.
Scattered Spider, a equipe por trás de pelo menos uma das recentes violações de segurança de TI em cassinos de Las Vegas, já atingiu cerca de 100 organizações durante seu breve mandato no cenário do crime cibernético, de acordo com a Mandiant.
Além disso, como também testemunhado no interrupção contínua da rede MGM Resortsa gangue, conhecida por seus ataques baseados em engenharia social, agora também está lançando ransomware para roubo de dados nas vítimas.
Em seu análise esta semana sobre a evolução das táticas do Scattered Spider, Mandiant diz que a “expansão nas estratégias de monetização do grupo” começou em meados de 2023. Esse artigo deve ser útil para os defensores de TI: detalha mitigações, conselhos e indicadores de comprometimento a serem observados.
A empresa de inteligência contra ameaças de propriedade do Google rastreia Scattered Spider como UNC3944. Seus comentários sobre a gangue criminosa são significativos porque a Mandiant é uma das principais equipes de resposta a incidentes chamada para limpar a bagunça feita por esses intrusos de alto perfil.
“Estas mudanças nos seus objetivos finais sinalizam que as indústrias visadas pela UNC3944 continuarão a expandir-se”, diz a análise. “A Mandiant já observou diretamente que seu direcionamento se estendeu além das empresas terceirizadas de processos de negócios e telecomunicações (BPO), para uma ampla gama de setores, incluindo hotelaria, varejo, mídia e entretenimento, e serviços financeiros.”
Scattered Spider, que existe há cerca de dois anos, é uma empresa com sede nos EUA e no Reino Unido Gangue tipo Lapsus$ especializada em phishing por SMS e engenharia social baseada em telefone, usada para roubar credenciais de login pertencentes a funcionários de organizações visadas ou, de outra forma, infiltrar-se nas redes de TI de seus alvos sem permissão.
Em uma das primeiras grandes campanhas de phishing do grupo em 2022, apelidada Oktapoos criminosos inicialmente perseguiram funcionários de clientes da Okta, visando até 135 organizações – TI, desenvolvimento de software e provedores de serviços em nuvem com sede nos EUA.
Primeiro, o Scattered Spider enviou mensagens de texto aos funcionários com links maliciosos para sites que falsificavam a página de autenticação da empresa. Isso permitiu que a gangue roubasse cerca de 9.931 credenciais de usuário e 5.441 códigos de autenticação multifator, fomos informados.
No mês passado, a tripulação teve como alvo mais clientes Oktadesta vez ligando para os balcões de atendimento de TI das vítimas para enganar os funcionários de suporte para que alterem as senhas e/ou obtenham ou redefinam códigos de autenticação multifatorial (MFA) para funcionários com privilégios elevados, permitindo que os malfeitores obtenham acesso a esses contas valiosas das pessoas.
Foi phishing
A Mandiant disse que identificou três kits de phishing diferentes usados pelo Scattered Spider. Um deles, chamado “Eightbait”, que foi amplamente usado entre o final de 2021 e meados de 2022, pode enviar credenciais coletadas para um canal Telegram controlado pelo invasor e implantar a ferramenta de desktop remoto AnyDesk no sistema da vítima.
Então, a partir do terceiro trimestre de 2022, a Mandiant disse que o Scattered Spider começou a usar um novo kit que construiu usando cópias raspadas da página de autenticação das empresas-alvo. “Notavelmente, este kit foi usado em algumas das invasões recentes que levaram a tentativas de extorsão”, disse a equipe de inteligência sobre ameaças.
Finalmente, em meados de 2023, surgiu um terceiro kit de phishing que a Mandiant diz que a tripulação usa em paralelo com a segunda iteração. Ambos são semelhantes, mas “pequenas alterações no código do kit sugerem que o tema usado pelo segundo kit provavelmente foi adaptado em uma nova ferramenta”, segundo Mandiant.
Depois que a gangue invade, o Scatter Spider usa software legítimo do dia a dia para explorar e monitorar a rede e passa muito tempo procurando qualquer coisa que ajude a aumentar os privilégios e manter a persistência nos ambientes de TI de suas vítimas. A Mandiant detalhou dois exemplos em seu artigo:
A equipe também tentou extrair credenciais armazenadas em repositórios privados do GitHub usando ferramentas disponíveis publicamente, como Trufflehog e GitGuardian, e em pelo menos um caso usou a ferramenta de teste de penetração de código aberto do Azure, MicroBurst, para roubar credenciais de um locatário do Azure. .
O Scattered Spider também usou infostealers como Ultraknot e outros mineradores de dados, incluindo Vidar e Atomoic, para roubar credenciais, fomos informados.
Mudando para ransomware
No início deste ano, a equipe começou a implantar ransomware nos ambientes das vítimas, sinalizando uma mudança nos ataques de extorsão. Scattered Spider supostamente usou essa tática recentemente Intrusão do MGM Resorts. A gangue alegou ter criptografado mais de 100 hipervisores ESXi naquele ataque e, de acordo com a Mandiant, a tripulação é afiliada da ALPHV.
ALPHVtambém conhecido como BlackCat, é uma operação de ransomware como serviço (RaaS) que aluga seu malware para outros criminosos como o Scattered Spider.
“ALPHV opera como um RaaS e observamos UNC3944 implantar este ransomware”, disse a equipe de inteligência sobre ameaças da Mandiant. Strong The One. “Nessas parcerias, os operadores do ransomware normalmente fornecem versões para suas afiliadas distribuirem junto com outros serviços de suporte relacionados, como infraestrutura que permite fácil gerenciamento de vítimas e suporte à extorsão (por exemplo, DDoS).”
E, segundo nos disseram, é improvável que a gangue de phishing que virou ransomware pare por aí. Como observou a Mandiant em seu blog: “Prevemos que as invasões relacionadas ao UNC3944 continuarão a envolver diversas ferramentas, técnicas e táticas de monetização à medida que os atores identificam novos parceiros e alternam entre diferentes comunidades”. ®
.
