Nelle ultime settimane, alcuni importanti retailer del Regno Unito sono stati vittime di attacchi informatici che riflettono una tendenza pericolosa: l 'aumento di attacchi sofisticati e incentrati sull'identità che aggirano le difese tradizionali e sfruttano la complessità degli ambienti IT ibridi.
Almeno un attacco è stato collegato a Scattered Spider, un noto gruppo di criminali informatici che incarna la moderna minaccia basata sull'identità.
Chi è Scattered Spider e perché è importante?
Scattered Spider rappresenta una nuova classe di avversari: abili, furtivi e implacabili. Si basano sull'ingegneria sociale e sul furto di credenziali per impersonare utenti reali, consentendo loro di infiltrarsi nelle reti, di aumentare i privilegi e di spostarsi lateralmente in modo silenzioso per rubare dati o distribuire ransomware.
Le loro tecniche comprendono:
- Phishing, vishing e impersonificazione per estrarre le credenziali
- L'autenticazione a più fattori (MFA) viene aggirata con lo scambio di SIM, gli attacchi a fatica e l'inganno dell'help desk.
- Abuso di sistemi di identità come Active Directory, SSO e Entra ID.
- Utilizzo di strumenti di accesso remoto per oscurare ulteriormente l'attività dannosa.
Le loro vittime includono grandi organizzazioni globali come MGM Resorts e Caesars Entertainment, aziende in cui la dispersione delle identità e gli ambienti di accesso complessi sono comuni.
Per maggiori dettagli, guardate l'informativa completa sulla minacciaScattered Spider .
Gli attacchi di oggi sono basati sull'identità
Gli aggressori non entrano più nel sistema, ma vi accedono.
Gli aggressori di oggi non sfondano la porta. La attraversano usando credenziali rubate. Una volta entrati, si mimetizzano, aumentano l'accesso e si muovono rapidamente. CrowdStrike riporta che il tempo medio che intercorre tra la compromissione iniziale e il movimento laterale è ora di soli 48 minuti.
Il moderno panorama delle identità aggiunge benzina al fuoco. Le identità umane e meccaniche, dai dipendenti agli appaltatori, dagli account di servizio agli strumenti di automazione, ampliano in modo esponenziale la superficie di attacco. Ognuna di esse rappresenta un potenziale punto di ingresso.
Anche con strumenti come l'MFA e la gestione degli accessi privilegiati (PAM), gli aggressori trovano il modo di aggirarli. Questi strumenti, pur essendo essenziali, non sono in grado di rilevare o bloccare le attività successive alla violazione, come il movimento laterale o l'abuso di privilegi.
Come Vectra AI rileva e blocca gli attacchi Scattered Spider
Vectra AI è stata costruita per rilevare e bloccare esattamente i tipi di attacchi che i soggetti minacciosi come Scattered Spider eseguono. La piattaforma Vectra AI , comprese le sue funzionalità di Identity Threat Detection and Response (ITDR), offre una soluzione appositamente concepita per bloccare in tempo reale le minacce incentrate sull'identità.
Analizzando i comportamenti in ambienti cloud, di rete e SaaS, rileviamo i primi segnali di abuso di credenziali, movimenti laterali e abuso di privilegi, facendo emergere solo ciò che è veramente importante per il vostro SOC.
I nostri clienti stanno riducendo l'esposizione agli attacchi del 52%, eliminando fino al 50% del tempo dedicato alle attività manuali e migliorando l'efficienza e l'efficacia dei team di sicurezza del 40%(IDC: The Business Value of Vectra AI).
La piattaforma Vectra AI offre:
- Rilevamenti basati sul comportamento attraverso l'identità, il cloud e la rete, facendo emergere gli abusi che utilizzano credenziali valide e che eludono le difese tradizionali.
- Triage, stitching e prioritizzazione guidati dall'intelligenza artificiale dei comportamenti reali degli aggressori (non degli avvisi rumorosi).
- Risposte complete, native, integrate e gestite per bloccare gli account e revocare le sessioni EDR
Con Vectra AI è possibile:
- Bloccare gli attacchi ibridi all'identità umana e non umana: Rilevare l'abuso di credenziali, il movimento laterale e l'escalation dei privilegi prima che si verifichi una violazione.
- Bloccare le violazioni dei dati Cloud e il ransomware: identificare i comportamenti che indicano l'abuso del carico di lavoro cloud , il ransomware e l'esfiltrazione dei dati.
- Difendere l'infrastruttura di identità: Bloccare gli attacchi che hanno come obiettivo l'archivio di identità: kerberoasting, DCSYC, rouge LDAP, ecc.
Per ulteriori informazioni, vedere la copertura dell'identitàcloud MITRE ATT&CK diVectra AI per Scattered Spider.
Il bilancio
Attaccanti come Scattered Spider stanno sfruttando il passaggio all'infrastruttura ibrida e alle operazioni incentrate sull'identità.
Quando gli aggressori entrano dalla porta principale utilizzando identità rubate, l'Vectra AI vi garantisce di essere sempre pronti ad affrontarli, con velocità, precisione e controllo.