Според високопоставен служител на Бюрото ФБР използва „значителни“ ресурси, за да открие членовете на скандалната група за киберпрестъпления Scattered Spider, която преди няколко месеца атакува няколко известни казина и продължава да е активна.
Смята се, че бандата, която представлява слабо сплотена група от тийнейджъри и мъже в началото на 20-те години, базирана в САЩ и Обединеното кралство, е отговорна за проникванията в мрежите на Caesars Entertainment и MGM Resorts.
Scattered Spider, подобно на други онлайн изнудвачи, прониква в ИТ средите на жертвите, ексфилтрира възможно най-много ценни данни и след това изисква заплащане, за да запази тази информация под похлупак и да не я изнася или продава.
MGM Resorts, която отказва да плати искания от бандата откуп, претърпява дни на прекъсване на работата на системата и нарушаване на операциите в резултат на проникването, което струва на корпорацията около 100 млн. долара. Съобщава се, че Caesars са платили около 15 млн. долара и изглежда не са претърпели същото ниво на престой като другия гигант в казино сектора.
По данни на Mandiant към септември 2023 г. Scattered Spider е проникнал в поне 100 други организации.
Въпреки че ФБР не уточнява колко организации са попаднали в мрежата на Scattered Spider, висш служител на ФБР заяви пред репортери по време на брифинг в четвъртък, че агенцията полага „значителни усилия от наша страна, за да се справи с тях, и ние влагаме значителни ресурси срещу него“.
„Призоваваме организациите да споделят всякаква информация, с която може да разполагат за Scattered Spider, като например комуникация с актьорски групи или доброкачествени образци на криптирани файлове, и да съобщават за кибератаки“, заяви високопоставен служител на Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) по време на разговора с репортерите. „Това дава възможност на CISA и ФБР да оценят проникването, за да идентифицират техниките и да споделят анонимни подробности в широк мащаб, за да помогнат на други организации да се защитят от тази заплаха.“
Също в четвъртък ФБР и CISA издадоха съвместна консултация в отговор на престъпната дейност на екипажа от паякообразни, наблюдавана още този месец.
В консултацията се описват подробно тактиките за социално инженерство, които Scattered Spider използва, за да получи първоначален достъп до мрежите на компаниите. Те включват представянето за ИТ или помощен персонал чрез телефонни обаждания или текстови съобщения, за да се получат данни за вход от служителите или да се подмамят служителите да стартират инструменти, които предоставят на злосторниците отдалечен достъп до корпоративни компютри.
Също така, под прикритието на ИТ служители, екипът е убеждавал служителите да възстановят многофакторната си автентификация и е извършвал многократни измами с размяна на SIM карти, които убеждават клетъчните мрежи да прехвърлят телефонния номер на мишената към SIM карта, контролирана от Scattered Spider. След като бандата контролира този номер, тя може да получи достъп до поканите за MFA и по-лесно да компрометира акаунтите на жертвите.
След като бандата получи достъп до мрежата, престъпниците използват легитимни инструменти, за да намерят и ексфилтрират чувствителна информация. След това образци от откраднатите данни се предлагат на жертвата като доказателство за кражбата с намерението да се изнудят за седемцифрени суми, за да се спре разпространението на откраднатите файлове. По-рано тази година екипът започва да внедрява зловреден софтуер за изнудване в средите на жертвите и на този етап е възможно да е филиал на операцията ALPHV/BlackCat ransomware-as-a-service.
Докладването на жертвите е изключително важно
„И единственият начин, по който сме в състояние да разпространим тази информация, е когато я получим от жертвите“, каза висшият служител на ФБР. „Съобщаването от страна на жертвите е от критично значение за способността ни да предприемаме правоприлагащи действия срещу такива участници.“
Както консултацията, така и брифингът за пресата идват в момент, когато ФБР е подложено на критики, че не действа достатъчно бързо за арестуването на престъпниците, въпреки че много от тях са базирани в САЩ и самоличността им е потенциално известна на правоприлагащите органи, според доклад на Ройтерс.
Служителят на ФБР отказва да коментира текущото разследване на членовете на бандата Scattered Spider.
„Само защото не виждате, че се предприемат действия, не означава, че няма действия, които се предприемат“, каза служителят, цитирайки неотдавнашните сваляния срещу бандата за изнудване Hive, Genesis Market, BreachForums и Qakbot.
„Има много неща, които правим зад кулисите“, каза служителят. ®
