Η Scattered Spider είναι το κάπως παραπλανητικά «χαριτωμένο» όνομα που δίνεται σε μία από τις πιο επικίνδυνες απειλές κυβερνοεπιθέσεων που αντιμετωπίζουν σήμερα οι οργανισμοί.
Οι δράστες λυτρισμικού (ransomware), που φέρονται να βρίσκονται πίσω από καταστροφικές επιθέσεις σε λιανικό εμπόριο και αεροπορικούς κολοσσούς, δε δείχνουν καμία πρόθεση να εξαφανιστούν. Ωστόσο, έχει αναφερθεί ότι ίσως τελικά δεν ευθύνονται αυτοί για πολλές από τις επιθέσεις. Περισσότερα γι’ αυτό παρακάτω. Προς το παρόν, το Ομοσπονδιακό Γραφείο Ερευνών (FBI) και η Υπηρεσία Κυβερνοασφάλειας και Προστασίας Υποδομών (CISA) εξέδωσαν επικαιροποιημένη κοινή κυβερνοσυμβουλή με μία κρίσιμη νέα προειδοποίηση: «Μην αλλάζετε τους κωδικούς σας».
Ακολουθεί τι πρέπει να γνωρίζετε για τη νέα προειδοποίηση του FBI και την συνεχιζόμενη απειλή της Scattered Spider, καθώς και από άλλες επικίνδυνες ομάδες ransomware.
Γιατί η προειδοποίηση του FBI να μην αλλάξετε τον κωδικό σας έχει λογική
Με την πρώτη ματιά, η οδηγία να μην αλλάξετε τον κωδικό σας μπροστά σε μία επίθεση που στοχεύει ακριβώς στους κωδικούς πρόσβασης φαίνεται τουλάχιστον αντιφατική. Εξάλλου, η Google συμβουλεύει εδώ και καιρό τους χρήστες του Gmail να αλλάζουν τους κωδικούς τους, όπως και άλλες συστάσεις κυβερνοασφάλειας. Όμως, όπως σε όλα στην κυβερνοασφάλεια, το πλαίσιο είναι κρίσιμο. Το να αλλάξετε κωδικό για να αποτρέψετε μία επίθεση, ή να στραφείτε σε πιο ασφαλείς τεχνολογίες όπως τα passkeys, έχει νόημα. Το ίδιο ισχύει και για την αποφυγή αδύναμων ή παραβιασμένων κωδικών. Όμως η συγκεκριμένη σύσταση του FBI αφορά τη μέθοδο που χρησιμοποιεί η ομάδα Scattered Spider στις επιθέσεις της.
Η ενημέρωση της 29ης Ιουλίου στην κυβερνοσυμβουλή του FBI και της CISA, με κωδικό ειδοποίησης AA23-320A, προειδοποιεί ότι η Scattered Spider «προσποιείται υπαλλήλους για να πείσει το τμήμα IT ή το helpdesk να παρέχει ευαίσθητες πληροφορίες, να επαναφέρει τον κωδικό πρόσβασης και να μεταφέρει το πολυπαραγοντικό authentication (MFA) σε συσκευή που ελέγχουν οι ίδιοι». Η ομάδα χρησιμοποιεί «πολυεπίπεδες τεχνικές κοινωνικής μηχανικής», συχνά πραγματοποιώντας πολλαπλές κλήσεις και επαφές για να συλλέξει τα βήματα που απαιτούνται ώστε να ζητήσει επαναφορά κωδικού από το προσωπικό υποστήριξης.
«Μόλις εντοπίσουν τις σχετικές πληροφορίες», ανέφερε το FBI, «οι δράστες συνεχίζουν τις τηλεφωνικές κλήσεις για να συγκεντρώσουν ειδικές πληροφορίες επαναφοράς κωδικών του στοχευμένου υπαλλήλου». Όλο αυτό κορυφώνεται σε μία στοχευμένη spearphishing κλήση στο helpdesk, ώστε να πειστούν οι υπάλληλοι να «επαναφέρουν κωδικούς ή/και να μεταφέρουν τα tokens MFA».
Το FBI συνιστά στους οργανισμούς να χρησιμοποιούν πολυπαραγοντικό authentication ανθεκτικό στο phishing για όλες τις υπηρεσίες και λογαριασμούς που έχουν πρόσβαση σε κρίσιμα συστήματα.
«Οι οργανισμοί πρέπει να συνεχίσουν την επιμελή εκπαίδευση των υπαλλήλων απέναντι στο vishing και το spearphishing», αναφέρει η ειδοποίηση και συμβουλεύει να ακολουθηθούν οι επικαιροποιημένες συστάσεις μετριασμού κινδύνων από το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου, όπως η «αναθεώρηση των διαδικασιών επαναφοράς κωδικών από το helpdesk, συμπεριλαμβανομένου του τρόπου που το helpdesk πιστοποιεί τα διαπιστευτήρια του υπαλλήλου πριν από την επαναφορά, ειδικά για άτομα με αυξημένα δικαιώματα».
Αμφιβολίες για την εμπλοκή της Scattered Spider στις πρόσφατες επιθέσεις ransomware
Το σοκ και αυτός είναι ο σωστός όρος, των επιθέσεων ransomware φέτος που αποδίδονται στην Scattered Spider και ευρύτερα σε μία εγκληματική συλλογικότητα κυρίως εφήβων που ονομάζεται The Com, ίσως να προήλθε τελικά από άλλους δράστες. Η ομάδα ShinyHunters, μία συμμορία εκβιαστών, φέρεται επίσης να βρίσκεται πίσω από την πρόσφατη επιβεβαιωμένη παραβίαση δεδομένων της ασφαλιστικής Allianz Life. Η σύγχυση δεν προκαλεί έκπληξη, καθώς οι ShinyHunters φαίνεται να χρησιμοποιούν το ίδιο τακτικό playbook με την Scattered Spider. Πολλοί ειδικοί στην ασφάλεια τώρα κατηγορούν τους ShinyHunters για επιθέσεις σε Quantas, LVMH και Adidas, μεταξύ άλλων.
«Αυτή η νέα ενημέρωση θα ξεκαθαρίσει τη σύγχυση που κυκλοφορεί τους τελευταίους μήνες για το ποιες επιθέσεις αποδίδονται στην Scattered Spider», δήλωσε η Juliette Hudson, τεχνική διευθύντρια της CybaVerse. Υπάρχουν επίσης πολλές εικασίες ότι οι εγκληματικές ομάδες Scattered Spider και ShinyHunters μοιράζονται μέλη, κάτι που είναι πιο συχνό στις ransomware συμμορίες απ’ όσο φαντάζεστε, ειδικά όταν λαμβάνονται υπόψη οι συνεργάτες. Οι τελευταίες πληροφορίες, σύμφωνα με την Hudson, προσθέτουν βάρος στη θεωρία αυτή και «αναδεικνύουν πώς οι δράστες συνεργάζονται, μοιράζονται τακτικές, τεχνικές και διαδικασίες για να υποστηρίζουν ο ένας τον άλλον».
Αυτό ενισχύει περαιτέρω την προειδοποίηση και τις συμβουλές μετριασμού του FBI, φέρνοντας το “vishing“, γνωστό και ως φωνητικό phishing, στο προσκήνιο.
«Δεδομένου ότι αυτές οι κλήσεις καθοδηγούν τα θύματα σε πλαστά domains για να εισάγουν τα διαπιστευτήριά τους», κατέληξε η Hudson, «είναι βέβαιο ότι θα παραπλανήσουν πολλούς ανθρώπους. Είναι πιθανό το πλαστό domain να έχει δημιουργηθεί με τη χρήση AI, καθιστώντας το εξαιρετικά ρεαλιστικό». Γι’ αυτό, παρακαλώ μην αγνοείτε την προειδοποίηση του FBI, εφαρμόστε τα μέτρα που έχει προτείνει και προστατευτείτε από τις απειλές της Scattered Spider, των ShinyHunters ή οποιασδήποτε άλλης εγκληματικής ομάδας στον κυβερνοχώρο.
Νέα προειδοποίηση του FBI: Μην σκανάρετε αυτούς τους QR κωδικούς
Οι κρίσιμες προειδοποιήσεις κυβερνοασφάλειας του FBI μοιάζουν πλέον με τα λεωφορεία του Λονδίνου: περιμένεις αρκετή ώρα και ξαφνικά έρχονται πολλές μαζί. Λίγες μόλις ημέρες μετά την ενημέρωση της κυβερνοσυμβουλής για την Scattered Spider, το FBI εξέδωσε την ειδοποίηση αριθ. I-073125-PSA προειδοποιώντας το κοινό για μία νέα εκδοχή μιας παλιάς απάτης: την απάτη «brushing».
Οι απάτες brushing περιλαμβάνουν πωλητές που αυξάνουν δόλια τις αξιολογήσεις των προϊόντων τους στέλνοντας απρόσμενα αντικείμενα σε ανυποψίαστους παραλήπτες και χρησιμοποιώντας τα στοιχεία τους για να δημοσιεύσουν θετικές κριτικές. Αυτή η νέα απάτη, προειδοποιεί το FBI, λειτουργεί με παρόμοιο τρόπο αλλά χρησιμοποιεί QR κωδικούς στις συσκευασίες για να διευκολύνει οικονομικές απάτες.
Οι συσκευασίες περιέχουν QR κώδικα που «προτρέπει τον παραλήπτη να δώσει προσωπικές και οικονομικές πληροφορίες ή, άθελά του, να κατεβάσει κακόβουλο λογισμικό που κλέβει δεδομένα από το τηλέφωνό του», ανέφερε το FBI. Αυτά τα δέματα συχνά αποστέλλονται χωρίς καμία πληροφορία για την προέλευσή τους, ώστε να ενθαρρυνθούν οι παραλήπτες να σκανάρουν τον κακόβουλο κώδικα.
Εάν λάβετε ένα απρόσμενο δέμα από άγνωστο αποστολέα, το FBI συμβουλεύει να μην σκανάρετε κανέναν QR κωδικό που περιέχεται εντός ή πάνω στη συσκευασία. Το FBI ζητά από το κοινό να αναφέρει τέτοιες δόλιες ή ύποπτες δραστηριότητες στη διαδικτυακή πλατφόρμα IC3 στη διεύθυνση www.ic3.gov.
