แฮกเกอร์คาสิโน Spider กระจัดกระจายหลบเลี่ยงการจับกุมในสายตาธรรมดา

นักวิเคราะห์ข่าวกรองภัยคุกคาม ผู้เผชิญเหตุ และหน่วยงานบังคับใช้กฎหมายของรัฐบาลกลาง ดูเหมือนจะรู้ทุกอย่างเกี่ยวกับกลุ่มภัยคุกคามด้วยชื่อเล่นต่างๆ เช่น The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud และ Octo Tempest และอื่นๆ อีกมากมาย แล้วเหตุใดกลุ่ม (ซึ่งอยู่เบื้องหลังการแฮ็ก MGM Resorts และ Caesars Entertainment) จึงยังคงโจมตีองค์กรของสหรัฐอเมริกาได้สำเร็จโดยไม่ต้องรับโทษ โดยไม่มีการหยุดชะงักจนถึงปัจจุบัน

ในสัปดาห์นี้ รายงานยืนยันว่าหน่วยงานบังคับใช้กฎหมายของรัฐบาลกลางตระหนักดีถึงตัวตนของกลุ่มอาชญากรรมไซเบอร์ซึ่งประกอบด้วยเจ้าของภาษาอังกฤษ แต่ยังไม่สามารถจับกุมใดๆ ได้ ในความเป็นจริง แหล่งข่าวยืนยันกับรอยเตอร์ว่าหน่วยงานบังคับใช้กฎหมายได้ทราบตัวตนของ แมงมุมกระจัดกระจาย กลุ่มแฮ็คมานานกว่าหกเดือน

นักล่าภัยคุกคามความปลอดภัยทางไซเบอร์อย่าง Michael Sentonas ประธานของ CrowdStrike ต่างแสดงท่าทีงุนงง โดยสังเกตว่าความจริงที่ว่ากลุ่มแรนซัมแวร์ยังคงปฏิบัติการอยู่และทำให้เกิด “ความเสียหาย” นั้นเป็น “ความล้มเหลวของ “การบังคับใช้กฎหมาย”

คำแนะนำของ FBI เกี่ยวกับแมงมุมกระจัดกระจาย

เจ้าหน้าที่รัฐบาลกลางได้เสนอคำตอบบางอย่าง: เมื่อวันที่ 16 พฤศจิกายน FBI และ CISA ได้เผยแพร่ ให้คำปรึกษาเรื่องแมงมุมกระจัดกระจายโดยให้ตัวบ่งชี้การประนีประนอม (IoC) และรายละเอียดเพิ่มเติมเพื่อติดอาวุธให้กับทีมรักษาความปลอดภัยขององค์กรพร้อมรายละเอียดเพื่อปกป้องเครือข่ายของพวกเขา

“FBI และ CISA แนะนำให้องค์กรต่างๆ ดำเนินการลดผลกระทบด้านล่างเพื่อปรับปรุงมาตรการรักษาความปลอดภัยทางไซเบอร์ขององค์กรของคุณโดยพิจารณาจากกิจกรรมของตัวแสดงภัยคุกคาม และเพื่อลดความเสี่ยงของการประนีประนอมโดยตัวแสดงภัยคุกคาม Scattered Spider” ที่ปรึกษากล่าว ประกอบด้วยรายการคำแนะนำ รวมถึงการควบคุมแอปพลิเคชัน การตรวจสอบเครื่องมือการเข้าถึงระยะไกล และการใช้การตรวจสอบสิทธิ์ FIDO/WebAuthn หรือการตรวจสอบสิทธิ์แบบหลายปัจจัยที่ใช้โครงสร้างพื้นฐานคีย์สาธารณะ (PKI)

แม้ว่าข้อมูลดังกล่าวจะมีประโยชน์ แต่ก็มีข้อมูลมากมายเกี่ยวกับอาชญากรรมทางไซเบอร์ของกลุ่มนี้ แต่ก็ไม่ได้ตอบว่าทำไมสมาชิกของกลุ่มแรนซัมแวร์จึงไม่ถูกจับกุม หรืออย่างน้อยที่สุด ปฏิบัติการของพวกเขาก็หยุดชะงัก

แฮกเกอร์เริ่มก้าวร้าวมากขึ้นด้วยการคุกคามความรุนแรง

เช่นเดียวกับสิ่งต่างๆ ส่วนใหญ่ที่อยู่ระหว่างทางระหว่างบริษัทในอเมริกากับการบังคับใช้กฎหมาย รายละเอียดหลายอย่างยังคงได้รับการคุ้มครองอย่างเป็นความลับ อย่างไรก็ตามผลกระทบจากการที่กลุ่มวิ่งอาละวาดผ่านเครือข่ายบริษัทมหาชนเช่น MGM Resorts เป็นที่รู้จักกันดี

“UNC3944 เป็นหนึ่งในผู้แสดงภัยคุกคามที่แพร่หลายและรุนแรงที่สุดซึ่งส่งผลกระทบต่อองค์กรต่างๆ ในสหรัฐอเมริกาในปัจจุบัน” Charles Carmakal, Mandiant Consulting CTO ของ Google Cloud กล่าว “พวกมันก่อกวนอย่างไม่น่าเชื่อ”

และดูเหมือนว่ากลุ่มนี้จะก่ออาชญากรรมในโลกไซเบอร์โดยไม่ต้องรับโทษตลอดเวลา แม้กระทั่งแยกออกเป็นภัยคุกคามความรุนแรงทางกายภาพ นักวิจัยของ Microsoft อธิบายไว้ในการวิเคราะห์กลุ่มที่พวกเขาเรียกว่า พายุออคโตที่ใช้ความกลัวต่อความปลอดภัยส่วนบุคคลเพื่อกดดันให้เหยื่อจ่ายเงิน

“ในบางกรณีที่เกิดขึ้นไม่บ่อยนัก Octo Tempest หันไปใช้กลยุทธ์การแพร่กระจายความหวาดกลัว โดยกำหนดเป้าหมายไปที่บุคคลที่เฉพาะเจาะจงผ่านทางโทรศัพท์และข้อความ” ทีม Incident Response and Threat Intelligence ของ Microsoft กล่าวในรายงาน “นักแสดงเหล่านี้ใช้ข้อมูลส่วนบุคคล เช่น ที่อยู่บ้านและชื่อครอบครัว ควบคู่ไปกับการคุกคามทางกายภาพเพื่อบังคับให้เหยื่อแบ่งปันข้อมูลรับรองสำหรับการเข้าถึงองค์กร”

ข้อมูลมากมายบนแมงมุมที่กระจัดกระจาย

รายละเอียดมากมายที่นักวิเคราะห์เผยแพร่เกี่ยวกับกลุ่มนี้ทำให้เวียนหัว Scattered Spider ได้รับการแจ้งครั้งแรกในปี 2022 เมื่อมันจะใช้ประโยชน์จากชุดฟิชชิ่ง Oktapus เพื่อขโมยข้อมูลประจำตัว กลุ่มได้สำเร็จ อยู่ในการแลกเปลี่ยนซิม แต่ดูเหมือนว่าจะก้าวกระโดดในช่วงกลางปี ​​2023 เมื่อกลายเป็นบริษัทในเครือของผู้ให้บริการแรนซัมแวร์ในฐานะผู้ให้บริการ แมวดำ, หรือที่รู้จักในชื่อ Alphv

ด้วยการเพิ่มพูนทักษะอย่างต่อเนื่อง ในที่สุดสมาชิกของกลุ่มก็ได้เพิ่มมุมวิศวกรรมสังคมใหม่ที่ชาญฉลาด: การเรียกเข้าไปที่ Help Desk เพื่อรีเซ็ตข้อมูลรับรอง และเข้าควบคุมบัญชีที่ได้รับการตรวจสอบแล้วเป็นฐานเริ่มต้นในสภาพแวดล้อมเป้าหมาย นั่นคือกลอุบายที่ทีมงาน Scattered Spider เคยทำในท้ายที่สุด ประนีประนอมเอ็มจีเอ็มรีสอร์ท และการดำเนินงานในลาสเวกัสสตริปที่เดินโซเซเป็นเวลานานกว่าหนึ่งสัปดาห์ทำให้ขาดทุนหลายร้อยล้านดอลลาร์สำหรับ MGM Resorts เพียงอย่างเดียว กลุ่ม ฝ่าฝืนซีซาร์ไปพร้อมกัน และเจรจาเรื่องค่าไถ่จำนวน 15 ล้านดอลลาร์อย่างรวดเร็ว

Carmakal ของ Mandiant กล่าวว่ากลุ่มควรได้รับการตรวจสอบอย่างละเอียดมากขึ้นหลังจากเหตุการณ์ทั้งสองเกิดขึ้น: “พวกเขาได้รับความสนใจอย่างมากเมื่อเร็ว ๆ นี้เนื่องจากเป้าหมายล่าสุดของพวกเขาคือองค์กรการต้อนรับและความบันเทิง”

การบังคับใช้กฎหมายต่อสู้กับอาชญากรรมทางไซเบอร์

หน่วยงานรัฐบาลกลางไม่ได้เปิดเผยรายละเอียดใดๆ เกี่ยวกับการสอบสวน Scattered Spider แต่คนในวงการความปลอดภัยทางไซเบอร์สงสัยว่าหน่วยงานบังคับใช้กฎหมายแบบดั้งเดิม เช่น FBI กำลังเผชิญกับความยากลำบากในการปรับตัวตามการไล่ล่าอาชญากรไซเบอร์

“หน่วยงานบังคับใช้กฎหมายคุ้นเคยกับคณะทำงานที่มีโครงสร้างและองค์กรมากกว่า และกำลังดิ้นรนกับการกลับมาของผู้แสดงภัยคุกคามที่วุ่นวายและมีความสัมพันธ์หลวมๆ มากขึ้น” Casey Ellis ผู้ก่อตั้ง Bugcrowd กล่าว

ในความเป็นจริง การที่ FBI ไม่สามารถขัดขวางกลุ่มแฮ็กเช่น Scattered Spider อาจเป็นปัญหาได้ในระยะเวลาหนึ่ง ตามที่ Callie Guenther ผู้จัดการอาวุโสของ Critical Start กล่าว

“การต่อสู้ของ FBI เพื่อควบคุมกลุ่มนี้ยังเน้นย้ำถึงความท้าทายในวงกว้างที่หน่วยงานบังคับใช้กฎหมายต้องเผชิญในยุคดิจิทัล” Guenther กล่าว “กรณีของ 'Scattered Spider' บ่งบอกถึงยุคใหม่ของภัยคุกคามทางไซเบอร์ที่กลุ่มอาชญากรใช้กลยุทธ์เชิงรุก รวมถึงการคุกคามด้วยความรุนแรงทางกายภาพ กลยุทธ์ทางอาญาที่เพิ่มมากขึ้นนี้จำเป็นต้องได้รับการตอบสนองที่แข็งแกร่งและสร้างสรรค์ไม่แพ้กันจากผู้เชี่ยวชาญด้านกฎหมายและความปลอดภัยทางไซเบอร์”

สำหรับตอนนี้ ดูเหมือนว่ามันขึ้นอยู่กับทีมองค์กรแต่ละทีมที่จะหยุด Scattered Spider ไม่ให้รบกวนเครือข่ายของพวกเขา ในระหว่างนี้ ชุมชนความปลอดภัยทางไซเบอร์จะยังคงรวบรวมรายละเอียดเกี่ยวกับการหาประโยชน์และรอการจับกุม

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/threat-intelligence/scattered-spider-casino-hackers-evade-arrest-plain-sight