Muddled Libra átalakulása
A Palo Alto Networks Unit 42 tanulmánya ismerteti hogyan fejlődött a Muddled Libra (Scattered Spider) kiberbűnözői csoport a korábbi kriptotámadásoktól mára egy jól szervezett, iparágspecifikus csapatokból álló hálózattá, amely képes egész szervezeteket leállítani. Működésük átállt a moduláris támadásra, ahol több csapat specializálódott különféle szerepkörök szerint. Ilyen szerepek például különböző technológiai környezetek ismerete, cloud infrastruktúrák manipulálása, üzleti folyamatok kihasználása vagy destruktív zsarolás. Az éles eszközhasználat mellett a csoport fő támadási módszere továbbra is a pszichológiai megtévesztés (social engineering), különösen az IT ügyféltámogatók célzása telefonos vagy e-mail alapú vishing és smishing taktikákkal. A támadók ügyetlenül manipulálják a helpdesk személyzetet, hogy jelszó- vagy MFA-visszaállítást hajtsanak végre, majd rendszergazdai jogosultságokat szerezzenek.
A csoport tevékenysége 2025-ben rendkívül gyorsra váltott, míg korábban napok vagy hetek teltek el, most a kezdeti behatolást követően már 40 perc alatt domain admin jogosultságokat szereznek, és akár több száz gigabájt adatot szereznek meg, mielőtt a szervezet reagálna. Egyes esetekben a romboló hatás meghaladta a 400 millió dolláros veszteséget egyetlen áldozatnál, akinek több iparágban – közte a légiközlekedést is – súlyos károkat okoztak. A cloud-alapú szolgáltatások elleni fókusz újításként jelenik meg: a csoport felismerte, hogy sok vállalat nem rendelkezik megfelelő láthatósággal és kontrollal a felhős környezetben, így ezt célozza.
Elemzők szerint a Muddled Libra az emberi tényező menetközbeni manipulálására építi sikerét – olyan legnehezebben patch-elhető operációs rendszerre, mint a felhasználók agya. Erre építenek például AI-vezérelt deepfake hangokat vagy videókat is, amelyekkel segítséget kérő személynek álcázzák magukat hitelesítési procedúrák kiküszöbölése céljából.
A tanulmány hangsúlyozza, hogy a hagyományos technikai védekezési módszerek – jelszavak, közönséges biztonsági kérdések – kevésbé hatékonyak ebben a környezetben; helyette a szervezeteknek erős feltételes hozzáférést, biztonságos self-service visszaállítási folyamatokat és mélyebb identitásellenőrzést kell alkalmazniuk. Kiemelt jelentőségű az IT ügyfélszolgálatosok képzése a valódi és álcázott identitások felismerésére, a társított rendszerek szegmentálása, valamint a viselkedéselemzésen alapuló XDR/EDR használata a gyanús IT helpdesk aktivitások elkülönítésére és gyors reagálásra.
