Хакери казино Scattered Spider уникають арешту на очах

Перевидано Платоном

читають: 0

Хакери Scattered Spider Casino уникають арешту на відкритому повітрі PlatoBlockchain Data Intelligence. Вертикальний пошук. Ai.

Аналітики аналізу загроз, спеціалісти з реагування на інциденти та федеральні правоохоронні органи, схоже, знають усе про групу загроз із безліччю псевдонімів — The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud та Octo Tempest тощо. То чому група (яка стояла за хакерськими атаками MGM Resorts і Caesars Entertainment) досі безкарно й без збоїв успішно атакує організації США?

Цього тижня звіти підтвердили, що федеральні правоохоронні органи добре знають особи кіберзлочинної групи, яка складається з носіїв англійської мови, але не змогли здійснити жодного арешту. Насправді джерела підтвердили Reuters, що правоохоронним органам відомі особи Розсіяний павук хакерський колектив більше півроку.

Мисливці за загрозами кібербезпеки, як-от президент CrowdStrike Майкл Сентонас, висловилися спантеличеним тоном, зазначивши, що той факт, що група програм-вимагачів все ще працює та спричиняє «хаос», є «провалом «правоохоронних органів».

Повідомлення ФБР щодо розсіяного павука

Федеральні органи таки запропонували певну відповідь: 16 листопада ФБР і CISA оприлюднили консультація щодо розсіяного павука, надаючи індикатори компрометації (IoC) і додаткові деталі, щоб озброїти команди безпеки підприємства деталями для захисту їхніх мереж.

«ФБР і CISA рекомендують організаціям застосувати наведені нижче засоби пом’якшення, щоб покращити стан кібербезпеки вашої організації на основі активності загрозливих суб’єктів і зменшити ризик компрометації загрозливими суб’єктами Scattered Spider», — йдеться в повідомленні. Він включав список рекомендацій, включаючи елементи керування додатками, інструменти віддаленого доступу для аудиту та впровадження автентифікації FIDO/WebAuthn або багатофакторної автентифікації (MFA) на основі інфраструктури відкритих ключів (PKI).

Хоч і корисно, якщо є стільки інформації про кіберзлочини групи, вона не дає відповіді, чому членів групи програм-вимагачів просто не заарештували або, принаймні, порушили їхню роботу, зауважують деякі.

Хакери стають агресивнішими з погрозами насильства

Як і більшість речей, що знаходяться на перетині корпоративної Америки та правоохоронних органів, багато деталей залишаються в таємниці. Тим не менш, наслідки групи, яка розгулює через мережі публічних компаній, як Курорти MGM добре відомі.

«UNC3944 є одним із найпоширеніших і найагресивніших загроз, що впливають на організації в Сполучених Штатах сьогодні», — говорить Чарльз Кармакал, технічний директор Mandiant Consulting у Google Cloud. «Вони неймовірно руйнівні».

І схоже, що група безкарно скоює кіберзлочини весь час, навіть погрожуючи фізичним насильством. Дослідники Microsoft пояснили у своєму аналізі групу, яку вони називають Жовтнева буря, що він використовує страх за особисту безпеку, щоб змусити жертв заплатити.

«У рідкісних випадках Octo Tempest вдається до тактики нагнітання страху, націлюючись на конкретних осіб за допомогою телефонних дзвінків і текстових повідомлень», — заявили у своєму звіті групи реагування на інциденти та розвідки загроз Microsoft. «Ці актори використовують особисту інформацію, таку як домашні адреси та прізвища, разом із фізичними погрозами, щоб змусити жертв надати облікові дані для корпоративного доступу».

Гори даних про розсіяного павука

Сама кількість подробиць, опублікованих аналітиками про групу, запаморочлива. Scattered Spider вперше було помічено ще в 2022 році, коли він використовував набір для фішингу Oktapus для викрадення облікових даних. Група успішно бавилися в обміні SIM-картами але, здається, досяг успіху в середині 2023 року, коли він став філією постачальника програм-вимагачів як послуг Чорна кішка, він же Alphv.

Постійно нарощуючи свої навички, учасники групи врешті-решт додали новий розумний кут соціальної інженерії: виклик довідкових служб для скидання облікових даних і отримання підтверджених облікових записів як початкової точки опори в цільові середовища. Це той гамбіт, до якого зрештою звикла команда Scattered Spider компроміс MGM Resorts і загальмували діяльність Лас-Вегас-Стрип більше тижня, зазнавши збитків у сотні мільйонів доларів лише для MGM Resorts. Група одночасно порушили цезарів і швидко домовилися про викуп у розмірі 15 мільйонів доларів.

Кармакал із Mandiant каже, що після цих двох інцидентів групі слід приділити більшу увагу: «Останнім часом вони привернули багато уваги через те, що нещодавно націлилися на гостинні та розважальні організації».

Правоохоронні органи борються з кіберзлочинністю

Федеральна влада не надає жодних подробиць розслідування Scattered Spider, але інсайдери галузі кібербезпеки підозрюють, що традиційним правоохоронним органам, таким як ФБР, важко пристосуватися до переслідування кіберзлочинців.

«Правоохоронні органи більше звикли до робочих груп з більшою структурою та організацією, і їм важко повернутися до більш хаотичних і слабко пов’язаних загроз», — каже засновник Bugcrowd Кейсі Елліс.

Насправді, неспроможність ФБР перешкодити хакерським групам, таким як Scattered Spider, може стати проблемою ще деякий час, за словами Каллі Гюнтер, старшого менеджера Critical Start.

«Боротьба ФБР за стримування цієї групи також підкреслює ширші виклики, з якими стикаються правоохоронні органи в епоху цифрових технологій», — каже Гюнтер. «Випадок «Scattered Spider» свідчить про нову еру кіберзагроз, коли злочинні групи використовують агресивні тактики, включаючи погрози фізичного насильства. Ця ескалація кримінальних стратегій вимагає настільки ж рішучої та інноваційної відповіді з боку правоохоронних органів та експертів з кібербезпеки».

Наразі здається, що окремі команди підприємств повинні зупинити Scattered Spider від перешкод у їхніх мережах. Тим часом спільнота кібербезпеки продовжуватиме збирати подробиці про їхні дії та чекати арештів.