Правоохранительные органы предположительно арестовали ключевого члена печально известной киберпреступной группировки под названием Scattered Spider.
Этот человек, 22-летний мужчина из Соединенного Королевства, был арестован на этой неделе в испанском городе Пальма-де-Майорка при попытке сесть на рейс в Италию. Сообщается, что этот шаг является результатом совместных усилий Федерального бюро расследований США (ФБР) и испанской полиции.
Новость об аресте была впервые опубликована газетой Murcia Today 14 июня 2024 года, а впоследствии раскрыла, что задержанный участник "связан с несколькими другими громкими атаками программ-вымогателей, совершенными Scattered Spider".
Группа по исследованию вредоносных программ также заявила, что этот человек подменял SIM-карты и действовал под псевдонимом "Тайлер". Атаки с заменой SIM-карт работают путем звонков оператору связи для передачи номера телефона цели на SIM-карту, находящуюся под их контролем, с целью перехвата их сообщений, включая одноразовые пароли (OTP), и получения контроля над их онлайн-аккаунтами.
По словам журналиста по безопасности Брайана Кребса, предположительно Тайлером является 22-летний парень из Шотландии по имени Тайлер Бьюкенен, который известен под именем "тайлерб" в каналах Telegram, связанных с заменой SIM-карт.
Тайлер - второй член группы Spattered Spider, арестованный после Ноа Майкла Урбана, которому Министерство юстиции США ранее в феврале этого года предъявило обвинения в мошенничестве с использованием электронных средств и краже личных данных при отягчающих обстоятельствах.
Scattered Spider, которая также совпадает с отслеживаемой активностью под псевдонимами 0ktapus, Octo Tempest и UNC3944, является финансово мотивированной террористической группой, печально известной организацией сложных атак социальной инженерии с целью получения первоначального доступа к организациям. Члены группы подозреваются в том, что они являются частью более крупной банды киберпреступников под названием Com.
Изначально группа занималась сбором учетных данных и заменой SIM-карт, с тех пор она адаптировала свою деятельность, сосредоточившись на программах-вымогателях и краже данных, прежде чем перейти к атакам с вымогательством без шифрования, целью которых является кража данных из приложений типа "программное обеспечение как услуга" (SaaS).
"Факты также свидетельствуют о том, что UNC3944 иногда прибегал к тактике нагнетания страха, чтобы получить доступ к учетным данным жертвы", - сказал Мандиант, принадлежащий Google. "Эта тактика включает угрозы разглашения личной информации, нанесения физического вреда жертвам и их семьям, а также распространение компрометирующих материалов".
Мандиант сообщил The Hacker News, что активность, связанная с UNC3944, имеет некоторое сходство с другим кластером, отслеживаемым подразделением Palo Alto Networks 42 под названием Muddled Libra, который также был замечен нацеленным на SaaS-приложения для извлечения конфиденциальных данных. В нем, однако, подчеркивается, что их "не следует считать "одинаковыми"".
Имена 0ktapus и Muddled Libra появились из-за использования злоумышленником фишингового набора, который предназначен для кражи учетных данных Okta для входа и с тех пор использовался несколькими другими хакерскими группами.
"UNC3944 также использовал методы злоупотребления разрешениями Okta путем самостоятельного присвоения скомпрометированной учетной записи каждому приложению в экземпляре Okta, чтобы расширить сферу вторжения за пределы локальной инфраструктуры до облачных и SaaS-приложений", - отметил Мандиант.
"При таком повышении привилегий субъект угрозы мог не только злоупотреблять приложениями, использующими Okta для единого входа (SSO), но и проводить внутреннюю разведку с помощью веб-портала Okta, визуально наблюдая, какие фрагменты приложений были доступны после этих назначений ролей".
Цепочки атак характеризуются использованием законных утилит облачной синхронизации, таких как Airbyte и Fivetran, для экспорта данных в контролируемые злоумышленником области облачных хранилищ, наряду с принятием мер по проведению обширной разведки, настройке персистентности путем создания новых виртуальных машин и ослаблению защиты.
Кроме того, было замечено, что Scattered Spider использует решения для обнаружения конечных точек и реагирования (EDR) для запуска таких команд, как whoami и quser, с целью проверки доступа к среде.
"UNC3944 продолжал получать доступ к Azure, CyberArk, Salesforce и Workday и в каждом из этих приложений проводил дальнейшую разведку", - говорится в сообщении компании по анализу угроз. "Специально для CyberArk Mandiant наблюдал за загрузкой и использованием модуля PowerShell psPAS специально для программного взаимодействия с экземпляром CyberArk организации".
Нацеливание на решение CyberArk для обеспечения безопасности привилегированного доступа (PAS) также наблюдалось при атаках программ-вымогателей RansomHub, что повышает вероятность того, что по крайней мере один участник Scattered Spider мог стать партнером зарождающейся операции ransomware-as-a-service (RaaS), согласно GuidePoint Security.
Эволюция тактики злоумышленника также совпадает с его активным нацеливанием на финансовую и страховую отрасли, использующую убедительные домены-двойники и страницы входа для кражи учетных данных.
В прошлом месяце ФБР сообщило агентству Reuters, что оно закладывает основу для предъявления обвинений хакерам из группы, которая была связана с атаками на более чем 100 организаций с момента ее появления в мае 2022 года.
