Hotunderrättelseanalytiker, incidentresponsers och federala brottsbekämpande myndigheter verkar alla veta allt om hotgruppen med en rad moniker - The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud och Octo Tempest, bland andra. Så varför attackerar gruppen (som låg bakom MGM Resorts och Caesars Entertainment-hacken) fortfarande framgångsrikt amerikanska organisationer ostraffat, utan några störningar hittills?
Den här veckan bekräftade rapporter att federala brottsbekämpande myndigheter är väl medvetna om identiteten på cyberbrottsgruppen, som består av engelska som modersmål, men att de inte har kunnat göra några arresteringar. Faktum är att källor bekräftade för Reuters att brottsbekämpande myndigheter har känt till identiteten på den Spridd spindel hackningskollektiv i mer än sex månader.
Cybersäkerhetshotsjägare som CrowdStrikes president Michael Sentonas slog en bestämt förbryllad ton och noterade att det faktum att ransomware-gruppen fortfarande är i drift och orsakar "kaos" är ett "misslyckande för "lagsbekämpning".
FBI:s råd om spridd spindel
FBI erbjöd visst svar: Den 16 november släppte FBI och CISA en rådgivande om Scattered Spider, tillhandahåller indikatorer på kompromisser (IoCs) och ytterligare detaljer för att beväpna företagssäkerhetsteam med detaljer för att försvara sina nätverk.
"FBI och CISA rekommenderar organisationer att implementera begränsningarna nedan för att förbättra din organisations cybersäkerhetsställning baserat på hotaktörsaktiviteten och för att minska risken för kompromisser från Scattered Spider-hotaktörer", sa rådgivningen. Den inkluderade en lista med rekommendationer, inklusive programkontroller, granskning av verktyg för fjärråtkomst och implementering av FIDO/WebAuthn-autentisering eller PKI-baserad multifaktorautentisering (MFA).
Även om det är användbart, om det finns så mycket information om gruppens cyberbrott, så svarar det inte på varför medlemmar i ransomware-gruppen inte bara har arresterats, eller åtminstone har deras verksamhet störts, noterar vissa.
Hackare blir mer aggressiva med hot om våld
Som de flesta saker som sitter i skärningspunkten mellan företagens Amerika och brottsbekämpning, förblir många av detaljerna skyddade i hemlighet. Men effekterna av att gruppen löper frodas genom offentliga företagsnätverk som MGM Resorts är välkända.
"UNC3944 är en av de mest utbredda och aggressiva hotaktörerna som påverkar organisationer i USA idag", säger Charles Carmakal, Mandiant Consulting CTO på Google Cloud. "De är otroligt störande."
Och gruppen verkar begå cyberbrott ostraffat hela tiden, till och med förgrena sig till hot om fysiskt våld. Microsofts forskare förklarade i sin analys av gruppen, som de kallar Octo Tempest, att den använder rädsla för personlig säkerhet för att pressa offer att betala.
"I sällsynta fall tar Octo Tempest till rädslaframkallande taktik och riktar sig mot specifika individer genom telefonsamtal och sms," sa Microsofts Incident Response och Threat Intelligence-team i sin rapport. "Dessa aktörer använder personlig information, såsom hemadresser och efternamn, tillsammans med fysiska hot för att tvinga offren att dela referenser för företagsåtkomst."
Berg av data om spridd spindel
Den stora mängden detaljer som publiceras av analytiker om gruppen är svindlande. Scattered Spider flaggades första gången 2022 när det skulle utnyttja Oktapus phishing-kit för att stjäla referenser. Gruppen framgångsrikt samlade in SIM-byten men tycks ha tagit steget i mitten av 2023, när det blev ett dotterbolag till ransomware-as-a-service provider Svart katt, aka Alphv.
Gruppens medlemmar ökade stadigt sina kunskaper och lade så småningom till en smart ny social ingenjörskonst: att ringa in helpdesk för att återställa referenser och ta över verifierade konton som ett första fotfäste i målmiljöer. Det är spelet som Scattered Spider-teamet till slut brukade kompromissa med MGM Resorts och hångla verksamheten i Las Vegas Strip i mer än en vecka, med förluster på hundratals miljoner dollar enbart för MGM Resorts. Gruppen samtidigt brutit mot Caesars och förhandlade snabbt fram en lösensumma på 15 miljoner dollar.
Mandiant's Carmakal säger att gruppen borde se mer granskning i kölvattnet av dessa två incidenter: "De har nyligen fått mycket uppmärksamhet på grund av deras senaste inriktning på gästfrihets- och underhållningsorganisationer."
Brottsbekämpande brottsbekämpande brottslingar
Federala myndigheter delar inte med sig av några detaljer om utredningen av Scattered Spider, men insiders inom cybersäkerhetsindustrin misstänker att traditionella brottsbekämpande enheter som FBI har svårt att anpassa sig till att jaga cyberbrottslingar.
"Bordsbekämpande myndigheter är mer vana vid arbetsgrupper med mer struktur och organisation och kämpar med återkomsten av mer kaotiska och löst kopplade hotaktörer", säger Bugcrowds grundare Casey Ellis.
Faktum är att FBI:s oförmåga att störa hackningsgrupper som Scattered Spider kan vara ett problem för en tid framöver, enligt Callie Guenther, senior manager på Critical Start.
"FBI:s kamp för att begränsa denna grupp belyser också de bredare utmaningar som brottsbekämpande myndigheter står inför i den digitala tidsåldern", säger Guenther. "Fallet med "Scattered Spider" är ett tecken på en ny era av cyberhot där kriminella grupper använder aggressiv taktik, inklusive hot om fysiskt våld. Denna upptrappning av kriminella strategier kräver ett lika robust och innovativt svar från brottsbekämpande experter och cybersäkerhetsexperter."
För tillfället verkar det vara upp till individuella företagsteam att stoppa Scattered Spider från att traska deras nätverk. Under tiden kommer cybersäkerhetsgemenskapen att fortsätta att samla in detaljer om sina bedrifter och vänta på arresteringar.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/threat-intelligence/scattered-spider-casino-hackers-evade-arrest-plain-sight
- : har
- :är
- :inte
- :var
- $UPP
- 16
- 2022
- a
- Able
- Om oss
- tillgång
- Enligt
- konton
- aktivitet
- aktörer
- anpassning
- lagt till
- Annat
- adresser
- rådgivande
- Dotterbolag
- ålder
- aggressiv
- aka
- lika
- Alla
- ensam
- längs
- också
- amerika
- bland
- an
- analys
- analytiker
- och
- svara
- vilken som helst
- visas
- Ansökan
- ÄR
- ARM
- array
- arrestera
- arresterad
- anhållanden
- AS
- At
- Anfall
- uppmärksamhet
- revision
- Autentisering
- Myndigheter
- medveten
- tillbaka
- baserat
- BE
- blev
- därför att
- varit
- bakom
- nedan
- bredare
- men
- by
- Caesars
- Ring
- anropande
- Samtal
- Vid
- casey
- Kasino
- orsakar
- utmaningar
- CISA
- cloud
- samla
- Kollektiv
- COM
- komma
- begå
- samfundet
- företag
- kompromiss
- BEKRÄFTAT
- rådgivning
- innehålla
- fortsätta
- kontroller
- Företag
- kunde
- kopplad
- referenser
- besättning
- Kriminell
- kritisk
- CTO
- cyber
- cyberbrottslighet
- nätbrottslingar
- Cybersäkerhet
- datum
- Datum
- Skrivbord
- detaljer
- DID
- digital
- digital ålder
- Störa
- störningar
- störande
- svindlande
- doesn
- dollar
- effekter
- tillämpning
- Teknik
- Engelska
- Företag
- företagets säkerhet
- Underhållning
- enheter
- miljöer
- lika
- Era
- eskalering
- Eter (ETH)
- undgå
- Även
- så småningom
- experter
- förklarade
- bedrifter
- inför
- Faktum
- Misslyckande
- familj
- FBI
- rädsla
- Federal
- Federal lag
- FBI
- Förnamn
- flaggad
- fotfäste
- För
- grundare
- från
- vunnits
- Gambit
- få
- Google Cloud
- Grupp
- Gruppens
- hackare
- hacking
- hacka
- Hård
- Har
- hamn
- har
- hjälpa
- hjälp
- höjdpunkter
- Träffa
- Hem
- gästfrihet
- Men
- HTTPS
- Hundratals
- hundratals miljoner
- identiteter
- if
- slag
- genomföra
- genomföra
- förbättra
- in
- Oförmågan
- incident
- incidentrespons
- incidenter
- ingår
- Inklusive
- oerhört
- indikativ
- indikatorer
- individuellt
- individer
- industrin
- informationen
- Infrastruktur
- inledande
- innovativa
- instanser
- Intelligens
- skärning
- in
- Undersökningen
- fråga
- IT
- DESS
- jpg
- Nyckel
- utrustning
- Vet
- känd
- LAS
- Las Vegas
- Lag
- brottsbekämpning
- t minst
- Hävstång
- Vågen
- tycka om
- Lista
- förluster
- Lot
- gjord
- göra
- chef
- många
- under tiden
- Medlemmar
- UD
- Michael
- Microsoft
- miljon
- miljoner
- månader
- mer
- mest
- mycket
- multifaktor-autentisering
- namn
- nativ
- förhandlade
- nätverk
- Nya
- Nej
- Notera
- notera
- november
- nu
- of
- erbjudanden
- on
- ONE
- drift
- operativa
- Verksamhet
- or
- organisation
- organisationer
- Övrigt
- ut
- över
- betalar
- betalning
- personlig
- Personlig information
- Nätfiske
- telefon
- telefonsamtal
- fysisk
- PKI
- Enkel
- plato
- Platon Data Intelligence
- PlatonData
- VD
- tryck
- förhärskande
- skyddad
- leverantör
- tillhandahålla
- allmän
- Public Key
- publicerade
- snabbt
- rampning
- Ransom
- Ransomware
- SÄLLSYNT
- senaste
- nyligen
- rekommenderar
- rekommendationer
- minska
- frigörs
- förblir
- avlägsen
- fjärråtkomst
- rapport
- Rapport
- Kräver
- forskare
- Resorts
- respons
- avkastning
- Reuters
- Risk
- robusta
- rinnande
- s
- Säkerhet
- Nämnda
- säger
- spridda
- granskning
- säkerhet
- se
- verka
- verkar
- senior
- delning
- skall
- Syn
- SIM
- helt enkelt
- Sittande
- SEX
- Sex månader
- färdigheter
- So
- Social hållbarhet
- Samhällsteknik
- några
- Källor
- högtalare
- specifik
- starta
- Stater
- Fortfarande
- Sluta
- strategier
- steg
- Strip
- struktur
- Kamp
- Kämpar
- Framgångsrikt
- sådana
- T
- taktik
- Ta
- Målet
- targeting
- lag
- än
- den där
- Smakämnen
- deras
- Där.
- Dessa
- de
- saker
- detta
- de
- hot
- hotaktörer
- hot intelligence
- hot
- Genom
- tid
- till
- i dag
- TON
- verktyg
- traditionell
- två
- Ytterst
- United
- USA
- us
- användning
- Begagnade
- användningar
- VEGAS
- verifierade
- verifierade konton
- mycket
- offer
- våld
- volym
- vänta
- Vakna
- var
- vecka
- VÄL
- när
- som
- varför
- kommer
- med
- arbetssätt
- Arbetsgrupper
- skulle
- ännu
- Din
- zephyrnet
