A szétszórt Spider Casino hackerei sima szemmel elkerülik a letartóztatást

Úgy tűnik, hogy a fenyegetésekkel foglalkozó hírszerzés elemzői, az incidensek reagálói és a szövetségi bűnüldöző szervek mindent tudnak a fenyegető csoportról, számos becenévvel – többek között The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud és Octo Tempest. Tehát miért támadja meg a csoport (amely az MGM Resorts és a Caesars Entertainment feltörése mögött állt) még mindig sikeresen, büntetlenül, anélkül, hogy megzavarta volna az Egyesült Államokat?

A héten a jelentések megerősítették, hogy a szövetségi bűnüldöző szervek jól ismerik az angol anyanyelvűekből álló kiberbűnözői csoport kilétét, mégsem sikerült letartóztatniuk. Valójában források megerősítették a Reutersnek, hogy a bűnüldöző szervek ismerték a személyazonosságát Szétszórt pók hacker kollektíva több mint hat hónapja.

Az olyan kiberbiztonsági fenyegetésvadászok, mint a CrowdStrike elnöke, Michael Sentonas, határozottan értetlen hangot ütött meg, és megjegyezte, hogy az a tény, hogy a zsarolóvírus-csoport még mindig működik, és „pusztítást” okoz, „a „bűnüldözés kudarca”.

FBI-tanácsadó a szétszórt pókról

A szövetségi szövetségek bizonyos választ adtak: november 16-án az FBI és a CISA kiadott egy Tanácsadó a Scattered Spiderről, amely a kompromisszum indikátorait (IoC) és további részleteket kínál a vállalati biztonsági csapatoknak hálózataik védelméhez szükséges részletekkel.

"Az FBI és a CISA azt javasolja a szervezeteknek, hogy hajtsák végre az alábbi mérsékléseket, hogy javítsák szervezete kiberbiztonsági helyzetét a fenyegetett szereplők tevékenysége alapján, és csökkentsék a Scattered Spider fenyegetett szereplők általi kompromittálódás kockázatát" - áll a tanácsban. Javaslatokat tartalmazott, beleértve az alkalmazásvezérlőket, a távoli hozzáférési eszközök auditálását, valamint a FIDO/WebAuthn hitelesítés vagy a nyilvános kulcsú infrastruktúra (PKI) alapú többtényezős hitelesítés (MFA) megvalósítását.

Bár hasznos, ha ennyi információ áll rendelkezésre a csoport kiberbűnözéseiről, az nem ad választ arra, hogy a ransomware-csoport tagjait miért nem tartóztatták le, vagy legalábbis miért nem zavarták meg működésüket.

A hackerek egyre agresszívebbek az erőszakkal való fenyegetéssel

Mint a legtöbb dolog, ami a vállalati Amerika és a bűnüldözés metszéspontjában áll, sok részlet továbbra is titokban marad. Azonban a hatások a csoport fut tombol az állami vállalati hálózatok, mint MGM üdülőhelyek jól ismertek.

„Az UNC3944 az egyik legelterjedtebb és legagresszívebb fenyegetés, amely ma az Egyesült Államok szervezeteit érinti” – mondja Charles Carmakal, a Google Cloud Mandiant Consulting műszaki igazgatója. – Hihetetlenül zavaróak.

És úgy tűnik, hogy a csoport folyamatosan büntetlenül követ el kiberbűnözést, akár fizikai erőszakkal fenyegetőzve is. A Microsoft kutatói az általuk nevezett csoportról készített elemzésükben kifejtették Októberi vihar, hogy a félelmet a személyes biztonság érdekében arra használja, hogy rákényszerítse az áldozatokat a fizetésre.

„Ritka esetekben az Octo Tempest félelemkeltő taktikához folyamodik, konkrét személyeket célozva meg telefonhívásokon és SMS-eken keresztül” – áll a Microsoft Incident Response és Threat Intelligence csapata jelentésében. „Ezek a szereplők személyes adatokat, például lakcímet és családneveket, valamint fizikai fenyegetéseket használnak fel arra, hogy az áldozatokat a vállalati hozzáféréshez szükséges hitelesítő adatok megosztására kényszerítsék.”

Adatok hegyei a szétszórt pókról

Szédítő az elemzők által a csoportról közzétett rengeteg részlet. A Scattered Spidert először 2022-ben jelölték meg, amikor az Oktapus adathalász készletet használta fel a hitelesítő adatok ellopásához. A csoport sikeresen SIM-csere során részt vett de úgy tűnik, hogy 2023 közepén elérte a sikert, amikor a ransomware-as-a-szolgáltató leányvállalatává vált. Fekete macska, más néven Alphv.

Folyamatosan fejlesztve tudásukat, a csoport tagjai végül egy okos, új szociális tervezési szempontot adtak hozzá: az ügyfélszolgálati szolgálatokat hívták vissza a hitelesítési adatok visszaállítása és az ellenőrzött fiókok átvétele érdekében, hogy kezdeti támpontot adjanak a célkörnyezetekhez. Ez az a gambit, amit a Scattered Spider legénysége szokott kompromittálja az MGM Resorts-t és több mint egy hétig kapkodják a Las Vegas Strip működését, és egyedül az MGM Resortsnak több száz millió dolláros veszteséget okozva. A csoport egyszerre megszegte Caesars és gyorsan kialkudott egy 15 millió dolláros váltságdíjat.

A Mandiant's Carmakal azt mondja, hogy a két incidens nyomán a csoportnak nagyobb ellenőrzést kell kapnia: „A közelmúltban nagy figyelmet kaptak, mivel a közelmúltban a vendéglátó és szórakoztató szervezeteket célozták meg.”

A bűnüldözés a számítógépes bűnözés ellen küzd

A szövetségi hatóságok nem osztanak meg részleteket a Scattered Spider-rel kapcsolatos nyomozásról, de a kiberbiztonsági ágazat bennfentesei azt gyanítják, hogy az olyan hagyományos bűnüldöző szervezetek, mint az FBI, nehezen tudnak alkalmazkodni a kiberbűnözők üldözéséhez.

„A bűnüldöző szervek jobban hozzá vannak szokva a nagyobb struktúrájú és szervezettebb munkacsoportokhoz, és küszködnek a kaotikusabb és lazábban összekapcsolt fenyegetés szereplőinek visszatérésével” – mondja Casey Ellis, a Bugcrowd alapítója.

Valójában az FBI képtelen megzavarni az olyan hackercsoportokat, mint a Scattered Spider, még egy ideig probléma lehet, véli Callie Guenther, a Critical Start vezető menedzsere.

„Az FBI-nak a csoport megfékezéséért folytatott küzdelme rávilágít a digitális korban a bűnüldözés előtt álló átfogóbb kihívásokra” – mondja Guenther. „A „Scattered Spider” esete a kiberfenyegetések új korszakát jelzi, ahol a bűnözői csoportok agresszív taktikákat alkalmaznak, beleértve a fizikai erőszakkal való fenyegetést is. A bűnözési stratégiák ilyen eszkalációja ugyanolyan határozott és innovatív választ igényel a bűnüldöző szervektől és a kiberbiztonsági szakértőktől.”

Egyelőre úgy tűnik, hogy az egyes vállalati csapatokon múlik, hogy megakadályozzák-e a Scattered Spider-t abban, hogy a hálózatukat sántítsa. Addig is a kiberbiztonsági közösség továbbra is gyűjti a részleteket a tetteikről, és várja a letartóztatásokat.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/threat-intelligence/scattered-spider-casino-hackers-evade-arrest-plain-sight