As autoridades policiais supostamente prenderam um membro importante do notório grupo de crimes cibernéticos chamado Scattered Spider.
O indivíduo, um homem de 22 anos, pure do Reino Unido, foi detido esta semana na cidade espanhola de Palma de Maiorca quando tentava embarcar num voo para Itália. A medida seria um esforço conjunto entre o Federal Bureau of Investigation (FBI) dos EUA e a Polícia Espanhola.
A notícia da prisão foi relatada pela primeira vez por Murcia Right now em 14 de junho de 2024, com vx-underground posteriormente revelando que a parte detida está “associada a vários outros ataques de ransomware de alto perfil realizados por Scattered Spider”.
O grupo de pesquisa de malware disse ainda que o indivíduo period um trocador de SIM que operava sob o pseudônimo de “Tyler”. Os ataques de troca de SIM funcionam ligando para a operadora de telecomunicações para transferir o número de telefone de um alvo para um SIM sob seu controle com o objetivo de interceptar suas mensagens, incluindo senhas de uso único (OTPs), e assumir o controle de suas contas on-line.
De acordo com o jornalista de segurança Brian Krebs, acredita-se que Tyler seja um escocês de 22 anos chamado Tyler Buchanan, que atende pelo nome de “tylerb” nos canais do Telegram relacionados à troca de SIM.
Tyler é o segundo membro do grupo Scattered Spider a ser preso depois de Noah Michael City, que foi acusado pelo Departamento de Justiça dos EUA no início de fevereiro de fraude eletrônica e roubo de identidade agravado por crimes.
Scattered Spider, que também se sobrepõe à atividade rastreada pelos nomes 0ktapus, Octo Tempest e UNC3944, é um grupo de ameaças com motivação financeira famoso por orquestrar ataques sofisticados de engenharia social para obter acesso inicial às organizações. Suspeita-se que os membros do grupo façam parte de uma gangue cibercriminosa maior chamada The Com.
Inicialmente focado na coleta de credenciais e na troca de SIM, o grupo adaptou sua estratégia para se concentrar em ransomware e extorsão de roubo de dados, antes de mudar para ataques de extorsão sem criptografia que visam roubar dados de aplicativos de software program como serviço (SaaS).
“As evidências também sugerem que o UNC3944 recorreu ocasionalmente a táticas de fomento do medo para obter acesso às credenciais das vítimas”, disse Mandiant, de propriedade do Google. “Essas táticas incluem ameaças de doxxing de informações pessoais, danos físicos às vítimas e suas famílias e distribuição de materials comprometedor”.
Mandiant disse ao The Hacker Information que a atividade associada ao UNC3944 exibe algum nível de semelhanças com outro cluster rastreado pela Unidade 42 da Palo Alto Networks como Muddled Libra, que também foi observado visando aplicativos SaaS para exfiltrar dados confidenciais. No entanto, enfatizou que eles “não devem ser considerados 'iguais'”.
Os nomes 0ktapus e Muddled Libra vêm do uso, pelo agente da ameaça, de um package de phishing projetado para roubar credenciais de login do Okta e desde então tem sido usado por vários outros grupos de hackers.
“UNC3944 também aproveitou as técnicas de abuso de permissões do Okta por meio da autoatribuição de uma conta comprometida a cada aplicativo em uma instância do Okta para expandir o escopo da intrusão além da infraestrutura native para aplicativos em nuvem e SaaS”, observou Mandiant.
“Com esse escalonamento de privilégios, o ator da ameaça poderia não apenas abusar de aplicativos que utilizam o Okta para logon único (SSO), mas também realizar reconhecimento interno por meio do uso do portal da net do Okta, observando visualmente quais blocos de aplicativos estavam disponíveis após essas atribuições de funções. .”
As cadeias de ataque são caracterizadas pelo uso de utilitários legítimos de sincronização em nuvem, como Airbyte e Fivetran, para exportar os dados para depósitos de armazenamento em nuvem controlados pelo invasor, além de tomar medidas para realizar reconhecimento extensivo, configurar persistência por meio da criação de novas máquinas virtuais e prejudicar as defesas. .
Além disso, o Scattered Spider foi observado fazendo uso de soluções de detecção e resposta de endpoint (EDR) para executar comandos como whoami e quser, a fim de testar o acesso ao ambiente.
“UNC3944 continuou a acessar Azure, CyberArk, Salesforce e Workday e dentro de cada um desses aplicativos conduziu um reconhecimento adicional”, disse a empresa de inteligência de ameaças. “Especificamente para a CyberArk, a Mandiant observou o obtain e o uso do módulo PowerShell psPAS especificamente para interagir programaticamente com a instância CyberArk de uma organização.”
O direcionamento da solução CyberArk Privileged Entry Safety (PAS) também tem sido um padrão observado em ataques de ransomware RansomHub, levantando a possibilidade de que pelo menos um membro do Scattered Spider possa ter se twister um afiliado do nascente ransomware-as-a-service (RaaS), de acordo com a GuidePoint Safety.
A evolução das táticas dos atores da ameaça coincide ainda com seu direcionamento ativo aos setores financeiro e de seguros, usando domínios semelhantes e páginas de login convincentes para roubo de credenciais.
O FBI disse à Reuters no mês passado que está preparando as bases para acusar hackers do grupo que está ligado a ataques contra mais de 100 organizações desde seu surgimento em maio de 2022.
