Scattered Spider kampány
A Halcyon jelentése szerint a Scattered Spider nevű kiberbűnözői csoport fokozta az európai és az Egyesült Államok ellen irányuló támadásait, különösen a biztosítási és hibrid IT‑infrastruktúrák területén. Ez a banda előkelő helyen van a modern ransomware‑fenyegetések között, mivel képesek órák alatt kompromittálni nagyvállalatokat, kiszivárogtatni érzékeny adatokat, majd zárolni az infrastruktúrát.
A támadások kezdetén a Scattered Spider profin kombinálja a pszichológiai megtévesztést – phishing, vishing, hamisított domainnevek –, és egyéb kommunikációs visszaélések technikáit. Így jutnak be gyakran a MSP‑k vagy IT‑szolgáltatók fiókjain keresztül több vállalatba egyszerre – ez a one‑to‑many modell jelentősen növeli üzleti hatásukat.
Miután beléptek, jogosultságnövelés és perzisztencia létrehozása következik, vizsgálják Active Directory‑beállításokba, önmaguknak állítanak ki engedélyeket, dumpolják a hitelesítő adatokat (LSASS, NTDS.dit), majd eltávolítják az EDR‑megoldásokat és shadow copy‑kat, hogy lehetetlenné tegyék a visszaállítást.
Az adatlopást követően a támadók szinte azonnal többféle ransomware‑t is bevetnek – DragonForce, Qilin, Akira, Play–, valamint az ESXi hypervisorokat is célozzák, így egyszerre felfüggeszthetik a helyi és cloud rendszereket is. Mindezt double‑extortion módszerrel végzik, először adatot lopnak, utána titkosítanak – ezzel jelentősen növelve a nyomást és a követelések összegét.
A támadás az egész szervezetet érinti, akár banki leállásokat is előidézhet – egyetlen nagy amerikai biztosító rendszerét például percek alatt bénították meg.
