О, отлично. Три известные киберпреступные группировки, похоже, сотрудничают.
Scattered Spider, ShinyHunters и Lapsus$ провели выходные, хвастаясь друг перед другом в канале Telegram
Известные киберпреступные группировки Scattered Spider, ShinyHunters и Lapsus$, судя по всему, работают сообща, чтобы проникать в сети компаний, красть их данные и вымогать платежи.
Канал «Scattered LAPSUS$ Hunters» [Telegram] появился в прошлую пятницу. Публикации включают в себя примеры частичных утечек, списки поставщиков и изрядную долю троллинга по поводу старых и новых заявлений об успешной краже данных. В сообщениях упоминались рейды на Victoria’s Secret, кража информации о клиентах из Gucci и атака на американскую сеть универмагов Neiman Marcus, которая может быть связана с кражей базы данных клиентов в 2024 году. В других чатах были скриншоты переговоров с Chanel и заявления о взломах Министерства внутренней безопасности США и государственных учреждений Англии, Франции, Бразилии и Индии.
Участники канала также заявили о разработке операции по вымогательству как услуге (RaaS) под названием «ShinySpider» или «ShinySp1d3r» и похвастались, что их вредоносное ПО для блокировки данных может достигать скорости шифрования 1 ГБ в секунду: «НАШ RaaS АДАПТИРУЕТСЯ В ЗАВИСИМОСТИ ОТ РЕСУРСОВ ЖЕРТВЫ — МАКСИМАЛЬНАЯ СКОРОСТЬ, КОТОРУЮ МЫ ВИДЕЛИ, СОСТАВЛЯЕТ ~1 ГБ/ГБ/с», — заявили они, добавив: «К черту LockBit и DragonForce, урааааа!».
К понедельнику канал исчез, но перед этим, похоже, каналу удалось достичь своей цели: посеять хаос и одновременно раскрутить бренды своих участников.
Как написал основатель и генеральный директор компании Technisanct, поставщика услуг по тестированию уязвимостей, Нандакишор Харикумар в блоге FalconFeeds , которым он поделился с The Register перед публикацией, «Разрозненные охотники за LAPSUS$ представляют собой новую фазу кибервымогательства, где влияние и хаос являются такими же целями, как и деньги».
Разрозненные LAPSUS$ Hunters представляют собой новую фазу кибервымогательства, где влияние и хаос являются такими же целями, как и деньги.
Между тем, издание DataBreaches высказало следующее мнение : «Это разгневанные дети, которые вчера вечером несколько импульсивно выдали информацию, вместо того чтобы иметь и придерживаться четкого плана. Тем не менее, сейчас они действительно производят впечатление неудержимых».
Кратковременность существования канала и мгновенная известность добавляют вес теории о том, что банда злодеев, состоящая в основном из подростков и 20-летних мужчин, проживающих в США, Канаде и Европе, работает сообща.
«Все имеющиеся у нас доказательства, не только ReliaQuest, но и полученные от краудсорсинга, указывают на некую связь между ShinyHunters и Scattered Spider», — рассказал The Register директор ReliaQuest по исследованию угроз Брэндон Тирадо .
«Похоже, что Scattered Spider, этот кластер активности, выступает в качестве первоначального посредника по доступу для группы ShinyHunters в частности, и все они являются детьми большего коллектива, которым является The Com», — сказал Тирадо.
Кто есть кто в хаосе киберпреступности?
Группа ShinyHunters существует в той или иной форме с 2020 года. Группировка наиболее известна громкими атаками на базы данных клиентов Snowflake , Ticketmaster и AT&T . Некоторые из её участников, включая француза Себастьяна Рауля, были заключены в тюрьму в США , а ещё один был арестован парижской полицией в июне.
Однако в том же месяце ShinyHunters взломали экземпляры Salesforce нескольких компаний, среди предполагаемых жертв были модные дома Dior и Chanel , ювелирный ритейлер Pandora, страховая компания Allianz и Google.
Последняя волна атак ShinyHunters вышла за рамки обычных кражи учетных данных, использования баз данных и вымогательства и включила в себя хорошо зарекомендовавшие себя методы Scattered Spider: кампании социальной инженерии с использованием лиц, выдающих себя за сотрудников службы ИТ-поддержки, чтобы обманом заставить сотрудников разрешить доступ к поддельным «подключенным приложениям», маскирующимся под легитимные инструменты (в данном случае Salesforce), что позволило ворам украсть конфиденциальные бизнес-данные.
Scattered Spider — ещё одна группировка, занимающаяся подменой SIM-карт, а затем социальной инженерией и программами-вымогателями . В прошлом году она столкнулась с аналогичными трудностями: правоохранительные органы арестовали как минимум семерых её участников после громких ограблений казино Law Vegas.
Эти аресты на некоторое время замедлили их атаки, но затем Scattered Spider снова взялся за дело, совершив несколько громких вторжений в розничные магазины в апреле.
Lapsus$, хаотичная команда подростков и молодых людей, совершила серию преступлений в 2021 и 2022 годах, когда она взломала и попыталась вымогать деньги у телекоммуникационного гиганта BT, Nvidia , Microsoft , Samsung, Vodafone, финтех-компании Revolut и Okta .
Тактика группы включала в себя социальную инженерию с использованием телефонов, подмену SIM-карт и даже оплату сотрудникам целевых организаций за доступ к учетным данным и кодам многофакторной аутентификации (MFA).
В марте 2022 года лондонская полиция арестовала , а затем отпустила семь человек в возрасте от 16 до 21 года по обвинению в участии в цифровых взломах и попытках вымогательства. Позже в том же месяце полиция повторно арестовала двоих подростков и предъявила им обвинения в причастности к киберпреступной группировке.
Наконец, The Com — это слабо сплоченная группа преимущественно англоговорящих злодеев, которая состоит из нескольких взаимосвязанных сетей хакеров, подменщиков SIM-карт и вымогателей, причем некоторые из ее подгрупп предлагают настоящие насильственные преступления за определенную плату, например, « наемные удары» и «насилие как услуга» .
Scattered Spider выступает в качестве первоначального брокера доступа для группы ShinyHunters в частности, и все они являются детьми большего коллектива, которым является The Com
«Подключение инфраструктуры, которую использовала группа Lapsus$, позволяет сопоставить отпечатки пальцев, включая артефакты и наблюдаемые признаки, связывающие их с недавней активностью Scattered Spider, а теперь и ShinyHunters», — сказал Тирадо. «Думаю, можно с уверенностью предположить, что The Com, возможно, всегда работал именно так. Это не новое явление, а действительно более крупное сообщество, у каждого из которых есть свой уникальный набор навыков, и они могут обратиться к другу за любой необходимой помощью».
Аналогичное форматирование домена, целевые сектора
Во вторник ReliaQuest опубликовала анализ шаблонов регистрации доменов и инфраструктуры, связанной с ShinyHunters, которые, предположительно, использовались в атаках на Salesforce за последние пару месяцев.
В предыдущем июньском отчете ReliaQuest подробно описала, как Scattered Spider часто регистрировал домены с ключевыми словами «okta», «helpdesk» и «sso», обычно отформатированными с помощью дефисов: SSO-company[.]com.
В своем анализе, проведенном во вторник, компания ReliaQuest выявила группу доменов, нацеленных на известные организации, включая предполагаемых жертв ShinyHunters, и имеющих схожий формат:
- билет-lvmh[.]com
- ticket-dior[.]com
- ticket-louisvuitton[.]com
Эти домены были зарегистрированы в период с 20 по 30 июня, незадолго до того, как Louis Vuitton, как сообщается, узнала о взломе 2 июля. Помимо использования схожего формата, эти домены также были зарегистрированы с использованием инфраструктуры, связанной с фишинговыми наборами, обычно применяемыми для размещения страниц единого входа (SSO). Это также «визитная карточка предыдущих атак Scattered Spider с использованием SSO, направленных на подмену таких брендов, как Okta », сообщает ReliaQuest.
Кроме того, существуют пересекающиеся секторы и временные рамки деятельности Scattered Spider и ShinyHunters. В апреле и мае, когда Scattered Spider атаковал британские ритейлеры Marks & Spencer, The Co-Op и Harrods, ShinyHunters, как сообщается, уволила Tiffany, Dior и Adidas.
В июне и июле Scattered Spider взломал страховые компании Eerie Indemnity Group и Aflac , в то время как исследователи подозревали, что ShinyHunter нанес удар по Allianz .
Позже в том же месяце охотники за угрозами предупредили, что Scattered Spider переключился на авиационный бизнес, а ShinyHunters предположительно взломали Qantas, Air France и KLM .
«Синхронизированность этих атак однозначно подтверждает вероятность скоординированных действий двух группировок», — отмечается в анализе.
- Google утверждает, что группа, стоящая за прошлогодней атакой Snowflake, похитила данные из одного из ее экземпляров Salesforce
- Британский розничный гигант M&S восстанавливает Click & Collect спустя несколько месяцев после кибератаки, но некоторые сервисы по-прежнему недоступны
- ФБР: обратите внимание на эти признаки: «Рассеянный паук» плетет свою паутину вокруг вашей организации.
- ФБР предупреждает: IRL Com вербует подростков для реальных ножевых ранений и стрельбы
В то время как многие компании, занимающиеся разведкой угроз, сосредоточились на том, чтобы эти банды атаковали только один сектор за раз, отчет ReliaQuest и более раннее исследование Check Point показывают, что преступники, скорее всего, нацелены на надежные корпоративные приложения, такие как ServiceDesk, Okta и Salesforce, используемые крупными брендами.
«Для 97% предприятий, государственных, частных и государственных, киберпреступность — самая большая угроза, о которой им следует беспокоиться», — сказал Тирадо. «Я действительно считаю, что Scattered Spider и коллектив The Com в целом должны быть в центре внимания, но, что самое важное, их методы довольно хорошо документированы и на самом деле не так сложны, как многие думают».
Всё начинается со звонка в службу поддержки, и именно поэтому «человеческий фактор, который так важен, всегда был самым слабым звеном в системе безопасности», — добавил Тирадо. Хотя Scattered Spider действительно хорош в этом, «злоумышленники — это обезьяны, которые видят и делают».
Тирадо предлагает, чтобы предотвратить подобные атаки с использованием социальной инженерии, компаниям следует обучить персонал своей службы поддержки внедрению строгих процессов проверки личности и внедрению устойчивой к фишингу многофакторной аутентификации.
«Прежде чем пытаться заняться крутыми, привлекательными атрибуцией, отслеживанием, кластеризацией, — сказал он, — сосредоточьтесь на том, что изменить не так-то просто, а именно на поведении, которое так успешно изменяет социальная инженерия». ®
About The Author
