur les menaces de Microsoft dans leur rapport. « Ces acteurs utilisent des informations personnelles, telles que les adresses personnelles et les noms de famille, ainsi que des menaces physiques pour contraindre les victimes à partager leurs informations d'identification pour accéder à l'entreprise. »
Des montagnes de données sur Scattered Spider
Le volume de détails publiés par les analystes sur le groupe est vertigineux. Scattered Spider a été signalé pour la première fois en 2022, lorsqu'il exploitait le kit de phishing Oktapus pour voler des informations d'identification. Le groupe avec succès j'ai fait des échanges de cartes SIM mais semble avoir atteint son rythme de croisière à la mi-2023, lorsqu'il est devenu une filiale du fournisseur de ransomware-as-a-service. Chat noir, alias Alphv.
En développant progressivement leurs compétences, les membres du groupe ont finalement ajouté un nouvel angle d'ingénierie sociale astucieux : faire appel aux services d'assistance pour réinitialiser les informations d'identification et prendre en charge les comptes vérifiés comme premier point d'ancrage dans les environnements cibles. C'est le pari que l'équipage de Scattered Spider a finalement utilisé. compromis MGM Resorts et entraver les opérations du Strip de Las Vegas pendant plus d'une semaine, entraînant des pertes de plusieurs centaines de millions de dollars pour le seul MGM Resorts. Le groupe simultanément violé Césars et a rapidement négocié le paiement d’une rançon de 15 millions de dollars.
Carmakal de Mandiant estime que le groupe devrait faire l'objet d'un examen plus minutieux à la suite de ces deux incidents : « Ils ont récemment attiré beaucoup d'attention en raison de leur récent ciblage des organisations d'hôtellerie et de divertissement. »
Les forces de l’ordre aux prises avec la cybercriminalité
Les autorités fédérales ne partagent aucun détail de l'enquête sur Scattered Spider, mais les initiés du secteur de la cybersécurité soupçonnent les entités traditionnelles d'application de la loi comme le FBI d'avoir du mal à s'adapter à la poursuite des cybercriminels.
« Les forces de l'ordre sont plus habituées aux groupes de travail dotés de plus de structure et d'organisation, et ont du mal à faire face au retour d'acteurs de menace plus chaotiques et moins couplés », explique Casey Ellis, fondateur de Bugcrowd.
En fait, l'incapacité du FBI à perturber les groupes de piratage comme Scattered Spider pourrait être un problème pendant un certain temps encore, selon Callie Guenther, directrice principale de Critical Start.
« La lutte du FBI pour contenir ce groupe met également en lumière les défis plus vastes auxquels sont confrontées les forces de l'ordre à l'ère numérique », explique Guenther. « Le cas de « Scattered Spider » est révélateur d'une nouvelle ère de cybermenaces dans laquelle les groupes criminels emploient des tactiques agressives, notamment des menaces de violence physique. Cette escalade des stratégies criminelles nécessite une réponse tout aussi robuste et innovante de la part des experts en matière d’application de la loi et de cybersécurité.
Pour l’instant, il semble que c’est aux équipes de chaque entreprise d’empêcher Scattered Spider d’entraver leurs réseaux. En attendant, la communauté de la cybersécurité continuera de recueillir des détails sur ses exploits et d’attendre les arrestations.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/threat-intelligence/scattered-spider-casino-hackers-evade-arrest-plain-sight
- :possède
- :est
- :ne pas
- :où
- $UP
- 16
- 2022
- 7
- a
- Capable
- A Propos
- accès
- Selon
- hybrides
- activité
- acteurs
- s'adapter
- ajoutée
- Supplémentaire
- adresses
- consultatif
- Affiliation
- âge
- agressif
- aka
- même
- Tous
- seul
- le long de
- aussi
- Amérique
- parmi
- an
- selon une analyse de l’Université de Princeton
- Analystes
- ainsi que
- répondre
- tous
- apparaît
- Application
- SONT
- BRAS
- tableau
- arrêter
- arrêté
- arrestations
- AS
- At
- Attaquer
- précaution
- audit
- Authentification
- Pouvoirs publics
- conscients
- RETOUR
- basé
- BE
- est devenu
- car
- était
- derrière
- ci-dessous
- plus large
- mais
- by
- Caesars
- Appelez-nous
- appel
- Appels
- maisons
- casey
- Casino
- causer
- globaux
- le cloud
- recueillir
- Collective
- COM
- comment
- commettre
- Communautés
- Société
- compromis
- CONFIRMÉ
- consulting
- contiennent
- continuer
- contrôles
- Entreprises
- pourriez
- accouplé
- Lettres de créance
- équipage
- Criminel
- critique
- CTO
- cyber
- la cybercriminalité
- les cybercriminels
- Cybersécurité
- données
- Date
- Bureaux
- détails
- DID
- numérique
- l'ère numérique
- Perturber
- perturbé
- perturbations
- perturbateur
- vertigineux
- doesn
- dollars
- les effets
- mise en vigueur
- ENGINEERING
- Anglais
- Entreprise
- sécurité d'entreprise
- Divertissement
- entités
- environnements
- également
- Ère
- escalade
- éluder
- Pourtant, la
- faire une éventuelle
- de santé
- expliqué
- exploits
- face
- fait
- Échec
- famille
- FBI
- peur
- National
- Feds
- Prénom
- marqué
- Pour
- fondateur
- De
- gagné
- Gambit
- obtention
- Google Cloud
- Réservation de groupe
- Groupes
- les pirates
- piratage
- hacks
- Dur
- Vous avez
- havre
- ayant
- vous aider
- utile
- Faits saillants
- Frappé
- Accueil
- hospitalité
- Cependant
- HTTPS
- Des centaines
- des centaines de millions
- identités
- if
- impactant
- Mettre en oeuvre
- la mise en œuvre
- améliorer
- in
- incapacité
- incident
- réponse à l'incident
- inclus
- Y compris
- incroyablement
- indicatif
- Indicateurs
- individuel
- individus
- industrie
- d'information
- Infrastructure
- initiale
- technologie innovante
- Intelligence
- intersection
- développement
- enquête
- aide
- IT
- SES
- jpg
- ACTIVITES
- Savoir
- connu
- LAS
- Las Vegas
- Droit applicable et juridiction compétente
- application de la loi
- au
- Levier
- Libra
- comme
- Liste
- pertes
- Lot
- LES PLANTES
- a prendre une
- manager
- de nombreuses
- entre-temps
- Membres
- MFA
- Michael
- Microsoft
- million
- des millions
- mois
- PLUS
- (en fait, presque toutes)
- beaucoup
- authentification multifactorielle
- noms
- indigène
- négocié
- réseaux
- Nouveauté
- aucune
- notant
- nov
- maintenant
- of
- code
- on
- ONE
- opération
- opérationnel
- Opérations
- or
- organisation
- organisations
- Autres
- ande
- plus de
- payant
- Paiement
- personnel
- phishing
- Téléphone
- appels téléphoniques
- Physique
- PKI
- Plaine
- Platon
- Intelligence des données Platon
- PlatonDonnées
- président
- la parfaite pression
- répandue
- protégé
- de voiture.
- aportando
- public
- Clé publique
- publié
- vite.
- rampe
- Ransom
- ransomware
- RARE
- récent
- récemment
- recommander
- recommandations
- réduire
- libéré
- rester
- éloigné
- accès à distance
- rapport
- Rapports
- a besoin
- chercheurs
- Hôtels
- réponse
- retourner
- Reuters
- Analyse
- robuste
- pour le running
- s
- Sécurité
- Saïd
- dit
- épars
- examen minutieux
- sécurité
- sur le lien
- sembler
- semble
- supérieur
- partage
- devrait
- Vue
- OUI
- simplement
- Séance
- SIX
- Six mois
- compétences
- So
- Réseaux sociaux
- Ingénierie sociale
- quelques
- Sources
- haut-parleurs
- groupe de neurones
- Commencer
- États
- Encore
- Arrêter
- les stratégies
- foulée
- structure
- Lutter
- Luttant
- Avec succès
- tel
- tactique
- Prenez
- Target
- ciblage
- équipes
- que
- qui
- La
- leur
- Là.
- Ces
- l'ont
- des choses
- this
- ceux
- menace
- acteurs de la menace
- des menaces
- Avec
- fiable
- à
- aujourd'hui
- TON
- outil
- traditionnel
- deux
- En fin de compte
- Uni
- États-Unis
- us
- utilisé
- d'utiliser
- Usages
- VEGAS
- vérifié
- très
- victimes
- Violence
- le volume
- attendez
- Réveiller
- était
- semaine
- WELL
- quand
- qui
- why
- sera
- comprenant
- de travail
- Groupes de travail
- pourra
- encore
- Votre
- zéphyrnet
