Büyük saldırıların sorumluluğunu üstlenen tehdit aktörleri grubu MGM Tatil Köyleri, Sezar Eğlencesi Ve Clorox sosyal mühendislik uzmanlarından oluşuyor ve federal siber yetkililer daha fazla kurbanın öne çıkmasını teşvik ediyor.
Federal siber yetkililer, bazı saldırılarında AlphV fidye yazılımını kullanan Scattered Spider’ın, uzaktan erişim sağlamak veya çok faktörlü kimlik doğrulamayı atlatmak için birden fazla teknik ve araç kullandığı konusunda uyardı. Perşembe tavsiyesi.
FBI ile Siber Güvenlik ve Altyapı Güvenliği Ajansı, kuruluşların saldırıları engellemesine ve hafifletmesine yardımcı olmak için bu ay gibi yakın bir tarihte yapılan araştırmalardan elde edilen teknik ayrıntıları ve verileri paylaştı. Ancak yetkililer, raporlama eksikliğinin kolluk kuvvetlerinin harekete geçme kabiliyetini engellemesi nedeniyle daha fazla bilgiye ihtiyaç duyulduğunu söylüyor.
Ajans yetkilileri, Scattered Spider’ın yüksek düzeydeki faaliyetinin, önlemenin önemini ve daha fazla kurban organizasyonun siber saldırıları CISA veya FBI’a bildirmesi gerektiğinin altını çizdiğini söyledi.
Üst düzey bir FBI yetkilisi Perşembe günü bir medya brifinginde, “Bu izinsiz girişlerle ilgili ayrıntılı, zamanında ve doğru bilgi almazsak, bunlar hakkında harekete geçemeyiz” dedi. “Ne kadar çok veri gelirse, bu bağlantıları o kadar iyi kurabilir ve bu aktörlere karşı eylemler yürütebiliriz.”
Siber güvenlik uzmanlarına göre, Scattered Spider’ın arkasındaki suçluları yakalamak için daha fazla bilgi gerekiyor; böylece kolluk kuvvetleri sonuçta yayından kaldırmaya, aksamaya veya tutuklamalara yol açacak bir hatayı tespit edebilir.
Recorded Future’ın tehdit istihbaratı analisti Allan Liska, bu saldırıların karmaşık olduğunu ve bu durumun devlet kurumlarının bile adli kanıt toplamasını zorlaştırdığını söyledi.
Liska, “Dağınık Örümcek çok yetenekli ama en yetenekli oyuncular bile hata yapıyor” dedi. “Devlet kurumları olaylardan ne kadar çok veri toplayabilirse, bu hataları bulma ve Scattered Spider üyelerini tutuklama olasılıkları da o kadar artar.”
Sosyal ve teknik becerilerin birleşimi
FBI, yakın zamanda Scattered Spider tehdit aktörlerinin sızma sonrasında dosyaları şifrelediğini gözlemlediğini söyledi. Grup genellikle, Okta veya BT hizmet masaları gibi tek oturum açma hizmetleri için meşru portallar gibi görünecek şekilde tasarlanmış kurbanlara özel alan adları içeren geniş kimlik avı kampanyaları kullanan büyük şirketlerin ağlarına izinsiz giriyor.
Tehdit grubu, kurban kuruluş içindeki en değerli kullanıcıların kimlik bilgilerini belirledikten ve SIM takaslarını gerçekleştirdikten sonra, BT yardım masası personelini, kullanıcıların tek oturum açma hesaplarını ele geçirmek için parolaları veya MFA belirteçlerini sıfırlamaya ikna eder.
Chester Wisniewski’ye göre, CISA ve FBI’ın ortak tavsiyesi, şimdiye kadar fidye yazılımı operasyonuna ilişkin taktik, teknik ve prosedürlerin (TTP) ve risk göstergelerinin (IOC) yer aldığı daha derin ve kapsamlı listelerden birini içeriyor. Sophos’ta saha CTO’su.
Wisniewski, grubun ısrarla mağdurları hedef almak için kullandıkları araç ve kombinasyonların sayısıyla öne çıktığını söyledi.
“Dağınık Örümcek’e baktığımda çıkardığım ders şu: Dağınık Örümcek beni hedef alırsa ağıma girecek mi? Muhtemelen,” dedi Wisniewski. “İsrarcıdırlar, azimlidirler ve yaklaşımlarında oldukça yaratıcıdırlar. Sosyal ve teknik becerilerin birleşimini kullanıyorlar.”
Microsoft Threat Intelligence geçen ay Octo Tempest olarak tanımladığı grubu şu şekilde tanımlamıştı:en tehlikeli mali suç gruplarından biri“şu anda faaliyette.
Dağınık Örümcek tehdit aktörleri, federal siber yetkililer tarafından gözlemlenen veya federal siber yetkililere bildirilen saldırılarda tespit edilmekten kaçınmak için en az 10 meşru araç, üç kötü amaçlı yazılım çeşidi ve 42 taktik ve teknik kullanarak arazide yaşama tekniklerini kullandı.
Kıdemli bir FBI yetkilisi, Scattered Spider’ın son birkaç hafta içinde MFA aracılığıyla bir kurbanın ağına erişim sağladığını, ancak örgütün günlükler aracılığıyla kötü niyetli faaliyetleri hızlı bir şekilde tespit ettiğini ve tehdit aktörünü başarılı bir şekilde ağdan attığını söyledi.
Tehdit aktörleri operasyonel bir hata yaptığında çoğu zaman yetkililer siber suç vakalarında ara verir.
Wisniewski, “Ne zaman bir grup insan, bu adamların insanların ağlarında olduğu gibi kaba bir şekilde hareket ederse, hata yapacaklardır” dedi.
FBI, Scattered Spider’ın faaliyetleri, bağlantıları veya ilgili kişilerin nerede olduğuna ilişkin devam eden soruşturmayla ilgili ayrıntıları paylaşmayı reddetti.
Üst düzey bir FBI yetkilisi, “Eylemlerin alındığını görmemeniz, tedbirlerin alınmadığı anlamına gelmez” dedi. “Bunları ele almak bizim açımızdan önemli bir çaba ve buna önemli kaynaklar ayırıyoruz.”