Amerikaanse cyberveiligheids- en inlichtingendiensten hebben een gezamenlijk advies uitgebracht over een cybercriminele groep die bekend staat als Verspreide spin waarvan bekend is dat het geavanceerde phishing-tactieken gebruikt om doelen te infiltreren.
“Scattered Spider-bedreigingsactoren houden zich doorgaans bezig met gegevensdiefstal voor afpersing met behulp van meerdere social engineering-technieken en hebben onlangs BlackCat/ALPHV-ransomware naast hun gebruikelijke TTP’s gebruikt”, aldus de agentschappen.
De bedreigingsacteur, ook gevolgd onder de namen Muddled Libra, Octo Tempest, 0ktapus, Scatter Swine, Star Fraud en UNC3944, was vorige maand het onderwerp van een uitgebreid profiel van Microsoft, waarbij de technologiegigant het ‘een van de gevaarlijkste bedreigingen’ noemde. financiële criminele groepen.”
Scattered Spider wordt beschouwd als experts op het gebied van social engineering en staat erom bekend dat hij vertrouwt op phishing, prompt bombing en SIM-swapping-aanvallen om inloggegevens te verkrijgen, tools voor externe toegang te installeren en multi-factor authenticatie (MFA) te omzeilen.
Scattered Spider zou, net als LAPSUS$, deel uitmaken van een groter Gen Z-ecosysteem voor cybercriminaliteit dat zichzelf de Com noemt (afwisselend gespeld als Comm), dat zijn toevlucht heeft genomen tot gewelddadige activiteiten en mepaanvallen.
Uit een rapport van Reuters eerder deze week bleek dat het Amerikaanse Federal Bureau of Investigation (FBI) op de hoogte is van de identiteit van minstens een dozijn leden van de cybercriminaliteitsbende.
Een van de opmerkelijke trucs in het arsenaal is het nabootsen van IT en het helpen van baliepersoneel bij het gebruik van telefoongesprekken of sms-berichten om werknemers te targeten en verhoogde toegang tot de netwerken te verkrijgen.
Succesvolle initiële toegang wordt gevolgd door de inzet van legitieme tunnelingtools voor externe toegang, zoals Fleetdeck.io, Ngrok en Pulseway, evenals trojaanse paarden en stealers voor externe toegang, zoals AveMaria (ook bekend als Warzone RAT), Raccoon Stealer en Vidar Stealer.
Bovendien maakt de Engelssprekende afpersingsploeg gebruik van Living-off-the-land (LotL)-technieken om detectie te omzeilen en door gecompromitteerde netwerken te navigeren met als uiteindelijk doel gevoelige informatie te stelen in ruil voor een betaling.
“De dreigingsactoren nemen regelmatig deel aan herstel- en responsoproepen en teleconferenties bij incidenten, waardoor ze waarschijnlijk kunnen identificeren hoe beveiligingsteams op hen jagen en proactief nieuwe manieren van inbraak ontwikkelen als reactie op de verdediging van slachtoffers”, merkten de agentschappen op.
Sinds medio 2023 treedt Scattered Spider ook op als een dochteronderneming van de BlackCat-ransomwarebende, waarbij geld wordt verdiend met de toegang tot slachtoffers van door afpersing mogelijk gemaakte ransomware en gegevensdiefstal.
De Amerikaanse overheid dringt er bij bedrijven op aan om phishing-bestendige MFA te implementeren, een herstelplan af te dwingen, offline back-ups te onderhouden en applicatiecontroles in te voeren om de uitvoering van ongeautoriseerde software op eindpunten te voorkomen.
