Grupa młodych cyberprzestępców stanowi obecnie „największe zagrożenie” w postaci cyberataków
Puste półki w sklepach spożywczych i uziemione samoloty zwykle sygnalizują kryzys, czy to ekstremalne zjawisko pogodowe , kryzys zdrowia publicznego czy geopolityczny stan wyjątkowy . Jednak te sceny chaosu w ostatnich tygodniach w Wielkiej Brytanii, Stanach Zjednoczonych i Kanadzie były spowodowane cyberatakami motywowanymi finansowo — najwyraźniej dokonanymi przez grupę nastolatków jeżdżących na gapę.
Znana grupa cyberprzestępców, często nazywana Scattered Spider, jest znana z wykorzystywania technik socjotechnicznych do infiltracji firm docelowych poprzez oszukiwanie pracowników pomocy technicznej IT, aby udzielili im dostępu do systemu. Badacze twierdzą, że grupa wydaje się zdobywać wiedzę specjalistyczną na temat systemów zaplecza powszechnie używanych przez firmy w danej branży, a następnie wykorzystuje tę wiedzę do atakowania klastra celów, zanim przejdzie do innego sektora. Grupa często wdraża oprogramowanie ransomware lub przeprowadza ataki wymuszające dane po naruszeniu swoich ofiar.
W obliczu rosnącej presji ze strony organów ścigania w zeszłym roku, która zakończyła się postawieniem zarzutów i aresztowaniem pięciu podejrzanych rzekomo powiązanych ze Scattered Spider, badacze twierdzą, że grupa była mniej aktywna w 2024 r. i wydawała się próbować się ukryć. Jednak nasilenie ataków grupy w ostatnich tygodniach pokazało, że Scattered Spider, daleki od porażki, jest ponownie ośmielony.
„W Scattered Spider jest kilku wyjątkowo utalentowanych aktorów, jeśli chodzi o inżynierię społeczną, którzy zidentyfikowali poważną lukę w naszych systemach bezpieczeństwa, którą skutecznie wykorzystują” — mówi John Hultquist, główny analityk w grupie ds. wywiadu zagrożeń Google. „Ta grupa przeprowadza poważne ataki na naszą krytyczną infrastrukturę i mam nadzieję, że nie przegapimy okazji, aby zająć się najbardziej bezpośrednim zagrożeniem”.
Chociaż wiele incydentów nie zostało publicznie przypisanych, przytłaczająca seria ostatnich ataków na brytyjskie sieci sklepów spożywczych, północnoamerykańskich ubezpieczycieli i międzynarodowe linie lotnicze została szeroko powiązana ze Scattered Spider. W maju brytyjska Narodowa Agencja ds. Przestępczości potwierdziła , że bada Scattered Spider w związku z atakami na brytyjskich sprzedawców detalicznych. A FBI ostrzegło w alercie w piątek, że zaobserwowało „grupę cyberprzestępczą Scattered Spider rozszerzającą swoje cele o sektor lotniczy”. Ostrzeżenie pojawiło się, gdy północnoamerykańskie linie lotnicze Westjet i Hawaii Airlines poinformowały, że padły ofiarą cyberprzestępczych ataków. W środę australijska linia lotnicza Qantas również poinformowała, że padła ofiarą cyberataku, chociaż nie było od razu jasne, czy atak ten był częścią kampanii grupy.
„Zwolnili i widzieliśmy, jak na jakiś czas zanikają w 2024 roku” — mówi Adam Meyers, starszy wiceprezes ds. operacji przeciwdziałania wrogom w firmie ochroniarskiej CrowdStrike. „Następnie w ciągu ostatnich kilku miesięcy odżyli z impetem, najpierw uderzając w handel detaliczny, a następnie w firmy ubezpieczeniowe, a ostatnio w linie lotnicze”.
Scattered Spider po raz pierwszy pojawił się jako znana grupa pod koniec 2023 roku, gdy jej członkowie przeszli z ataków polegających na zamianie kart SIM na przeprowadzanie paraliżujących ataków ransomware na Caesar's Entertainment i MGM Resorts . Ten ostatni kosztował MGM około 100 milionów dolarów, aby się z niego wydostać . Badacze podkreślają, że kolektyw jest zmotywowany finansowo, składa się głównie z nastolatków i młodych mężczyzn mówiących po angielsku, którzy często mieszkają w USA lub Wielkiej Brytanii. Hakerzy Scattered Spider są uważani za odłam Com , amorficznej sieci potencjalnie tysięcy trolli i przestępców, z których wielu zajmuje się nękaniem, wymuszeniami i wykorzystywaniem dzieci.
Członkowie Scattered Spider coraz częściej jednoczą się wokół taktyki wykorzystania ukierunkowanej inżynierii społecznej w celu uzyskania przyczółka w sieciach firmowych. Atakujący mogą podszywać się pod pracownika, który ma zablokowane firmowe konto e-mail i kontaktować się z działem pomocy technicznej firmy w celu uzyskania dostępu, przed zresetowaniem poświadczeń uwierzytelniania wieloskładnikowego . Badacze twierdzą, że grupa stosowała również taktykę tworzenia przekonujących witryn phishingowych, w których adresy URL często zawierają nazwę docelowej organizacji wraz ze słowami takimi jak „okta”, „vpn” lub „helpdesk”. Po wejściu do sieci hakerzy wdrażają różne rodzaje oprogramowania ransomware lub kradną dane, które są wykorzystywane do wymuszania od firm.
Meyers mówi, że Crowdstrike uważa, że Scattered Spider ma około czterech głównych członków, którzy kierują atakami na potencjalne ofiary i „wykorzystują” zasoby z szerszego ekosystemu Com w razie potrzeby. Dokładna struktura i wielkość Scattered Spider nie są jasne, ale badacze zgadzają się, że grupa polega na szeregu usług stron trzecich w celu przeprowadzania ataków.
„Odstraszanie jest niezwykle trudne, ponieważ w zasadzie walczymy z rynkiem, na którym wielu aktorów można zastąpić” — mówi Hultquist z Google. „Na przykład Scattered Spider współpracował z wieloma usługami ransomware, więc jeśli jedna z nich upadnie, zawsze znajdzie się ktoś, kto ją zastąpi”.
Aiden Sinnott, starszy badacz zagrożeń w firmie Sophos zajmującej się cyberbezpieczeństwem, Counter Threat Unit, mówi, że Scattered Spider i Com, szerzej rzecz biorąc, są połączone poprzez relacje i społeczności na serwerach Discord lub grupach Telegram. „To taki rodzaj ewoluującej grupy, do której być może dołączają nowi, młodsi aktorzy zagrożeń” — mówi Sinnott. „Można zaobserwować naturalną eskalację postępu, gdy uczą się umiejętności od siebie nawzajem, a także bardzo lubią dzielić się swoimi zwycięstwami”.
Niektórzy członkowie Scattered Spider mogą atakować duże firmy, podczas gdy inni są zaangażowani w mniej znaną działalność. „Istnieją grupy lub osoby, które naprawdę skupiają się na hakowaniu kont Coinbase i kradzieży kryptowalut i tym podobnych rzeczy” — mówi Sinnott. „Więc nie skupiają się nawet na tych dużych organizacjach korporacyjnych”.
Jak twierdzi Hultquist, „ta działalność jest niezwykle odporna, ponieważ zamiast walczyć z pojedynczym podmiotem, tak naprawdę walczymy z rynkiem”.
wired
