Tin tặc sòng bạc Scattered Spider trốn tránh bị bắt ngay từ tầm nhìn rõ ràng

Các nhà phân tích tình báo về mối đe dọa, những người ứng phó sự cố và cơ quan thực thi pháp luật liên bang dường như đều biết tất cả về nhóm đe dọa với nhiều biệt danh - The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud và Octo Tempest, cùng với những nhóm khác. Vậy tại sao nhóm ( đứng đằng sau vụ hack MGM Resorts và Caesars Entertainment ) vẫn tấn công thành công các tổ chức của Hoa Kỳ mà không bị trừng phạt, cho đến nay không bị gián đoạn?

Tuần này, các báo cáo xác nhận rằng cơ quan thực thi pháp luật liên bang đã biết rõ danh tính của nhóm tội phạm mạng, bao gồm những người nói tiếng Anh bản địa, nhưng vẫn chưa thể thực hiện bất kỳ vụ bắt giữ nào. Trên thực tế, các nguồn tin xác nhận với Reuters rằng cơ quan thực thi pháp luật đã biết danh tính của nhện rải rác hack tập thể trong hơn sáu tháng.

Những thợ săn mối đe dọa an ninh mạng như chủ tịch CrowdStrike, Michael Sentonas, đã đưa ra một giọng điệu hoàn toàn bối rối, lưu ý rằng việc nhóm ransomware vẫn hoạt động và gây ra “sự tàn phá” là một “thất bại của việc thực thi pháp luật”.

Lời khuyên của FBI về Nhện rải rác

Liên bang đã đưa ra một số phản hồi: Vào ngày 16 tháng XNUMX, FBI và CISA đã công bố một báo cáo tư vấn về Nhện rải rác, cung cấp các chỉ báo về sự xâm phạm (IoC) và các thông tin chi tiết bổ sung để trang bị cho các nhóm bảo mật doanh nghiệp các thông tin chi tiết để bảo vệ mạng của họ.

“FBI và CISA khuyến nghị các tổ chức triển khai các biện pháp giảm thiểu dưới đây để cải thiện tình trạng an ninh mạng của tổ chức dựa trên hoạt động của tác nhân đe dọa và để giảm nguy cơ bị xâm phạm bởi các tác nhân đe dọa Scattered Spider,” tư vấn cho biết. Nó bao gồm một danh sách các đề xuất, bao gồm kiểm soát ứng dụng, kiểm tra công cụ truy cập từ xa và triển khai xác thực FIDO/WebAuthn hoặc xác thực đa yếu tố dựa trên cơ sở hạ tầng khóa công khai (PKI).

Mặc dù hữu ích nhưng nếu có quá nhiều thông tin về tội phạm mạng của nhóm, nó không giải đáp được tại sao các thành viên của nhóm ransomware không bị bắt, hoặc ít nhất, hoạt động của họ bị gián đoạn, một số lưu ý.

Tin tặc ngày càng hung hãn hơn với những lời đe dọa bạo lực

Giống như hầu hết mọi thứ nằm ở giao điểm giữa công ty Mỹ và cơ quan thực thi pháp luật, nhiều chi tiết vẫn được bảo vệ bí mật. Tuy nhiên, ảnh hưởng của nhóm này lan tràn khắp các mạng lưới công ty đại chúng như Khu nghỉ dưỡng MGM được nhiều người biết đến.

Charles Carmakal, CTO của Mandiant Consulting tại Google Cloud, cho biết: “UNC3944 là một trong những kẻ đe dọa phổ biến và hung hãn nhất tác động đến các tổ chức ở Hoa Kỳ hiện nay”. “Họ cực kỳ gây rối.”

Và nhóm này dường như liên tục phạm tội mạng mà không bị trừng phạt, thậm chí còn chuyển sang đe dọa bạo lực thể xác. Các nhà nghiên cứu của Microsoft đã giải thích trong phân tích của họ về nhóm mà họ gọi là Bão tháng mười, rằng nó sử dụng nỗi sợ hãi về sự an toàn cá nhân để gây áp lực buộc nạn nhân phải trả tiền.

Nhóm Thông tin về mối đe dọa và Ứng phó sự cố của Microsoft cho biết: “Trong một số trường hợp hiếm hoi, Octo Tempest sử dụng các chiến thuật gây sợ hãi, nhắm mục tiêu vào các cá nhân cụ thể thông qua các cuộc gọi điện thoại và tin nhắn”. “Những kẻ này sử dụng thông tin cá nhân, chẳng hạn như địa chỉ nhà và tên gia đình, cùng với các mối đe dọa vật lý để ép buộc nạn nhân chia sẻ thông tin đăng nhập để truy cập vào công ty.”

Núi dữ liệu về nhện phân tán

Khối lượng thông tin chi tiết được các nhà phân tích công bố về nhóm này thật đáng kinh ngạc. Scattered Spider lần đầu tiên được gắn cờ vào năm 2022 khi nó tận dụng bộ công cụ lừa đảo Oktapus để đánh cắp thông tin đăng nhập. Nhóm thành công đắm chìm trong việc hoán đổi SIM nhưng dường như nó đã đạt được bước tiến vào giữa năm 2023, khi nó trở thành một chi nhánh của nhà cung cấp dịch vụ ransomware Mèo đen, hay còn gọi là Alphv.

Dần dần nâng cao kỹ năng của mình, các thành viên của nhóm cuối cùng đã bổ sung thêm một khía cạnh kỹ thuật xã hội mới thông minh: gọi đến bộ phận trợ giúp để đặt lại thông tin xác thực và tiếp quản các tài khoản đã được xác minh làm chỗ đứng ban đầu cho môi trường mục tiêu. Đó chính là nước cờ mà nhóm Scattered Spider cuối cùng đã sử dụng. thỏa hiệp MGM Resorts và làm cản trở hoạt động của Dải Las Vegas trong hơn một tuần, gây ra tổn thất hàng trăm triệu đô la cho riêng MGM Resorts. Nhóm đồng thời xâm phạm Caesars và nhanh chóng thương lượng khoản tiền chuộc 15 triệu USD.

Carmakal của Mandiant nói rằng nhóm nên xem xét kỹ lưỡng hơn sau hai sự cố đó: “Gần đây, họ đã thu hút được nhiều sự chú ý vì gần đây họ nhắm mục tiêu vào các tổ chức khách sạn và giải trí”.

Cơ quan thực thi pháp luật vật lộn với tội phạm mạng

Chính quyền liên bang không chia sẻ bất kỳ chi tiết nào về cuộc điều tra về Scattered Spider, nhưng những người trong ngành an ninh mạng nghi ngờ các cơ quan thực thi pháp luật truyền thống như FBI đang gặp khó khăn trong việc thích nghi với việc truy đuổi tội phạm mạng.

Casey Ellis, người sáng lập Bugcrowd, cho biết: “Cơ quan thực thi pháp luật đã quen với các nhóm làm việc có cơ cấu và tổ chức cao hơn, đồng thời đang phải vật lộn với sự trở lại của các tác nhân đe dọa hỗn loạn và lỏng lẻo hơn”.

Trên thực tế, việc FBI không có khả năng phá vỡ các nhóm hack như Scattered Spider có thể là một vấn đề trong thời gian tới, theo Callie Guenther, quản lý cấp cao của Critical Start.

Guenther nói: “Cuộc đấu tranh của FBI nhằm ngăn chặn nhóm này cũng nêu bật những thách thức lớn hơn mà cơ quan thực thi pháp luật phải đối mặt trong thời đại kỹ thuật số”. “Trường hợp 'Nhện phân tán' là dấu hiệu cho thấy một kỷ nguyên mới của các mối đe dọa mạng, nơi các nhóm tội phạm sử dụng các chiến thuật hung hãn, bao gồm cả đe dọa bạo lực thể chất. Sự leo thang trong các chiến lược tội phạm này đòi hỏi phải có phản ứng mạnh mẽ và sáng tạo không kém từ các chuyên gia thực thi pháp luật và an ninh mạng.”

Hiện tại, có vẻ như việc ngăn chặn Scattered Spider làm cản trở mạng của họ là tùy thuộc vào từng nhóm doanh nghiệp. Trong khi đó, cộng đồng an ninh mạng sẽ tiếp tục thu thập thông tin chi tiết về các hoạt động khai thác của chúng và chờ đợi các vụ bắt giữ.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/threat-intelligence/scattered-spider-casino-hackers-evade-arrest-plain-sight