האקרים של קזינו עכביש מפוזרים מתחמקים ממעצר לעין

נראה כי מנתחי מודיעין איומים, מגיבים לאירועים ורשויות אכיפת החוק הפדרליות כולם יודעים הכל על קבוצת האיומים עם מגוון של כינויים - The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud ו- Octo Tempest, בין היתר. אז מדוע הקבוצה (שהייתה מאחורי הפריצות של MGM Resorts ו-Caesars Entertainment) עדיין תוקפת בהצלחה ארגונים אמריקאים ללא עונש, ללא הפרעות עד היום?

השבוע, דיווחים אישרו כי רשויות אכיפת החוק הפדרליות מודעות היטב לזהות קבוצת פשע הסייבר, המורכבת מדוברי אנגלית שפת אם, אך לא הצליחה לבצע מעצרים. למעשה, מקורות אישרו לרויטרס כי רשויות אכיפת החוק ידעו את זהותם של עכביש מפוזר קולקטיב פריצה במשך יותר משישה חודשים.

ציידי איומי אבטחת סייבר כמו נשיא CrowdStrike, מייקל סנטונאס, הטיצו נימה מבולבלת בהחלט, וציין כי העובדה שקבוצת תוכנות הכופר עדיין פעילה וגורמת ל"הרס" היא "כישלון של "אכיפת החוק".

ייעוץ של ה-FBI בנושא עכביש מפוזר

הפדרלים אכן הציעו תגובה מסוימת: ב-16 בנובמבר, ה-FBI וה-CISA שחררו ייעוץ בנושא עכביש מפוזר, מתן אינדיקטורים של פשרה (IoCs) ופרטים נוספים כדי לחמש צוותי אבטחה ארגוניים בפרטים כדי להגן על הרשתות שלהם.

"ה-FBI וה-CISA ממליצים לארגונים ליישם את ההקלות שלהלן כדי לשפר את עמדת אבטחת הסייבר של הארגון שלך בהתבסס על פעילות גורם האיומים וכדי להפחית את הסיכון להתפשרות על ידי גורמי איומים מפוזרים", נכתב בייעוץ. הוא כלל רשימה של המלצות, כולל בקרות יישומים, ביקורת כלי גישה מרחוק והטמעת אימות FIDO/WebAuthn או אימות רב-גורמי (MFA) מבוסס תשתית מפתח ציבורי (PKI).

אמנם מועיל, אבל אם יש כל כך הרבה מידע על פשעי הסייבר של הקבוצה, זה לא עונה מדוע חברי קבוצת תוכנות הכופר לא פשוט נעצרו, או לכל הפחות, פעולתם שיבשה, יש לציין.

האקרים הופכים אגרסיביים יותר עם איומי אלימות

כמו רוב הדברים שיושבים בצומת של אמריקה התאגידית ורשויות אכיפת החוק, רבים מהפרטים נשארים מוגנים בסודיות. עם זאת, ההשפעות של הקבוצה משתוללת דרך רשתות חברות ציבוריות כמו אתרי נופש MGM ידועים.

"UNC3944 הוא אחד מגורמי האיומים הנפוצים והאגרסיביים ביותר המשפיעים על ארגונים בארצות הברית כיום", אומר צ'ארלס קרמקאל, CTO Mandiant Consulting ב-Google Cloud. "הם מפריעים להפליא."

ונראה שהקבוצה מבצעת פשעי סייבר ללא עונש כל הזמן, אפילו מסתעפת לאיומים באלימות פיזית. חוקרי מיקרוסופט הסבירו בניתוח שלהם את הקבוצה, שאותה הם מכנים Octo Tempest, שהיא משתמשת בפחד לביטחון אישי כדי ללחוץ על הקורבנות לשלם.

"במקרים נדירים, Octo Tempest נוקטת בטקטיקות מעוררות פחד, ומתמקדת באנשים ספציפיים באמצעות שיחות טלפון והודעות טקסט", אמרו צוותי התגובה לאירועים ומודיעין האיומים של מיקרוסופט בדו"ח שלהם. "שחקנים אלה משתמשים במידע אישי, כגון כתובות בית ושמות משפחה, יחד עם איומים פיזיים כדי לכפות על קורבנות לשתף אישורים לצורך גישה תאגידית."

הרים של נתונים על עכביש מפוזר

כמות הפרטים העצומה שמפרסמים אנליסטים על הקבוצה מסחררת. Scattered Spider סומן לראשונה בשנת 2022 כאשר הוא היה ממנף את ערכת הדיוג של Oktapus כדי לגנוב אישורים. הקבוצה בהצלחה עלה בהחלפת סים אבל נראה שהיא הגיעה לצעדה באמצע 2023, כאשר היא הפכה לשותפה של ספקית הכופר כשירות חתול שחור, aka Alphv.

חברי הקבוצה הגדילו בהתמדה את כישוריהם והוסיפו בסופו של דבר זווית הנדסה חברתית חדשה וחכמה: קריאה לדלפקי עזרה כדי לאפס אישורים ולהשתלט על חשבונות מאומתים כנקודת דריסת רגל ראשונית לסביבות יעד. זה ההימור שאליו נהגו בסופו של דבר צוות ה-Cattered Spider להתפשר על MGM Resorts ולהכשיל את פעילות הסטריפ של לאס וגאס במשך יותר משבוע, תוך הפסדים של מאות מיליוני דולרים עבור MGM Resorts בלבד. הקבוצה הפר בו זמנית את הקיסר וניהל משא ומתן מהיר על תשלום כופר של 15 מיליון דולר.

Carmakal של Mandiant אומר שהקבוצה צריכה לראות יותר בדיקה בעקבות שתי התקריות הללו: "הם זכו לאחרונה לתשומת לב רבה בגלל הכוונה האחרונה שלהם לארגוני אירוח ובידור".

רשויות אכיפת החוק מתמודדות עם פשעי סייבר

הרשויות הפדרליות אינן חולקות אף פרטים על החקירה של Scattered Spider, אך מקורבים לתעשיית אבטחת הסייבר חושדים שגורמי אכיפת חוק מסורתיים כמו ה-FBI מתקשים להסתגל למרדף אחר פושעי סייבר.

"רשויות אכיפת החוק רגילות יותר לקבוצות עבודה בעלות יותר מבנה וארגון, ונאבקות עם חזרתם של גורמי איומים כאוטיים ורופפים יותר", אומר מייסד Bugcrowd, קייסי אליס.

למעשה, חוסר היכולת של ה-FBI לשבש קבוצות פריצה כמו Scattered Spider עשויה להוות בעיה עוד זמן מה, לדברי קאלי גינטר, מנהלת בכירה ב-Critical Start.

"המאבק של ה-FBI להכיל את הקבוצה הזו מדגיש גם את האתגרים הרחבים יותר איתם מתמודדים רשויות אכיפת החוק בעידן הדיגיטלי", אומר גינטר. "המקרה של 'עכביש מפוזר' מעיד על עידן חדש של איומי סייבר שבו קבוצות פליליות נוקטות טקטיקות אגרסיביות, כולל איומים באלימות פיזית. הסלמה זו באסטרטגיות פליליות דורשת תגובה חזקה וחדשנית באותה מידה של מומחי אכיפת חוק ואבטחת סייבר".

לעת עתה, נראה שזה תלוי בצוותים ארגוניים בודדים למנוע מ-Scattered Spider להכשיל את הרשתות שלהם. בינתיים, קהילת אבטחת הסייבר תמשיך לאסוף פרטים על מעלליה ולהמתין למעצרים.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/threat-intelligence/scattered-spider-casino-hackers-evade-arrest-plain-sight