Разрозненные хакеры казино Spider избежали ареста на виду

Аналитики разведки угроз, специалисты по реагированию на инциденты и федеральные правоохранительные органы, похоже, знают все о группе угроз с множеством прозвищ — The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud и Octo Tempest и других. Так почему же группа (которая стояла за взломами MGM Resorts и Caesars Entertainment) до сих пор безнаказанно и без каких-либо сбоев успешно атакует американские организации?

На этой неделе появились сообщения, подтверждающие, что федеральным правоохранительным органам хорошо известны личности группы киберпреступников, состоящей из носителей английского языка, но они не смогли произвести никаких арестов. Более того, источники подтвердили Reuters, что правоохранительным органам известны личности погибших. Рассеянный паук хакерский коллектив более полугода.

Охотники за угрозами кибербезопасности, такие как президент CrowdStrike Майкл Сентонас, издали явно озадаченный тон, отметив, что тот факт, что группа вымогателей все еще действует и вызывает «хаос», является «провалом «правоохранительных органов».

Рекомендации ФБР по рассеянному пауку

Федералы все же предложили некоторый ответ: 16 ноября ФБР и CISA опубликовали консультация по рассеянному пауку, предоставляя индикаторы компрометации (IoC) и дополнительную информацию, чтобы вооружить команды безопасности предприятия деталями для защиты своих сетей.

«ФБР и CISA рекомендуют организациям реализовать приведенные ниже меры по смягчению последствий, чтобы улучшить состояние кибербезопасности вашей организации на основе активности злоумышленников и снизить риск компрометации со стороны злоумышленников Scattered Spider», — говорится в сообщении. Он включал список рекомендаций, включая элементы управления приложениями, аудит инструментов удаленного доступа и внедрение аутентификации FIDO/WebAuthn или многофакторной аутентификации (MFA) на основе инфраструктуры открытых ключей (PKI).

Хотя это и полезно, но, как отмечают некоторые, если имеется так много информации о киберпреступлениях группы, она не дает ответа на вопрос, почему члены группы, занимающейся вымогательством, просто не были арестованы или, по крайней мере, не сорваны.

Хакеры становятся более агрессивными с угрозами насилия

Как и большинство вещей, находящихся на стыке корпоративной Америки и правоохранительных органов, многие детали остаются засекреченными. Однако последствия группировки, распространяющейся через сети публичных компаний, таких как MGM Resorts хорошо известны.

«UNC3944 — один из наиболее распространенных и агрессивных источников угроз, влияющих сегодня на организации в Соединенных Штатах», — говорит Чарльз Кармакал, технический директор Mandiant Consulting в Google Cloud. «Они невероятно разрушительны».

И группа, судя по всему, постоянно безнаказанно совершает киберпреступления, вплоть до угроз физического насилия. Исследователи Microsoft объяснили это в своем анализе группы, которую они называют Окто Темпест, что он использует страх за личную безопасность, чтобы заставить жертв платить.

«В редких случаях Octo Tempest прибегает к тактике разжигания страха, нацеливаясь на конкретных людей посредством телефонных звонков и текстовых сообщений», — говорится в отчете команд Microsoft по реагированию на инциденты и анализу угроз. «Эти субъекты используют личную информацию, такую ​​​​как домашние адреса и фамилии, а также физические угрозы, чтобы заставить жертв поделиться учетными данными для корпоративного доступа».

Горы данных о рассеянном пауке

Объем подробностей, опубликованных аналитиками о группе, ошеломляет. Впервые Scattered Spider был отмечен еще в 2022 году, когда он использовал фишинговый комплект Oktapus для кражи учетных данных. Группа успешно заморачивался с заменой SIM-карт но, похоже, добился своего успеха в середине 2023 года, когда стал филиалом поставщика программ-вымогателей как услуги. Черная кошка, он же Альфв.

Постоянно совершенствуя свои навыки, члены группы в конечном итоге добавили новый умный подход к социальной инженерии: обращение в службы поддержки для сброса учетных данных и получения подтвержденных учетных записей в качестве первоначальной точки опоры в целевых средах. Это гамбит, к которому в конечном итоге прибегла команда Рассеянного Паука. скомпрометировать MGM Resorts и препятствовать работе Лас-Вегас-Стрип более чем на неделю, что приведет к убыткам в сотни миллионов долларов только для MGM Resorts. Группа одновременно прорвал Цезаря и быстро договорился о выплате выкупа в размере 15 миллионов долларов.

Кармакал из Mandiant говорит, что после этих двух инцидентов группировке следует уделять больше внимания: «В последнее время они привлекли к себе много внимания из-за недавних нападений на гостиничные и развлекательные организации».

Правоохранительные органы борются с киберпреступностью

Федеральные власти не разглашают никаких подробностей расследования Scattered Spider, но инсайдеры индустрии кибербезопасности подозревают, что традиционные правоохранительные органы, такие как ФБР, с трудом адаптируются к преследованию киберпреступников.

«Правоохранительные органы больше привыкли к более структурированным и организованным рабочим группам и борются с возвращением более хаотичных и слабосвязанных субъектов угроз», — говорит основатель Bugcrowd Кейси Эллис.

На самом деле, по мнению Кэлли Гюнтер, старшего менеджера Critical Start, неспособность ФБР препятствовать хакерским группам, таким как Scattered Spider, может стать проблемой в течение некоторого времени.

«Борьба ФБР сдержать эту группу также подчеркивает более широкие проблемы, с которыми сталкиваются правоохранительные органы в эпоху цифровых технологий», — говорит Гюнтер. «Случай с «Рассеянным пауком» свидетельствует о новой эре киберугроз, когда преступные группировки применяют агрессивную тактику, включая угрозы физического насилия. Эта эскалация преступных стратегий требует столь же решительного и инновационного ответа со стороны правоохранительных органов и экспертов по кибербезопасности».

На данный момент, похоже, что отдельные команды предприятий должны помешать Scattered Spider затруднить работу их сетей. Тем временем сообщество кибербезопасности продолжит собирать подробности об их подвигах и ждать арестов.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/threat-intelligence/scattered-spider-casino-hackers-evade-arrest-plain-sight