Финансово мотивированная киберпреступная группировка Scattered Spider привлекает всё больше внимания экспертов в области кибербезопасности. Основной целью злоумышленников становятся технологические компании, а также организации финансового сектора и розничной торговли. Особое внимание уделяется высококвалифицированным кадрам — системным администраторам и руководителям высшего звена, чьи учетные данные представляют наибольшую ценность.
Тактики и методы атак
Scattered Spider характеризуется сложным и многогранным подходом, который во многом базируется на методах социальной инженерии и фишинга. Группа активно использует современные технологии, включая платформу Evilginx, позволяющую обходить многофакторную аутентификацию (MFA) и перехватывать учетные данные, имитируя легитимные страницы входа.
- 81% доменов, связанных с группой, маскируются под поставщиков технологий, применяя методы тайпсквоттинга для обмана жертв и получения конфиденциальной информации.
- Использование сервисов поставщиков управляемых услуг (MSP) и IT-подрядчиков позволяет компрометировать сразу несколько клиентов через одного подрядчика.
- В последние месяцы отмечается переход от регистрации доменов с дефисами к использованию поддоменов, что усложняет выявление злонамеренной активности.
Структура и цели атак
Анализ свыше 600 доменных имён, связанных с Scattered Spider, выделил следующие тенденции по отраслям-мишеням:
- 35% — технологические компании;
- 20% — финансовый сектор;
- 15% — розничная торговля.
Эти данные указывают на стратегическое предпочтение группировкой объектов с высокой добавленной стоимостью и активным использованием технологий.
Особенности эксплуатации технологий и социальная инженерия
Злоумышленники тщательно изучают цели, создавая реалистичные профили сотрудников на основе информации из социальных сетей. Вместе с применением передовых фишинговых инструментов это позволяет эффективно манипулировать персоналом и вымогать доступ к критически важным системам.
Кроме того, отмечено сотрудничество Scattered Spider с российскими организациями, занимающимися киберпреступностью, что способствует повышению профессионализма социальной инженерии и расширению возможностей атак.
Расширение арсенала угроз
Одним из новых тактических приемов стало использование уязвимостей в ПО для дистанционного управления, таком как SimpleHelp. Это облегчает развертывание программ-вымогателей сразу в нескольких организациях и значительно увеличивает масштаб угроз, при этом злоумышленники используют легитимные платформы для проникновения.
Рекомендации по противодействию угрозам
В условиях постоянно эволюционирующих методов атак со стороны Scattered Spider организациям рекомендуется:
- Внедрять многослойные методы аутентификации, основанные на оценке рисков;
- Повышать уровень подготовки сотрудников в области социальной инженерии и кибергигиены;
- Использовать защищенные каналы доступа с обязательной MFA для привилегированных аккаунтов;
- Применять автоматизированные системы мониторинга для своевременного обнаружения вторжений;
- Осуществлять постоянный анализ оперативной информации о новых тактиках и методах злоумышленников.
Scattered Spider демонстрирует высокий уровень организованности и адаптивности, продолжая нацеливаться на высокотехнологичные организации и предприятия с большим капиталом. Только системный, упреждающий подход и постоянная бдительность помогут эффективно противостоять этой опасной угрозе.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Scattered Spider: эволюция атак на технологии, финансы и ритейл".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.