Scattered Spider és RansomHub partnerség
2024 októberében a ReliaQuest egy incidenst vizsgált egy gyártóipari ügyfélnél. Az incidenst nagy valószínűséggel a Scattered Spider-nek tulajdonították, egy angol nyelvű kollektívának, amely a RansomHub ransomware csoport társszerveként tevékenykedik. A Scattered Spider korábban telekommunikációs cégeket vett célba, valószínűleg azért, hogy támogassa a SIM-swap támadásokat, amely megkönnyíti a fiókok átvételét. Az utóbbi időben a hangsúlyt a nagy szervezetek zsarolására helyezte át a ransomware csoportokkal való együttműködés révén, nagyobb pénzügyi nyereségre törekedve.
A ReliaQuest feltárta a Scattered Spider taktikáit, technikáit és eljárásait (TTP), beleértve a szervezetekhez való kezdeti hozzáférés megszerzésének egyedi módszerét. Az angol nyelvtudását kihasználva a kollektíva social engineeringet használ a kezdeti hozzáféréshez. A vizsgált incidensben a támadó meggyőzte a szervezet help deskjét, hogy állítsák vissza a pénzügyi igazgató (CFO) fiókjának hitelesítő adatait. Miután rájött, hogy a CFO fiókja nem rendelkezik a további pivotinghoz szükséges jogosultságokkal, a támadó megismételte a social engineering-et, hogy kompromittáljon egy tartományi rendszergazdai fiókot. Ezzel a privilegizált hozzáféréssel virtuális gépet (VM) hoztak létre az ESXi-környezeten belül, kikerülve többek között az EDR-t. Ezután telepítettek egy RansomHub titkosítót, mindezt mindössze hat óra alatt.
A ReliaQuest jelentésében megvizsgálja a Scattered Spider fejlődését az alacsony szintű kiberbűnözéstől a ransomware csoportokkal való partnerségig. Ismertetik az incidens során megfigyelt TTP-ket, és gyakorlati tanácsokat adnak, hogy a szervezetek hogyan vizsgálják ki és hogyan mérsékeljék a hasonló fenyegetéseket.
