Όταν το Ομοσπονδιακό Γραφείο Ερευνών (FBI) των ΗΠΑ εκδίδει προειδοποίηση για την κυβερνοασφάλεια, αξίζει να τη λάβετε σοβαρά υπόψη και να δράσετε αναλόγως. Είτε πρόκειται για κακόβουλα SMS, επιθέσεις ηλεκτρονικού ψαρέματος με τη βοήθεια τεχνητής νοημοσύνης είτε, όπως αναφέρθηκε πρόσφατα, για την εκρηκτική αύξηση των επιθέσεων ransomware, το διακύβευμα είναι υψηλό όπως αναφέρει ο Davey Winder.
Το ransomware είναι και το επίκεντρο της τελευταίας κρίσιμης προειδοποίησης του FBI. Αυτή τη φορά, αφορά την απειλητική ομάδα Scattered Spider, η οποία έχει γίνει γνωστή μετά την ανάληψη ευθύνης για επιθέσεις σε πολλούς τομείς του λιανεμπορίου – μεταξύ αυτών και στον βρετανικό κολοσσό Marks & Spencer, με τις ζημιές να εκτιμώνται σε τουλάχιστον 600 εκατομμύρια δολάρια.
Σύμφωνα με την προειδοποίηση, η ομάδα στρέφει τώρα την προσοχή της στην αεροπορική βιομηχανία, τόσο άμεσα όσο και μέσω της εφοδιαστικής αλυσίδας.
Το FBI επιβεβαιώνει επιθέσεις της Scattered Spider σε μεταφορές και αεροπορία
Στις 26 Ιουνίου, αναλυτές ransomware της Halcyon προειδοποίησαν ότι υπάρχουν «ενδείξεις πως η Scattered Spider στοχεύει πλέον και στους τομείς Τροφίμων, Βιομηχανίας και Μεταφορών (ιδιαίτερα την Αεροπλοΐα) στις ΗΠΑ». Αυτή η εκτίμηση επιβεβαιώθηκε από το FBI, το οποίο δήλωσε με email:
«Το FBI έχει παρατηρήσει πρόσφατα ότι η εγκληματική κυβερνοομάδα Scattered Spider επεκτείνει τη στόχευσή της για να περιλάβει και τον αεροπορικό τομέα».
Η ανακοίνωση, η οποία αναρτήθηκε και στην πλατφόρμα Χ (πρώην Twitter), συνέχισε επισημαίνοντας ότι η ομάδα χρησιμοποιεί τις ίδιες μεθόδους σε αυτό το νέο κύμα επιθέσεων: τεχνικές κοινωνικής μηχανικής, συχνά υποδυόμενοι υπαλλήλους ή εργολάβους ώστε να ξεγελούν τα help desks πληροφορικής για να τους δώσουν πρόσβαση.
Συγκεκριμένα, η Scattered Spider επιχειρεί να παρακάμψει τη πολλαπλή ταυτοποίηση (γνωστή ως MFA ή 2FA), χρησιμοποιώντας διάφορες τεχνικές για να πείσουν τα help desks να «προσθέσουν μη εξουσιοδοτημένες συσκευές MFA σε λογαριασμούς που έχουν παραβιαστεί».
Η ομάδα βρίσκεται στο στόχαστρο του FBI εδώ και χρόνια, ενώ είχε εκδοθεί κοινή κυβερνοπροειδοποίηση με την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) το 2023 για «ενέργειες των παραγόντων της Scattered Spider κατά του εμπορικού τομέα και των επιμέρους υποτομέων του».
Το FBI ανέφερε πως συνεργάζεται ενεργά με εταίρους στην αεροπορία και τον ευρύτερο τομέα για «αντιμετώπιση αυτής της δραστηριότητας και υποστήριξη των θυμάτων» και καλεί κάθε οργανισμό που πιστεύει ότι έχει στοχοποιηθεί να επικοινωνήσει με το τοπικό του γραφείο FBI. Στο μεταξύ, απαιτείται ιδιαίτερη προσοχή σε οποιοδήποτε αίτημα για προσθήκη μη εξουσιοδοτημένων 2FA συσκευών και αυστηρή προσήλωση στα καθιερωμένα πρωτόκολλα ασφαλείας, ανεξαρτήτως του ποιος κάνει το αίτημα.
Οι επιθέσεις επεκτείνονται και στον ασφαλιστικό τομέα
Αν και η τελευταία προειδοποίηση του FBI επικεντρώνεται στον τομέα των μεταφορών και ειδικότερα στην αεροπορική βιομηχανία, η Scattered Spider φαίνεται να στοχοποιεί και τον ασφαλιστικό κλάδο. Ο John Hultquist, επικεφαλής αναλυτής της Google Threat Intelligence Group, δήλωσε:
«Η ομάδα μας είναι πλέον ενήμερη για πολλαπλές εισβολές στις ΗΠΑ που φέρουν όλα τα χαρακτηριστικά της δραστηριότητας της Scattered Spider», προσθέτοντας ότι «παρατηρούμε τώρα περιστατικά και στον ασφαλιστικό τομέα».
Ο Jon Abbott, CEO της ThreatAware, δήλωσε ότι «το αυξανόμενο κύμα επιθέσεων κατά των αμερικανικών ασφαλιστικών εταιρειών» αποτελεί μια σοβαρή απειλή που δεν πρέπει να υποτιμηθεί. Ταυτόχρονα όμως είναι και «ένα προειδοποιητικό μήνυμα για όλους τους υπόλοιπους τομείς να παραμείνουν σε εγρήγορση». Αν και η ομάδα συνήθως επικεντρώνεται σε έναν κλάδο κάθε φορά, υπάρχει ο κίνδυνος άλλοι οργανισμοί να υποτιμήσουν τον κίνδυνο επειδή δεν βρίσκονται στο επίκεντρο της προσοχής.
Ένα κοινό στοιχείο των επιθέσεων είναι η εκμετάλλευση της εφοδιαστικής αλυσίδας, με τέτοιες παραβιάσεις να επιτρέπουν την πλευρική κίνηση προς μεγαλύτερους στόχους. Αυτό σημαίνει πως ακόμα και επιχειρήσεις που δεν ανήκουν στους τομείς της αεροπλοΐας, της ασφάλισης ή του λιανεμπορίου μπορεί να κινδυνεύουν.
Ο Richard Orange, αντιπρόεδρος της Abnormal AI, επαναλαμβάνει αυτό που ήδη τονίζει και το FBI:
«Η ομάδα αυτή βασίζεται στην κοινωνική μηχανική και όχι σε τεχνικά exploits», λέει ο Orange, «παρακάμπτει τους παραδοσιακούς ελέγχους ασφαλείας μέσω της εξαπάτησης ανθρώπων, υποδυόμενοι προσωπικό IT ή αξιόπιστους συνεργάτες». Αυτές οι επιθέσεις συχνά φαίνονται σαν μεμονωμένα περιστατικά, όμως η Scattered Spider δρα πλαγίως, κατέληξε ο Orange, «συλλέγοντας διαπιστευτήρια ώστε να ξεγελάσει άλλα τμήματα, πελάτες και συνεργάτες».
