Hakerzy z rozproszonego kasyna Spider unikają aresztowania na widoku

Wydaje się, że analitycy zajmujący się wywiadem dotyczącym zagrożeń, osoby reagujące na incydenty i federalne organy ścigania – wszyscy wiedzą wszystko o grupie zagrożeń pod różnymi pseudonimami – między innymi The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud i Octo Tempest. Dlaczego więc grupa (która stała za włamaniami do MGM Resorts i Caesars Entertainment) nadal skutecznie bezkarnie atakuje organizacje w USA i jak dotąd bez żadnych zakłóceń?

W tym tygodniu raporty potwierdziły, że federalne organy ścigania doskonale zdają sobie sprawę z tożsamości grupy cyberprzestępczej, która składa się z rodzimych użytkowników języka angielskiego, a mimo to nie udało im się dokonać żadnych aresztowań. W rzeczywistości źródła potwierdziły agencji Reuters, że organy ścigania znały tożsamość Rozrzucony Pająk kolektyw hakerski od ponad sześciu miesięcy.

Łowcy zagrożeń dla cyberbezpieczeństwa, tacy jak prezes CrowdStrike, Michael Sentonas, przyjęli zdecydowanie zdumiony ton, zauważając, że fakt, że grupa zajmująca się oprogramowaniem ransomware nadal działa i powoduje „zamęt”, jest „niepowodzeniem „egzekwowania prawa”.

Doradztwo FBI w sprawie rozproszonego pająka

Federalni rzeczywiście zaoferowali pewną odpowiedź: 16 listopada FBI i CISA opublikowały raport poradnik dotyczący rozproszonego pająka, udostępniając wskaźniki naruszenia (IoC) i dodatkowe szczegóły, aby zapewnić zespołom ds. bezpieczeństwa przedsiębiorstw szczegółowe informacje potrzebne do ochrony sieci.

„FBI i CISA zalecają organizacjom wdrożenie poniższych środków zaradczych, aby poprawić stan cyberbezpieczeństwa organizacji w oparciu o aktywność aktorów zagrażających i zmniejszyć ryzyko naruszenia bezpieczeństwa przez ugrupowania zagrażające Scattered Spider” – czytamy w poradniku. Zawierał listę zaleceń, w tym kontrolę aplikacji, audyt narzędzi dostępu zdalnego i wdrożenie uwierzytelniania FIDO/WebAuthn lub uwierzytelniania wieloczynnikowego (MFA) opartego na infrastrukturze klucza publicznego (PKI).

Choć jest to pomocne, choć istnieje tak wiele informacji na temat cyberprzestępstw tej grupy, nie daje odpowiedzi, dlaczego członkowie grupy zajmującej się oprogramowaniem ransomware nie zostali po prostu aresztowani lub przynajmniej nie zakłócono ich działania – zauważają niektórzy.

Hakerzy stają się coraz bardziej agresywni, grożąc użyciem przemocy

Podobnie jak większość rzeczy na skrzyżowaniu korporacyjnej Ameryki i organów ścigania, wiele szczegółów pozostaje chronionych tajemnicą. Jednak skutki szalejącej działalności grupy za pośrednictwem sieci spółek publicznych, takich jak MGM Resorts są dobrze znane.

„UNC3944 to jeden z najpowszechniejszych i najbardziej agresywnych aktorów zagrożeń wpływających obecnie na organizacje w Stanach Zjednoczonych” – mówi Charles Carmakal, dyrektor ds. technologii Mandiant Consulting w Google Cloud. „Są niesamowicie destrukcyjni”.

Wydaje się też, że grupa przez cały czas bezkarnie dopuszcza się cyberprzestępstw, które przeradzają się nawet w groźby użycia przemocy fizycznej. Badacze Microsoftu wyjaśnili w swojej analizie grupę, którą nazywają Październikowa burza, że wykorzystuje strach o bezpieczeństwo osobiste, aby nakłonić ofiary do płacenia.

„W rzadkich przypadkach Octo Tempest ucieka się do taktyk siania strachu, atakując określone osoby za pośrednictwem rozmów telefonicznych i SMS-ów” – stwierdziły w swoim raporcie zespoły reagowania na incydenty i analizy zagrożeń firmy Microsoft. „Osoby te wykorzystują dane osobowe, takie jak adresy domowe i nazwiska rodowe, a także grożą fizycznymi, aby zmusić ofiary do udostępnienia danych uwierzytelniających w celu uzyskania dostępu do firmy”.

Góry danych na temat rozproszonego pająka

Już sama ilość szczegółów publikowanych przez analityków na temat grupy przyprawia o zawrót głowy. Scattered Spider został po raz pierwszy oznaczony w 2022 r., kiedy wykorzystywał zestaw phishingowy Oktapus do kradzieży danych uwierzytelniających. Grupa pomyślnie dali się nabrać na wymianę kart SIM ale wydaje się, że nabrał tempa w połowie 2023 r., kiedy został podmiotem stowarzyszonym dostawcy oprogramowania ransomware jako usługi Czarny kot, czyli Alphv.

Stale podnosząc swoje umiejętności, członkowie grupy w końcu dodali nowy, sprytny sposób inżynierii społecznej: dzwonili do biur pomocy technicznej w celu zresetowania danych uwierzytelniających i przejmowania zweryfikowanych kont jako początkowego punktu zaczepienia w środowiskach docelowych. To jest gambit, do którego ostatecznie przyzwyczaiła się załoga Scattered Spider kompromisu z MGM Resorts i unieruchomiły działalność Las Vegas Strip na ponad tydzień, przynosząc setki milionów dolarów strat tylko dla MGM Resorts. Grupa jednocześnie naruszył Cezara i szybko wynegocjował kwotę okupu w wysokości 15 milionów dolarów.

Carmakal z Mandianta twierdzi, że w następstwie tych dwóch incydentów grupie należy przyjrzeć się bliżej: „Ostatnio zyskała ona duże zainteresowanie ze względu na niedawne ataki na organizacje z branży hotelarskiej i rozrywkowej”.

Organy ścigania zmagają się z cyberprzestępczością

Władze federalne nie udostępniają żadnych szczegółów śledztwa w sprawie Scattered Spider, ale znawcy branży cyberbezpieczeństwa podejrzewają, że tradycyjne organy ścigania, takie jak FBI, mają trudności z przystosowaniem się do ścigania cyberprzestępców.

„Organy egzekwowania prawa są bardziej przyzwyczajone do grup roboczych o większej strukturze i organizacji i borykają się z powrotem bardziej chaotycznych i luźno powiązanych aktorów zagrażających” – mówi założyciel Bugcrowd, Casey Ellis.

Callie Guenther, starsza menedżerka w Critical Start, twierdzi, że niezdolność FBI do zakłócania działalności grup hakerskich takich jak Scattered Spider może stanowić problem przez jakiś czas.

„Walka FBI o powstrzymanie tej grupy uwydatnia również szersze wyzwania stojące przed organami ścigania w epoce cyfrowej” – mówi Guenther. „Przypadek „Scattered Spider” wskazuje na nową erę zagrożeń cybernetycznych, w której grupy przestępcze stosują agresywne taktyki, w tym grożą przemocą fizyczną. Ta eskalacja strategii przestępczych wymaga równie zdecydowanej i innowacyjnej reakcji ze strony ekspertów w dziedzinie egzekwowania prawa i cyberbezpieczeństwa”.

Na razie wygląda na to, że zadaniem poszczególnych zespołów przedsiębiorstw jest powstrzymanie Scattered Spider przed utykaniem ich sieci. W międzyczasie społeczność cyberbezpieczeństwa będzie w dalszym ciągu zbierać szczegółowe informacje na temat swoich exploitów i czekać na aresztowania.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/threat-intelligence/scattered-spider-casino-hackers-evade-arrest-plain-sight