Nelle ultime settimane, alcuni importanti retailer del Regno Unito sono stati vittime di attacchi informatici che riflettono una tendenza pericolosa: l 'aumento di attacchi sofisticati e incentrati sull'identità che aggirano le difese tradizionali e sfruttano la complessità degli ambienti IT ibridi.
Almeno un attacco è stato collegato a Scattered Spider, un noto gruppo di criminali informatici che incarna la moderna minaccia basata sull'identità.
Chi è Scattered Spider e perché è importante?
Scattered Spider rappresenta una nuova classe di avversari: abili, furtivi e implacabili. Si basano sull'ingegneria sociale e sul furto di credenziali per impersonare utenti reali, consentendo loro di infiltrarsi nelle reti, di aumentare i privilegi e di spostarsi lateralmente in modo silenzioso per rubare dati o distribuire ransomware.
Le loro tecniche comprendono:
- Phishing, vishing e impersonificazione per estrarre le credenziali
- L'autenticazione a più fattori (MFA) viene aggirata con lo scambio di SIM, gli attacchi a fatica e l'inganno dell'help desk.
- Abuso di sistemi di identità come Active Directory, SSO e Entra ID.
- Utilizzo di strumenti di accesso remoto per oscurare ulteriormente l'attività dannosa.
Le loro vittime includono grandi organizzazioni globali come MGM Resorts e Caesars Entertainment, aziende in cui la dispersione delle identità e gli ambienti di accesso complessi sono comuni.
Per maggiori dettagli, guardate l'informativa completa sulla minacciaScattered Spider .
Gli attacchi di oggi sono basati sull'identità
Gli aggressori non entrano più nel sistema, ma vi accedono.
Gli aggressori di oggi non sfondano la porta. La attraversano usando credenziali rubate. Una volta entrati, si mimetizzano, aumentano l'accesso e si muovono rapidamente. CrowdStrike riporta che il tempo medio che intercorre tra la compromissione iniziale e il movimento laterale è ora di soli 48 minuti.
Il moderno panorama delle identità aggiunge benzina al fuoco. Le identità umane e meccaniche, dai dipendenti agli appaltatori, dagli account di servizio agli strumenti di automazione, ampliano in modo esponenziale la superficie di attacco. Ognuna di esse rappresenta un potenziale punto di ingresso.
Anche con strumenti come l'MFA e la gestione degli accessi privilegiati (PAM), gli aggressori trovano il modo di aggirarli. Questi strumenti, pur essendo essenziali, non sono in grado di rilevare o bloccare le attività successive alla violazione, come il movimento laterale o l'abuso di privilegi.
Come Vectra AI rileva e blocca gli attacchi Scattered Spider
Vectra AI è stata costruita per rilevare e bloccare esattamente i tipi di attacchi che i soggetti minacciosi come Scattered Spider eseguono. La piattaforma Vectra AI , comprese le sue funzionalità di Identity Threat Detection and Response (ITDR), offre una soluzione appositamente concepita per bloccare in tempo reale le minacce incentrate sull'identità.
Analizzando i comportamenti in ambienti cloud, di rete e SaaS, rileviamo i primi segnali di abuso di credenziali, movimenti laterali e abuso di privilegi, facendo emergere solo ciò che è veramente importante per il vostro SOC.
I nostri clienti riducono l'affaticamento da allerta di oltre il 60%, danno priorità alle minacce con il 90% di precisione in più e riducono il tempo di permanenza da giorni a minuti.
Vectra AI per ITDR offre:
- Rilevamento basato su segnali attraverso i livelli di identità, cloud e rete
- Triage e prioritizzazione guidati dall'intelligenza artificiale dei comportamenti reali degli aggressori (non degli avvisi rumorosi).
- Rilevamento precoce dell'uso improprio di credenziali valide che eludono le difese tradizionali.
Con Vectra è possibile:
- Rilevare l'uso improprio degli account e l'affaticamento dell'MFA prima dell'escalation dei privilegi.
- Abuso della console cloud superficie, movimento laterale e configurazione C2
- Riduzione del time-to-containment con un'unica vista ad alta fedeltà per i team SOC
Per ulteriori informazioni, vedere la copertura dell'identitàcloud MITRE ATT&CK diVectra AI per Scattered Spider.
Il bilancio
Attaccanti come Scattered Spider stanno sfruttando il passaggio all'infrastruttura ibrida e alle operazioni incentrate sull'identità.
Quando gli aggressori entrano dalla porta principale utilizzando identità rubate, l'Vectra AI vi garantisce di essere sempre pronti ad affrontarli, con velocità, precisione e controllo.