O FBI compartilha táticas do notório coletivo de hackers Spider espalhado
17 de Novembro de 2023

O Federal Bureau of Investigation e a Agência de Segurança Cibernética e Infraestrutura divulgaram um alerta sobre o ator de ameaças evasivo rastreado como Scattered Spider, um coletivo de hackers vagamente unido que agora colabora com a operação de ransomware ALPHV/BlackCat da Rússia.

Scattered Spider, também conhecido como 0ktapus, Starfraud, UNC3944, Scatter Swine, Octo Tempest e Muddled Libra, é hábil em engenharia social e depende de phishing, autenticação de múltiplos fatores (MFA) bombing (fadiga de MFA direcionada) e troca de SIM para ganhar acesso inicial à rede em grandes organizações.

O grupo inclui jovens membros anglofalantes (com idade mínima de 16 anos) com diversas habilidades que frequentam os mesmos fóruns e canais de hackers no Telegram.

Acredita-se que alguns dos membros também sejam parte do "Comm" - uma comunidade vagamente unida envolvida em atos violentos e incidentes cibernéticos que vem ganhando ampla atenção da mídia recentemente.

Contrariamente à crença geral de que se trata de uma gangue coesa, eles são uma rede de indivíduos, com diferentes atores de ameaças participando de cada ataque.

Esta estrutura fluida é o que torna difícil rastreá-los.

No entanto, de acordo com jornalistas da Reuters, o FBI conhece as identidades de pelo menos 12 membros do grupo, mas nenhum deles foi indiciado ou preso até agora.

Os ataques de Scattered Spider foram documentados desde o último verão quando pesquisadores da empresa de segurança cibernética Group-IB publicaram um relatório sobre uma série de ataques visando roubar credenciais de identidade da Okta e códigos de 2FA, que haviam começado em março do mesmo ano.

Em dezembro de 2022, a CrowdStrike perfilou o ator de ameaças como um grupo motivado financeiramente que mira as empresas de telecomunicações, empregando táticas de alta engenharia social, reversão de defesa e um rico conjunto de ferramentas de software.

Em janeiro de 2023, a Crowdstrike descobriu que Scattered Spider estava usando métodos BYOVD (Bring Your Own Vulnerable Driver) para evadir a detecção de produtos de segurança EDR (endpoint detection and response).

Mais recentemente, em setembro deste ano, dois ataques de alto perfil contra o MGM Casino e a Caesars Entertainment, foram atribuídos ao Scattered Spider, onde os atores de ameaças usaram o locker BlackCat/ALPHV para criptografar sistemas.

A atividade passada do ator de ameaças inclui ataques a MailChimp, Twilio, DoorDash e Riot Games.

Um relatório de outubro feito pela Microsoft, que chama seu grupo de Octo Tempest, diz que eles são um dos grupos criminosos financeiros mais perigosos e já recorreram a ameaças violentas para atingir seus objetivos.

As descobertas dos pesquisadores sobre a variedade de métodos de ataque do grupo indicam que seus membros possuem conhecimentos que se estendem a diferentes áreas do crime cibernético, como engenharia social e hacking, até troca de SIM, phishing e violação de proteções de login.

O alerta do FBI e CISA destaca as poderosas táticas iniciais de acesso do Scattered Spider que envolvem o direcionamento de funcionários de uma empresa se passando por pessoal de TI ou de suporte técnico e enganando-os a fornecer credenciais ou mesmo acesso direto à rede.

Táticas individuais incluem telefonemas, phishing por SMS, phishing por e-mail, ataques de fadiga MFA e troca de SIM.

Os domínios utilizados para phishing por e-mail e SMS abusam das marcas Okta e Zoho ServiceDesk combinadas ao nome do alvo para parecerem legítimos.

Após estabelecer um ponto de apoio na rede, Scattered Spider usa uma variedade de ferramentas de software de código aberto para reconhecimento e movimento lateral, incluindo:

Fleetdeck.io: Monitoramento e gerenciamento remoto do sistema
Level.io: Monitoramento e gerenciamento remoto do sistema
Mimikatz: Extração de credenciais
Ngrok: Acesso remoto a servidor web via túnel da internet
Pulseway: Monitoramento e gerenciamento remoto do sistema
Screenconnect: Gerenciamento remoto de conexão de dispositivos de rede
Splashtop: Gerenciamento remoto de conexões de dispositivos de rede
Tactical.RMM: Monitoramento e gerenciamento remoto do sistema
Tailscale: VPN para comunicações de redes seguras
Teamviewer: Gerenciamento remoto de conexões de dispositivos de rede

Além das ferramentas legítimas acima utilizadas para fins maliciosos, Scattered Spider também conduz ataques de phishing para instalar malwares como WarZone RAT, Raccoon Stealer e Vidar Stealer, para roubar de sistemas comprometidos credenciais de login, cookies e outros dados úteis no ataque.

Uma nova tática observada nos ataques recentes do grupo é a exfiltração de dados e a criptografia de arquivos usando o ransomware ALPHV/BlackCat, seguido pela comunicação com as vítimas via um aplicativo de mensagem, e-mail ou outras ferramentas seguras para negociar um pagamento de resgate.

Os atores de Scattered Spider afiliados à BlackCat também são conhecidos por utilizar o site de vazamento de dados do ransomware como parte de suas tentativas de extorsão, onde vazam dados ou emitem declarações, como aconteceu com o ataque ao Reddit.

Scattered Spider mostra interesse particular em ativos valiosos como repositórios de código-fonte, certificados de assinatura de código e armazenamento de credenciais.

Além disso, os invasores monitoram de perto os canais do Slack das vítimas, Teams da Microsoft e e-mails do Exchange da Microsoft para mensagens que contenham qualquer indicação de que suas atividades foram descobertas.

A agência acrescenta que os criminosos cibernéticos conseguem isso "criando novas identidades no ambiente" que frequentemente possuem perfis falsos nas redes sociais para criar uma falsa sensação de legitimidade.

O FBI e a CISA recomendam a implementação de medidas específicas de mitigação para se proteger contra as ameaças impostas pelo Scattered Spider.

As principais recomendações no alerta propõem:

Usar controles de aplicativos com “lista de permissões” para gerenciar a execução de software.
Monitorar ferramentas de acesso remoto e implementar autenticação multifatorial (MFA) resistente ao phishing.
Garantir e limitar o uso do Protocolo de Área de Trabalho Remota (RDA) com melhores práticas e MFA.
Manter backups offline e aderir a um sólido plano de recuperação de dados.
Seguir as normas do NIST para senhas fortes e menos frequentemente modificadas.
Manter sistemas e software regularmente atualizados, focando em corrigir vulnerabilidades.
Implementar segmentação de rede para controlar o tráfego e evitar a propagação de ransomware.
Usar monitoramento de rede e ferramentas de Detecção e Resposta de Ponta (EDR) para detectar atividades anormais.
Melhorar a segurança do e-mail desativando links suspeitos e criptografando dados de backup.


Finalmente, as organizações são aconselhadas a testar e validar seus controles de segurança contra as técnicas da ATT&CK do MITRE descritas no alerta.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...