Både trusseletterretningsanalytikere, hendelsesforsvarere og føderal rettshåndhevelse ser alle ut til å vite alt om trusselgruppen med en rekke monikere – blant andre The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud og Octo Tempest. Så hvorfor angriper gruppen (som sto bak MGM Resorts og Caesars Entertainment hacks) fortsatt amerikanske organisasjoner ustraffet, uten noen forstyrrelser til dags dato?
Denne uken bekreftet rapporter at føderal rettshåndhevelse er godt klar over identiteten til nettkriminalitetsgruppen, som består av engelsktalende morsmål, men ikke har vært i stand til å foreta noen arrestasjoner. Faktisk bekreftet kilder overfor Reuters at rettshåndhevelse har kjent identiteten til de Spredt edderkopp hacking-kollektiv i mer enn seks måneder.
Trusseljegere på nettsikkerhet som CrowdStrikes president Michael Sentonas slo en desidert forvirret tone, og la merke til at det faktum at løsepengevaregruppen fortsatt er i drift og forårsaker "kaos" er en "svikt i "lovhåndhevelse".
FBI-rådgivning om spredt edderkopp
FBI ga noen svar: 16. november ga FBI og CISA ut en rådgivende om spredt edderkopp, gir indikatorer på kompromiss (IoCs) og tilleggsdetaljer for å bevæpne bedriftssikkerhetsteam med detaljer for å forsvare nettverkene deres.
"FBI og CISA anbefaler organisasjoner å implementere avbøtningene nedenfor for å forbedre organisasjonens cybersikkerhetsstilling basert på trusselaktørens aktivitet og for å redusere risikoen for kompromisser fra Scattered Spider-trusselsaktører," heter det i rådgiveren. Den inkluderte en liste over anbefalinger, inkludert applikasjonskontroller, revisjon av fjerntilgangsverktøy og implementering av FIDO/WebAuthn-autentisering eller offentlig nøkkelinfrastruktur (PKI)-basert multifaktorautentisering (MFA).
Selv om det er nyttig, hvis det er så mye informasjon om gruppens nettkriminalitet, svarer det ikke på hvorfor medlemmer av løsepengevaregruppen ikke bare har blitt arrestert, eller i det minste, deres operasjon forstyrret, bemerker noen.
Hackere blir mer aggressive med trusler om vold
Som de fleste ting som sitter i skjæringspunktet mellom bedriftens Amerika og rettshåndhevelse, forblir mange av detaljene beskyttet i hemmelighold. Men effektene av at gruppen løper frodig gjennom offentlige bedriftsnettverk som MGM Resorts er godt kjent.
«UNC3944 er en av de mest utbredte og aggressive trusselaktørene som påvirker organisasjoner i USA i dag,» sier Charles Carmakal, Mandiant Consulting CTO hos Google Cloud. "De er utrolig forstyrrende."
Og gruppen ser ut til å begå cyberkriminalitet ustraffet hele tiden, til og med forgrener seg til trusler om fysisk vold. Microsoft-forskere forklarte i sin analyse av gruppen, som de kaller Octo Tempest, at den bruker frykt for personlig sikkerhet for å presse ofre til å betale.
"I sjeldne tilfeller tyr Octo Tempest til fryktutløsende taktikker, og retter seg mot spesifikke individer gjennom telefonsamtaler og tekstmeldinger," sa Microsofts Incident Response og Threat Intelligence-team i sin rapport. "Disse aktørene bruker personlig informasjon, for eksempel hjemmeadresser og familienavn, sammen med fysiske trusler for å tvinge ofre til å dele legitimasjon for bedriftstilgang."
Fjell med data om spredt edderkopp
Selve mengden av detaljer publisert av analytikere om gruppen er svimlende. Scattered Spider ble først flagget tilbake i 2022 da den ville utnytte Oktapus phishing-sett for å stjele legitimasjon. Gruppen vellykket samlet inn SIM-bytter men ser ut til å ha truffet sitt skritt i midten av 2023, da det ble en partner av løsepengevare-som-en-tjenesteleverandøren Svart katt, aka Alphv.
Etter hvert som gruppens medlemmer økte ferdighetene sine, la de til en smart ny sosial ingeniørvinkel: de ringte til helpdesk for å tilbakestille legitimasjon og overta verifiserte kontoer som et første fotfeste i målmiljøer. Det er gambiten Scattered Spider-mannskapet til slutt brukte kompromittere MGM Resorts og hindre Las Vegas Strip-operasjoner i mer enn en uke, med tap i hundrevis av millioner dollar for MGM Resorts alene. Gruppen samtidig brøt Caesars og forhandlet raskt frem en løsepenge på 15 millioner dollar.
Mandiant's Carmakal sier at gruppen bør se mer gransking i kjølvannet av disse to hendelsene: "De har nylig fått mye oppmerksomhet på grunn av deres nylige målretting mot gjestfrihets- og underholdningsorganisasjoner."
Rettshåndhevelse sliter med nettkriminalitet
Føderale myndigheter deler ikke noen detaljer om etterforskningen av Scattered Spider, men innsidere i nettsikkerhetsindustrien mistenker at tradisjonelle rettshåndhevende enheter som FBI har vanskelig for å tilpasse seg jakten på nettkriminelle.
"Lovhåndhevelse er mer vant til arbeidsgrupper med mer struktur og organisering, og sliter med tilbakekomsten av mer kaotiske og løst koblede trusselaktører," sier Bugcrowd-grunnlegger Casey Ellis.
Faktisk kan FBIs manglende evne til å forstyrre hackergrupper som Scattered Spider være et problem i en stund fremover, ifølge Callie Guenther, seniorsjef i Critical Start.
"FBIs kamp for å begrense denne gruppen fremhever også de bredere utfordringene som rettshåndhevelse står overfor i den digitale tidsalderen," sier Guenther. – Saken om 'Scattered Spider' er en indikasjon på en ny æra av cybertrusler der kriminelle grupper bruker aggressive taktikker, inkludert trusler om fysisk vold. Denne eskaleringen i kriminelle strategier krever en like robust og nyskapende respons fra eksperter på rettshåndhevelse og nettsikkerhet.»
Foreløpig ser det ut til at det er opp til individuelle bedriftsteam å stoppe Scattered Spider fra å hindre nettverkene deres. I mellomtiden vil nettsikkerhetssamfunnet fortsette å samle inn detaljer om deres bedrifter og vente på arrestasjoner.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/threat-intelligence/scattered-spider-casino-hackers-evade-arrest-plain-sight
- : har
- :er
- :ikke
- :hvor
- $OPP
- 16
- 2022
- 7
- a
- I stand
- Om oss
- adgang
- Ifølge
- kontoer
- aktivitet
- aktører
- tilpasse
- la til
- Ytterligere
- adresser
- rådgivende
- Partnerskap
- alder
- aggressiv
- aka
- alike
- Alle
- alene
- langs
- også
- america
- blant
- an
- analyse
- analytikere
- og
- besvare
- noen
- vises
- Søknad
- ER
- ARM
- Array
- arrestere
- arrestert
- arrestasjoner
- AS
- At
- angripe
- oppmerksomhet
- revisjon
- Autentisering
- Myndigheter
- klar
- tilbake
- basert
- BE
- ble
- fordi
- vært
- bak
- under
- bredere
- men
- by
- Caesars
- ring
- ringer
- Samtaler
- saken
- casey
- Kasino
- forårsaker
- utfordringer
- Cloud
- samle
- Collective
- COM
- Kom
- begå
- samfunnet
- Selskapet
- kompromiss
- BEKREFTET
- konsulent
- inneholde
- fortsette
- kontroller
- Bedriftens
- kunne
- kombinert
- Credentials
- mannskap
- Criminal
- kritisk
- CTO
- cyber
- cybercrime
- nettkriminelle
- Cybersecurity
- dato
- Dato
- Skrivebord
- detaljer
- gJORDE
- digitalt
- digital tidsalder
- Avbryte
- forstyrret
- forstyrrelser
- forstyrrende
- svimlende
- doesn
- dollar
- effekter
- håndhevelse
- Ingeniørarbeid
- Engelsk
- Enterprise
- virksomhetssikkerhet
- Entertainment
- enheter
- miljøer
- like
- Era
- eskalering
- unngå
- Selv
- etter hvert
- eksperter
- forklarte
- exploits
- møtt
- Faktisk
- Failure
- familie
- FBI
- frykt
- Federal
- FBI
- Først
- flaggede
- Til
- Grunnleggeren
- fra
- fikk
- Gambit
- få
- Google Cloud
- Gruppe
- Gruppens
- hackere
- hacking
- hacks
- Hard
- Ha
- haven
- å ha
- hjelpe
- nyttig
- striper
- hit
- Hjemprodukt
- gjestfrihet
- Men
- HTTPS
- Hundrevis
- hundrevis av millioner
- identiteter
- if
- slag
- iverksette
- implementere
- forbedre
- in
- manglende evne
- hendelse
- hendelsesrespons
- inkludert
- Inkludert
- utrolig
- indikativ
- indikatorer
- individuelt
- individer
- industri
- informasjon
- Infrastruktur
- innledende
- innovative
- Intelligens
- kryss
- inn
- etterforskning
- utstedelse
- IT
- DET ER
- jpg
- nøkkel
- Vet
- kjent
- LAS
- Las Vegas
- Law
- rettshåndhevelse
- minst
- Leverage
- Libra
- i likhet med
- Liste
- tap
- Lot
- laget
- gjøre
- leder
- mange
- mellomtiden
- medlemmer
- MFA
- Michael
- Microsoft
- millioner
- millioner
- måneder
- mer
- mest
- mye
- multifaktorautentisering
- navn
- innfødt
- forhandlet
- nettverk
- Ny
- Nei.
- merke seg
- november
- nå
- of
- tilby
- on
- ONE
- drift
- operasjonell
- Drift
- or
- organisasjon
- organisasjoner
- andre
- ut
- enn
- betalende
- betaling
- personlig
- phishing
- telefon
- telefonsamtaler
- fysisk
- PKI
- Plain
- plato
- Platon Data Intelligence
- PlatonData
- president
- press
- utbredt
- beskyttet
- leverandør
- gi
- offentlig
- offentlig Key
- publisert
- raskt
- ramping
- Ransom
- ransomware
- SJELDEN
- nylig
- nylig
- anbefaler
- anbefalinger
- redusere
- utgitt
- forbli
- fjernkontroll
- fjerntilgang
- rapporterer
- Rapporter
- Krever
- forskere
- Resorts
- svar
- retur
- Reuters
- Risiko
- robust
- rennende
- s
- Sikkerhet
- Sa
- sier
- spredt
- granskning
- sikkerhet
- se
- synes
- synes
- senior
- deling
- bør
- Syn
- JA
- ganske enkelt
- Sittende
- SIX
- Seks måneder
- ferdigheter
- So
- selskap
- Sosialteknikk
- noen
- Kilder
- høyttalere
- spesifikk
- Begynn
- Stater
- Still
- Stopp
- strategier
- skrittlengde
- struktur
- Struggle
- Sliter
- vellykket
- slik
- taktikk
- Ta
- Target
- rettet mot
- lag
- enn
- Det
- De
- deres
- Der.
- Disse
- de
- ting
- denne
- De
- trussel
- trusselaktører
- trusler
- Gjennom
- tid
- til
- i dag
- TONE
- verktøy
- tradisjonelle
- to
- Til syvende og sist
- forent
- Forente Stater
- us
- bruke
- brukt
- bruker
- VEGAS
- verifisert
- veldig
- ofre
- vold
- volum
- vente
- Wake
- var
- uke
- VI VIL
- når
- hvilken
- hvorfor
- vil
- med
- arbeid
- Arbeidsgrupper
- ville
- ennå
- Din
- zephyrnet
