Wetshandhavingsautoriteiten hebben naar verluidt een belangrijk lid van de beruchte cybercriminaliteitsgroep Scattered Spider gearresteerd.
De persoon, een 22-jarige man uit het Verenigd Koninkrijk, werd deze week gearresteerd in de Spaanse stad Palma de Mallorca toen hij probeerde aan boord te gaan van een vlucht naar Italië. De maatregel zou een gezamenlijke inspanning zijn van het Amerikaanse Federal Bureau of Investigation (FBI) en de Spaanse politie.
Het nieuws over de arrestatie werd voor het eerst gemeld door Murcia Today op 14 juni 2024, waarbij vx-underground vervolgens onthulde dat de aangehouden partij “geassocieerd is met verschillende andere spraakmakende ransomware-aanvallen uitgevoerd door Scattered Spider.”
De malware-onderzoeksgroep zei verder dat het individu een SIM-swapper was die opereerde onder de alias 'Tyler'. Sim-swapping-aanvallen werken door de telecomaanbieder te bellen om het telefoonnummer van een doelwit over te dragen naar een simkaart die zij beheren, met als doel hun berichten te onderscheppen, inclusief eenmalige wachtwoorden (OTP's), en de controle over hun online accounts over te nemen.
Volgens veiligheidsjournalist Brian Krebs wordt aangenomen dat Tyler een 22-jarige uit Schotland is genaamd Tyler Buchanan, die de naam “tylerb” draagt op Telegram-kanalen die verband houden met sim-swapping.
Tyler is het tweede lid van de Scattered Spider-groep dat wordt gearresteerd, na Noah Michael Urban, die eerder deze februari door het Amerikaanse ministerie van Justitie werd aangeklaagd wegens fraude en ernstige identiteitsdiefstal wegens overtredingen.
Scattered Spider, dat ook overlapt met activiteiten onder de namen 0ktapus, Octo Tempest en UNC3944, is een financieel gemotiveerde dreigingsgroep die berucht is vanwege het orkestreren van geavanceerde social engineering-aanvallen om initiële toegang tot organisaties te krijgen. Leden van de groep worden ervan verdacht deel uit te maken van een grotere cybercriminele bende genaamd The Com.
Aanvankelijk richtte de groep zich op het verzamelen van inloggegevens en het wisselen van simkaarten, maar sindsdien heeft de groep hun vakgebied aangepast om zich te concentreren op ransomware en afpersing van gegevensdiefstal, voordat ze overschakelt op encryptieloze afpersingsaanvallen die erop gericht zijn gegevens te stelen uit software-as-a-service (SaaS)-applicaties.
“Er zijn ook aanwijzingen dat UNC3944 af en toe zijn toevlucht heeft genomen tot angstzaaiende tactieken om toegang te krijgen tot de inloggegevens van slachtoffers”, aldus Mandiant, eigendom van Google. “Deze tactieken omvatten het dreigen met het doxxen van persoonlijke informatie, fysieke schade aan slachtoffers en hun families, en de verspreiding van compromitterend materiaal.”
Mandiant vertelde The Hacker News dat de activiteit geassocieerd met UNC3944 enige gelijkenis vertoont met een ander cluster dat door Palo Alto Networks Unit 42 wordt gevolgd als Muddled Libra, waarvan ook is waargenomen dat het zich richt op SaaS-applicaties om gevoelige gegevens te exfiltreren. Het benadrukte echter dat ze “niet als 'hetzelfde' mogen worden beschouwd.”
De namen 0ktapus en Muddled Libra komen van het gebruik door de bedreigingsacteur van een phishing-kit die is ontworpen om de inloggegevens van Okta te stelen en die sindsdien door verschillende andere hackgroepen is gebruikt.
“UNC3944 heeft ook gebruik gemaakt van technieken voor misbruik van Okta-machtigingen door zelf een gecompromitteerd account toe te wijzen aan elke applicatie in een Okta-instantie om de reikwijdte van inbraak buiten de lokale infrastructuur uit te breiden naar cloud- en SaaS-applicaties”, aldus Mandiant.
“Met deze escalatie van bevoegdheden kon de bedreigingsacteur niet alleen misbruik maken van applicaties die Okta gebruiken voor single sign-on (SSO), maar ook interne verkenningen uitvoeren via het Okta-webportaal door visueel te observeren welke applicatietegels beschikbaar waren na deze roltoewijzingen .”
Aanvalsketens worden gekenmerkt door het gebruik van legitieme cloudsynchronisatiehulpprogramma's zoals Airbyte en Fivetran om de gegevens te exporteren naar door de aanvaller gecontroleerde cloudopslagbuckets, naast het nemen van stappen om uitgebreide verkenningen uit te voeren, persistentie op te zetten door de creatie van nieuwe virtuele machines en de verdediging te schaden. .
Bovendien is waargenomen dat Scattered Spider gebruik maakt van endpoint detectie en respons (EDR) -oplossingen om opdrachten zoals whoami en quser uit te voeren om de toegang tot de omgeving te testen.
“UNC3944 bleef toegang krijgen tot Azure, CyberArk, Salesforce en Workday en voerde binnen elk van deze applicaties verdere verkenningen uit”, aldus het bedrijf voor bedreigingsinformatie. “Specifiek voor CyberArk heeft Mandiant het downloaden en gebruiken van de PowerShell-module psPAS geobserveerd, specifiek om programmatisch te communiceren met de CyberArk-instantie van een organisatie.”
Het aanvallen van de CyberArk Privileged Access Security (PAS)-oplossing is ook een patroon dat wordt waargenomen bij RansomHub-ransomwareaanvallen, waardoor de mogelijkheid ontstaat dat ten minste één lid van Scattered Spider een partner is geworden voor de opkomende ransomware-as-a-service (RaaS)-werking, volgens GuidePoint Security.
De evolutie van de tactieken van de dreigingsactor valt verder samen met zijn actieve targeting op de financiële en verzekeringssector, waarbij gebruik wordt gemaakt van overtuigende lookalike-domeinen en inlogpagina's voor diefstal van inloggegevens.
De FBI vertelde vorige maand aan Reuters dat zij de basis legt voor het aanklagen van hackers van de groep die sinds de opkomst ervan in mei 2022 in verband is gebracht met aanvallen op meer dan 100 organisaties.
