A Mandiant Consulting do Google Cloud revelou que observou uma queda na atividade do notório grupo Scattered Spider, mas enfatizou a necessidade de as organizações aproveitarem a pausa para reforçar suas defesas.
"Desde as recentes prisões vinculadas aos supostos membros do Scattered Spider (UNC3944) no Reino Unido, a Mandiant Consulting não observou novas intrusões diretamente atribuíveis a esse ator de ameaça específico," disse Charles Carmakal, CTO da Mandiant Consulting no Google Cloud, em declaração ao The Hacker News.
Isso apresenta uma janela crítica de oportunidade que as organizações devem aproveitar para estudar minuciosamente as táticas que a UNC3944 utilizou tão eficazmente, avaliar seus sistemas e reforçar sua postura de segurança de acordo.
Carmakal também alertou as empresas para não "baixarem completamente a guarda", já que outros atores de ameaças, como UNC6040, estão empregando táticas de engenharia social semelhantes às do Scattered Spider para invadir redes alvo.
"Enquanto um grupo pode estar temporariamente inativo, outros não vão hesitar", acrescentou Carmakal.
O desenvolvimento ocorre quando a gigante da tecnologia detalhou o grupo de hackers motivados financeiramente, que estava atacando agressivamente os hipervisores VMware ESXi em ataques direcionados aos setores de varejo, companhias aéreas e transporte na América do Norte.
O governo dos EUA, juntamente com o Canadá e a Austrália, também emitiu um aviso atualizado delineando o artesanato atualizado do Scattered Spider obtido como parte das investigações conduzidas pelo Federal Bureau of Investigation (FBI) tão recentemente quanto este mês.
"Os atores de ameaças do Scattered Spider são conhecidos por usar várias variantes de ransomware em ataques de extorsão de dados, mais recentemente incluindo ransomware DragonForce", disseram as agências.
Esses atores frequentemente usam técnicas de engenharia social, como phishing, push bombing e ataques de troca de módulo de identidade do assinante para obter credenciais, instalar ferramentas de acesso remoto e burlar a autenticação multifator.
Os atores de ameaças do Scattered Spider consistentemente usam redes proxy [T1090] e rotacionam nomes de máquinas para dificultar ainda mais a detecção e resposta.
O grupo também foi observado se passando por funcionários para persuadir a equipe de TI e/ou help desk a fornecer informações sensíveis, redefinir a senha do funcionário e transferir a autenticação multifator (MFA) para um dispositivo sob seu controle.
Isso marca uma mudança dos atores de ameaças que se passam por pessoal de help desk em chamadas telefônicas ou mensagens SMS para obter credenciais de funcionários ou instruí-los a executar ferramentas comerciais de acesso remoto permitindo acesso inicial.
Em outros casos, os hackers adquiriram credenciais de funcionários ou contratados em marketplaces ilícitos como o Russia Market.
Além disso, os governos destacaram o uso pelo Scattered Spider de ferramentas de malware prontamente disponíveis, como AveMaria, Raccoon Stealer, Vidar Stealer e Ratty RAT para facilitar o acesso remoto e coletar informações sensíveis, bem como o serviço de armazenamento em nuvem Mega para exfiltração de dados.
"Em muitos casos, os atores de ameaças do Scattered Spider procuram por acesso ao Snowflake de uma organização alvo para exfiltrar grandes volumes de dados em pouco tempo, muitas vezes executando milhares de consultas imediatamente", conforme o aviso.
"De acordo com terceiros confiáveis, onde incidentes mais recentes estão preocupados, os atores de ameaças do Scattered Spider podem ter implantado ransomware DragonForce nas redes de organizações alvo - criptografando servidores VMware Elastic Sky X integrados (ESXi)."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...