Το FBI (Federal Bureau of Investigation) και η Υπηρεσία Κυβερνοασφάλειας και Υποδομών, κυκλοφόρησαν μια ειδοποίηση σχετικά με τον απειλητικό παράγοντα που ανιχνεύεται ως Scattered Spider, μία ομοσπονδιακή συνεργατική συμμορία χάκερ, που συνεργάζεται πλέον με την ρώσικη ομάδα ransomware ALPHV/BlackCat.

Δείτε επίσης: Οι μισές από τις ομάδες ransomware που εντοπίστηκαν σε επιθέσεις το 2023 είναι καινούριες

Η Scattered Spider, επίσης γνωστή ως 0ktapus, Starfraud, UNC3944, Scatter Swine, Octo Tempest και Muddled Libra, είναι εξοικειωμένη με το social engineering και βασίζεται σε ψεύτικα μηνύματα (phishing), επιθέσεις MFA bombing και ανταλλαγή SIM για να αποκτήσει αρχική πρόσβαση σε μεγάλες οργανώσεις. Η ομάδα αποτελείται από ικανούς ομιλητές της αγγλικής γλώσσας, συμπεριλαμβανομένων ατόμων μόλις 16 ετών. Διαθέτουν ποικίλες δεξιότητες και συμμετέχουν ενεργά σε πολλά φόρουμ χάκερ και κανάλια στο Telegram. Πιστεύεται ότι μερικά από τα μέλη είναι επίσης μέρος της “Comm” – μιας κοινότητας που εμπλέκεται σε βίαιες πράξεις και κυβερνοεπιθέσεις και έχει κερδίσει ευρεία προσοχή από τα μέσα ενημέρωσης τον τελευταίο καιρό.

Αντίθετα με τη γενική γνώμη ότι αποτελεί μια συμπαγή συμμορία, πρόκειται στην πραγματικότητα για ένα δίκτυο ατόμων, με διάφορους δράστες να συμμετέχουν σε κάθε επίθεση. Αυτή η ευέλικτη δομή είναι αυτή που καθιστά δύσκολο τον εντοπισμό τους. Ωστόσο, σύμφωνα με δημοσιογράφους του Reuters, το FBI γνωρίζει την ταυτότητα τουλάχιστον 12 μελών της ομάδας, αλλά κανείς από αυτούς δεν έχει ακόμα κατηγορηθεί ή συλληφθεί.

Από το περασμένο καλοκαίρι τεκμηριώνονται επιθέσεις από την Scattered Spider, όταν ερευνητές της εταιρείας κυβερνοασφάλειας Group-IB δημοσίευσαν έκθεση για μια σειρά επιθέσεων με στόχο την κλοπή αναγνωριστικών ταυτότητας του Okta και κωδικών 2FA, που ξεκίνησαν τον Μάρτιο του ίδιου έτους.

Η προειδοποίηση του FBI και της CISA αναδεικνύει τις ισχυρές τακτικές αρχικής πρόσβασης της Scattered Spider που περιλαμβάνουν την επίθεση στους υπαλλήλους μιας εταιρείας προσποιούμενοι ότι είναι το τμήμα IT ή υποστήριξης και εξαπατώντας τους να παράσχουν διαπιστευτήρια ή ακόμα και άμεση πρόσβαση στο δίκτυο.

Δείτε ακόμα: Δημόσια Βιβλιοθήκη του Τορόντο: Η πρόσφατη ransomware επίθεση οδήγησε σε παραβίαση δεδομένων

Οι ατομικές τακτικές περιλαμβάνουν τηλεφωνικές κλήσεις, απάτες μέσω SMS, απάτες μέσω ηλεκτρονικού ταχυδρομείου, επιθέσεις MFA fatigue και SIM swapping. Τα domains που χρησιμοποιούνται για τις απάτες μέσω ηλεκτρονικού ταχυδρομείου και SMS εκμεταλλεύονται τα brands του Okta και του Zoho ServiceDesk σε συνδυασμό με το όνομα του στόχου για να φαίνονται νόμιμα.

Αφού εδραιώσει την παρουσία της στο δίκτυο, η Scattered Spider χρησιμοποιεί μια σειρά από διαθέσιμα δημόσια εργαλεία λογισμικού για την αναγνώριση και την πλευρική κίνηση, συμπεριλαμβανομένων:

  • Fleetdeck.io: Επιτήρηση και διαχείριση απομακρυσμένων συστημάτων
  • Level.io: Παρακολούθηση και διαχείριση συστημάτων από απόσταση
  • Mimikatz: Εξαγωγή διαπιστευτηρίων
  • Ngrok: Απομακρυσμένη πρόσβαση σε διακομιστή ιστού μέσω τούνελ διαδικτύου.
  • Pulseway: Απομακρυσμένη παρακολούθηση και διαχείριση συστήματος.
  • Screenconnect: Διαχείριση απομακρυσμένης σύνδεσης συσκευών δικτύου.
  • Splashtop: Διαχείριση απομακρυσμένης σύνδεσης δικτύου.
  • Tactical.RMM: Απομακρυσμένη παρακολούθηση και διαχείριση συστήματος.
  • Tailscale: Ένα VPN για ασφαλείς δικτυακές επικοινωνίες.
  • Teamviewer: Διαχείριση απομακρυσμένης σύνδεσης δικτυακών συσκευών

Εκτός από τα παραπάνω νόμιμα εργαλεία που χρησιμοποιούνται για κακόβουλους σκοπούς, η Scattered Spider πραγματοποιεί επίσης επιθέσεις phishing για να εγκαταστήσει κακόβουλο λογισμικό όπως το WarZone RAT, το Raccoon Stealer και το Vidar Stealer, προκειμένου να κλέψει διαπιστευτήρια σύνδεσης, cookies και άλλα δεδομένα που είναι χρήσιμα για την επίθεση από τα διαβρωμένα συστήματα.

Δείτε επίσης: BlackCat ransomware: Η συμμορία κατήγγειλε θύμα που δεν αποκάλυψε την παραβίαση

Οι οργανισμοί μπορούν να εφαρμόσουν διάφορα μέτρα για να προστατευτούν από την Scattered Spider hacker collective. Ένα από τα βασικά μέτρα είναι η ενίσχυση της ασφάλειας του δικτύου τους. Αυτό μπορεί να γίνει μέσω της εγκατάστασης και συντήρησης ενημερωμένων προγραμμάτων προστασίας, όπως τα firewall και οι ανιχνευτές εισβολής. Επίσης, η ασφάλεια του δικτύου μπορεί να ενισχυθεί με την απαγόρευση της πρόσβασης σε ευαίσθητες πληροφορίες από μη εξουσιοδοτημένους χρήστες και την εφαρμογή αυστηρών πολιτικών πρόσβασης.

Ένα άλλο σημαντικό μέτρο είναι η εκπαίδευση των εργαζομένων σε θέματα κυβερνοασφάλειας. Οι οργανισμοί πρέπει να εκπαιδεύουν το προσωπικό τους για την αναγνώριση και αντιμετώπιση των φαινομένων phishing, κακόβουλων email και άλλων μορφών social engineering. Επιπλέον, οι εργαζόμενοι πρέπει να είναι ενημερωμένοι για τις βασικές αρχές της κυβερνοασφάλειας και τις προτεινόμενες πρακτικές που πρέπει να ακολουθούν.

Επιπλέον, η τακτική αναβάθμιση και ενημέρωση των λογισμικών και των λειτουργικών συστημάτων είναι ζωτικής σημασίας για την προστασία από τον Scattered Spider hacker collective. Οι οργανισμοί πρέπει να διατηρούν όλα τα προγράμματα και τα συστήματά τους ενημερωμένα με τις τελευταίες εκδόσεις και patches ασφαλείας. Αυτό μειώνει τον κίνδυνο εκμετάλλευσης γνωστών ευπαθειών από τους επιτιθέμενους.

Τέλος, η τακτική δημιουργία αντιγράφων ασφαλείας των δεδομένων είναι απαραίτητη για την προστασία από τh Scattered Spider hacker collective. Οι οργανισμοί πρέπει να διατηρούν αντίγραφα των δεδομένων τους σε ασφαλείς τοποθεσίες, προκειμένου να μπορούν να ανακτήσουν τα δεδομένα τους σε περίπτωση που πέσουν θύματα επιθέσεων ή κακόβουλου λογισμικού.

Πηγή: bleepingcomputer