Федеральное бюро расследований и Агентство по кибербезопасности и безопасности инфраструктуры раскрыли новые подробности о киберпреступной группе Scattered Spider и ее сотрудничестве с печально известной операцией по вымогательству ALPHV/BlackCat в опубликованном в пятницу сообщении.
По словам «пикающего компьютера» отчетScattered Spider, отслеживаемый под несколькими псевдонимами, включая 0ktapus, Starfraud и Octo Tempest, несет ответственность за некоторые из самых громких атак программ-вымогателей за последние годы. Подвижный коллектив англоговорящих хакеров в возрасте 16 лет применил хитрую тактику социальной инженерии, чтобы взломать сети таких компаний, как MailChimp, Reddit и Twilio.
Теперь ФБР сообщает, что избранные члены Scattered Spider объединили свои усилия с ALPHV/BlackCat, российским картелем-вымогателем, стоящим за крупными атаками на нефтяного гиганта Shell и правительство Коста-Рики. Этот альянс позволяет участникам Scattered Spider шифровать и блокировать системы с помощью BlackCat, а затем вымогать у жертв выкуп.
Эксперты говорят, что рыхлая децентрализованная структура Scattered Spider затрудняет отслеживание группы. ФБР знает личности как минимум 12 человек, но еще не привлекло к ответственности ни одного из членов. Некоторые из них, как полагают, также являются частью «The Comm», сети хакеров, причастных к недавним насильственным преступлениям.
Тактика доступа Scattered Spider использует уязвимости человека. Под видом ИТ-специалистов они обманом заставляют сотрудников передавать учетные данные с помощью фишинговых SMS-сообщений, телефонных звонков и поддельных доменных имен, выдающих себя за корпоративные услуги. Оказавшись внутри, они тайно устанавливают вредоносное ПО RAT и инструменты мониторинга, чтобы украсть данные и узнать о мерах по реагированию на инциденты в Slack или по электронной почте. Это позволяет Scattered Spider уклоняться от обнаружения, создавать фейковые аккаунты, перемещаться в стороны и определять, как жертвы пытаются их выгнать.
В сообщении предупреждается, что они проявляют интерес к исходному коду, сертификатам и хранилищам учетных данных.
Эксперты призывают усилить MFA, безопасность электронной почты, сегментацию сети и внести исправления против методов MITRE, перечисленных ФБР. Они также советуют реализовать надежные планы восстановления данных и автономное резервное копирование, чтобы обеспечить восстановление после атаки.
Раскрытие внутренней работы Scattered Spider проливает свет на человеческую инфраструктуру, стоящую за сложными сетями киберпреступников, осуществляющими атаки с использованием программ-вымогателей. Это также иллюстрирует развивающуюся среду киберугроз, в которой субъекты угроз имеют общие возможности для максимизации прибыли от вымогательства.
фото Pixabay.
