Extorsão sem ransomware
17 de Junho de 2024

A gangue Scattered Spider começou a roubar dados de aplicações software-as-a-service (SaaS) e estabelecer persistência através da criação de novas máquinas virtuais.

Também conhecida como Octo Tempest, 0ktapus, Scatter Swine e UNC3944, a gangue normalmente se envolve em ataques de engenharia social que utilizam phishing via SMS, troca de SIM (SIM swapping) e sequestro de contas para acesso on-premise.

Scattered Spider é o nome dado para denotar uma comunidade de criminosos cibernéticos que frequentam os mesmos canais no Telegram, fóruns de hacking e servidores no Discord.

Embora haja relatórios sobre Scattered Spider ser uma gangue organizada com membros específicos, o grupo é na verdade um coletivo de indivíduos falantes da língua inglesa (não necessariamente de países falantes de inglês) que trabalham juntos para realizar invasões, roubar dados e extorquir seus alvos.

Alguns deles colaboram mais frequentemente, mas não é incomum que alternem entre membros que possuem habilidades adequadas para uma tarefa específica.

Em um relatório hoje, a empresa de cibersegurança da Google, Mandiant, observa que as táticas, técnicas e procedimentos (TTPs) de Scattered Spider foram expandidas para a infraestrutura de nuvem e aplicações SaaS a fim de roubar dados para extorsão, sem a necessidade de criptografar sistemas.

"[...] UNC3944 mudou principalmente para a extorsão de roubo de dados sem o uso de ransomware.

Essa mudança nos objetivos precipitou uma expansão das indústrias e organizações visadas, conforme evidenciado pelas investigações da Mandiant", dizem os pesquisadores.

Scattered Spider depende de técnicas de engenharia social que frequentemente visam agentes de help desk corporativos em uma tentativa de obter acesso inicial a uma conta privilegiada.

O ator de ameaças está bem preparado com informações pessoais, títulos de trabalho e nomes de gerentes para contornar os processos de verificação.

O ator de ameaças finge ser um usuário legítimo que precisa de assistência para redefinir a autenticação de múltiplos fatores (MFA) para configurar um novo dispositivo.

Após obter acesso ao ambiente da vítima, Scattered Spider foi observado usando permissões do Okta associadas à conta comprometida para alcançar as aplicações de SaaS e nuvem da empresa vítima.

Para persistência, Scattered Spider cria novas máquinas virtuais no vSphere e Azure, utilizando seus privilégios de administração e configurando essas VMs para desabilitar proteções de segurança.

Em seguida, eles desabilitam o Microsoft Defender e outras características de telemetria no Windows que lhes permitem implantar ferramentas para movimentação lateral, como Mimikatz e o framework IMPACKET, junto com utilitários de tunelamento (NGROK, RSOCX e Localtonet) que permitem o acesso sem a necessidade de VPN ou verificação de MFA.

O ator de ameaças usa ferramentas legítimas de sincronização de nuvem como Airbyte e Fivetran para mover dados da vítima para seu armazenamento na nuvem em serviços respeitáveis como Google Cloud Platform (GCP) e Amazon Web Services (AWS), dizem os pesquisadores.

Mandiant observou Scattered Spider alternando para diversas aplicações SaaS de clientes para reconhecimento e mineração de dados, e.g., vCenter, CyberArk, SalesForce, Azure, CrowdStrike, AWS, Workday e GCP.

Por exemplo, o ator de ameaças usou a ferramenta de pesquisa e descoberta Microsoft Office Delvir para Microsoft Office 365 para identificar projetos ativos, discussões de interesse e informações confidenciais.

Além disso, Scattered Spider usou soluções de endpoint detection and response (EDR) para testar seu acesso ao ambiente.

O atacante criou chaves API no console externo do CrowdStrike e executou os comandos whoami e quser para aprender sobre os privilégios do usuário atualmente logado no sistema e sessões em um servidor de Sessão de Área de Trabalho Remota.

Mandiant também observou Scattered Spider visando Active Directory Federated Services (ADFS) para extrair certificados.

Juntamente com um ataque Golden SAML, o ator poderia obter acesso persistente a aplicações baseadas em nuvem.

Uma vez que as ferramentas de segurança on-premise são em grande parte ineficazes quando se trata de exfiltração de dados de aplicativos baseados na nuvem, as empresas devem implementar múltiplos pontos de detecção para identificar um possível comprometimento.

Mandiant recomenda focar em um melhor monitoramento de aplicações SaaS que inclui a centralização de logs de serviços importantes, re-registros de MFA e infraestrutura de máquinas virtuais, especificamente prestando atenção ao tempo de atividade e à criação de novos dispositivos.

Combinar certificados baseados em host com autenticação de múltiplos fatores para acesso VPN e criar políticas de acesso mais rigorosas para controlar o que é visível dentro de um inquilino de nuvem são ações que poderiam limitar um intruso potencial e o impacto de um comprometimento.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...