Verspreide Spider Casino-hackers ontwijken arrestatie in het volle zicht

Analisten van bedreigingsinformatie, incidentresponders en federale wetshandhavers lijken allemaal alles te weten over de dreigingsgroep met een reeks bijnamen – onder meer The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud en Octo Tempest. Dus waarom valt de groep (die achter de hacks van MGM Resorts en Caesars Entertainment zat) nog steeds met succes Amerikaanse organisaties straffeloos aan, zonder tot nu toe verstoringen?

Deze week bevestigden rapporten dat de federale wetshandhavingsinstanties goed op de hoogte zijn van de identiteit van de cybercriminaliteitsgroep, die bestaat uit moedertaalsprekers van het Engels, maar nog geen arrestaties hebben kunnen verrichten. Bronnen bevestigden tegenover Reuters zelfs dat de politie de identiteit van de politie kent Verspreide spin hackcollectief gedurende meer dan zes maanden.

Cybersecurity-dreigingsjagers zoals Michael Sentonas, president van CrowdStrike, sloegen een beslist verbijsterde toon aan en merkten op dat het feit dat de ransomware-groep nog steeds operationeel is en “ravage” veroorzaakt een “falen van de “wetshandhaving” is.

FBI-advies over verspreide spinnen

De FBI heeft wel enige reactie gegeven: op 16 november hebben de FBI en de CISA een rapport vrijgegeven advies over Scattered Spider, met indicatoren van compromissen (IoC's) en aanvullende details om bedrijfsbeveiligingsteams te voorzien van details om hun netwerken te verdedigen.

“FBI en CISA raden organisaties aan de onderstaande maatregelen te implementeren om de cyberbeveiligingspositie van uw organisatie te verbeteren op basis van de activiteit van de bedreigingsactoren en om het risico op compromissen door Scattered Spider-bedreigingsactoren te verminderen”, aldus het advies. Het bevatte een lijst met aanbevelingen, waaronder applicatiecontroles, auditing van tools voor externe toegang en de implementatie van FIDO/WebAuthn-authenticatie of op publieke sleutelinfrastructuur (PKI) gebaseerde multifactorauthenticatie (MFA).

Hoewel het nuttig is, als er zoveel informatie is over de cybercriminaliteit van de groep, is dit geen antwoord op de vraag waarom leden van de ransomwaregroep niet simpelweg zijn gearresteerd, of op zijn minst hun activiteiten hebben verstoord, merken sommigen op.

Hackers worden agressiever door bedreigingen met geweld

Zoals de meeste zaken die zich op het kruispunt van het Amerikaanse bedrijfsleven en de rechtshandhaving bevinden, blijven veel details geheim. De effecten van de groep die welig tiert op publieke bedrijfsnetwerken zoals MGM Resorts zijn bekend.

“UNC3944 is een van de meest voorkomende en agressieve bedreigingsactoren die organisaties in de Verenigde Staten vandaag de dag beïnvloeden”, zegt Charles Carmakal, CTO van Mandiant Consulting bij Google Cloud. “Ze zijn ongelooflijk disruptief.”

En het lijkt erop dat de groep voortdurend ongestraft cybercriminaliteit pleegt, waarbij ze zelfs dreigt met fysiek geweld. Microsoft-onderzoekers legden dit uit in hun analyse van de groep die zij noemen Octo-storm, dat zij angst voor persoonlijke veiligheid gebruikt om slachtoffers onder druk te zetten om te betalen.

“In zeldzame gevallen neemt Octo Tempest zijn toevlucht tot angstzaaiende tactieken, waarbij hij zich richt op specifieke personen via telefoontjes en sms-berichten”, aldus de teams voor Incident Response en Threat Intelligence van Microsoft in hun rapport. “Deze actoren gebruiken persoonlijke informatie, zoals huisadressen en familienamen, samen met fysieke bedreigingen om slachtoffers te dwingen inloggegevens te delen voor zakelijke toegang.”

Bergen aan gegevens over verspreide spinnen

De enorme hoeveelheid details die analisten over de groep publiceren, is duizelingwekkend. Scattered Spider werd voor het eerst opgemerkt in 2022 toen het de Oktapus-phishingkit zou gebruiken om inloggegevens te stelen. De groep succesvol bezig met SIM-swaps maar lijkt halverwege 2023 een succes te hebben gemaakt, toen het een dochteronderneming werd van de ransomware-as-a-service-provider Zwarte kat, ook bekend als Alphv.

Terwijl ze hun vaardigheden gestaag uitbreidden, voegden de leden van de groep uiteindelijk een slimme nieuwe social engineering-invalshoek toe: het inschakelen van helpdesks om de inloggegevens opnieuw in te stellen en geverifieerde accounts over te nemen als een eerste voet aan de grond in de doelomgevingen. Dat is de gok waar de Scattered Spider-crew uiteindelijk aan gewend was compromis MGM Resorts en de activiteiten op de Las Vegas Strip meer dan een week lang belemmeren, waardoor alleen al voor MGM Resorts honderden miljoenen dollars verloren gaan. De groep tegelijkertijd doorbrak Caesars en onderhandelde snel over een losgeldbetaling van $ 15 miljoen.

Carmakal van Mandiant zegt dat de groep na deze twee incidenten meer aandacht zou moeten krijgen: “Ze hebben de laatste tijd veel aandacht gekregen vanwege hun recente aanvallen op horeca- en entertainmentorganisaties.”

Rechtshandhaving worstelt met cybercriminaliteit

Federale autoriteiten delen geen details over het onderzoek naar Scattered Spider, maar insiders uit de cyberbeveiligingsindustrie vermoeden dat traditionele wetshandhavingsinstanties zoals de FBI moeite hebben zich aan te passen aan het achtervolgen van cybercriminelen.

“De rechtshandhaving is meer gewend aan werkgroepen met meer structuur en organisatie, en worstelt met de terugkeer van meer chaotische en losjes gekoppelde dreigingsactoren”, zegt Bugcrowd-oprichter Casey Ellis.

Volgens Callie Guenther, senior manager bij Critical Start, zou het onvermogen van de FBI om hackgroepen als Scattered Spider te ontwrichten nog een tijdje een probleem kunnen zijn.

“De strijd van de FBI om deze groep in bedwang te houden benadrukt ook de bredere uitdagingen waarmee wetshandhaving in het digitale tijdperk wordt geconfronteerd”, zegt Guenther. “Het geval van 'Scattered Spider' is indicatief voor een nieuw tijdperk van cyberdreigingen waarin criminele groepen agressieve tactieken toepassen, waaronder bedreigingen met fysiek geweld. Deze escalatie van criminele strategieën vereist een even robuust als innovatief antwoord van deskundigen op het gebied van wetshandhaving en cyberbeveiliging.”

Voorlopig lijkt het erop dat het aan individuele bedrijfsteams is om te voorkomen dat Scattered Spider hun netwerken laat strompelen. In de tussentijd zal de cyberbeveiligingsgemeenschap doorgaan met het verzamelen van details over hun exploits en wachten op arrestaties.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/threat-intelligence/scattered-spider-casino-hackers-evade-arrest-plain-sight