Mandiant Consulting di Google Cloud ha recentemente rilevato una diminuzione delle attività del famigerato gruppo Scattered Spider. Tuttavia, è fondamentale che le organizzazioni sfruttino questa pausa per rafforzare le loro difese. Dopo gli arresti recenti nel Regno Unito legati ai presunti membri di Scattered Spider (UNC3944), Mandiant Consulting non ha osservato nuove intrusioni direttamente attribuibili a questo specifico attore di minacce, come ha dichiarato Charles Carmakal, CTO di Mandiant Consulting, a The Hacker News.
Questa situazione rappresenta un’opportunità critica che le organizzazioni devono cogliere per studiare a fondo le tattiche utilizzate da UNC3944, valutare i loro sistemi e rafforzare di conseguenza la loro postura di sicurezza. Carmakal ha anche avvertito le aziende di non abbassare completamente la guardia, poiché altri attori di minacce come UNC6040 stanno impiegando tattiche di ingegneria sociale simili a quelle di Scattered Spider per violare le reti target.
Il gigante tecnologico ha dettagliato l’aggressivo targeting del gruppo di hacker motivato finanziariamente verso gli hypervisor VMware ESXi in attacchi rivolti ai settori del retail, delle compagnie aeree e dei trasporti in Nord America. Il governo degli Stati Uniti, insieme a Canada e Australia, ha rilasciato un avviso aggiornato che delinea le tecniche aggiornate di Scattered Spider ottenute nell’ambito delle indagini condotte dal Federal Bureau of Investigation (FBI) fino a questo mese.
Gli attori di minacce Scattered Spider sono noti per l’uso di vari varianti di ransomware in attacchi di estorsione di dati, tra cui recentemente il DragonForce ransomware. Questi attori utilizzano frequentemente tecniche di ingegneria sociale come il phishing, il push bombing e gli attacchi di swap della scheda di identità del sottoscrittore per ottenere credenziali, installare strumenti di accesso remoto e bypassare l’autenticazione a più fattori. Gli attori di minacce Scattered Spider utilizzano costantemente reti proxy [T1090] e ruotano i nomi delle macchine per ostacolare ulteriormente il rilevamento e la risposta.
Il gruppo è stato anche osservato mentre si spacciava per dipendenti per persuadere il personale IT e/o dell’help desk a fornire informazioni sensibili, reimpostare la password del dipendente e trasferire l’autenticazione a più fattori (MFA) del dipendente a un dispositivo sotto il loro controllo. Questo segna un cambiamento rispetto agli attori di minacce che si spacciavano per personale dell’help desk in chiamate telefoniche o messaggi SMS per ottenere credenziali dei dipendenti o istruirli a eseguire strumenti di accesso remoto commerciale che consentono l’accesso iniziale. In altri casi, gli hacker hanno acquisito credenziali di dipendenti o appaltatori su mercati illeciti come il Russia Market.
Inoltre, i governi hanno evidenziato l’uso da parte di Scattered Spider di strumenti malware facilmente disponibili come Ave Maria (noto anche come Warzone RAT), Raccoon Stealer, Vidar Stealer e Ratty RAT per facilitare l’accesso remoto e raccogliere informazioni sensibili, nonché il servizio di archiviazione cloud Mega per l’esfiltrazione dei dati.
considerazioni finali
Dal nostro punto di vista, la pausa nelle attività di Scattered Spider offre un’opportunità preziosa per le organizzazioni di rafforzare le loro difese e prepararsi per future minacce. È essenziale non abbassare la guardia, poiché altri gruppi di hacker potrebbero sfruttare tecniche simili per compromettere le reti. Investire in formazione sulla sicurezza e aggiornare le misure di protezione può fare la differenza nel prevenire attacchi futuri. Riteniamo che la collaborazione tra governi e aziende sia cruciale per affrontare efficacemente queste minacce in continua evoluzione.
Fonte: The Hackers News
