Recentemente abbiamo ricevuto molte richieste di saperne di più sul gruppo di hacker Scattered Spider. Li stiamo studiando da un po' di tempo, perché se c'è un gruppo di minacce che rappresenta il motivo per cui costruiamo il nostro prodotto, è questo gruppo. Sono cattivi, sono malvagi e stanno portando sul tavolo molti strumenti che stanno mettendo a dura prova i difensori.
Oggi vi spiegheremo chi sono, quali sono le tecniche che utilizzano e dove si trovano nel mondo. Speriamo che questo possa aiutarvi a capire le opzioni disponibili per difendervi da questo tipo di attacchi.
Chi è Scattered Spider?
Si tratta di un gruppo di attacco informatico attualmente attivo che si fa chiamare in molti modi. Potreste sentirli nominare Starfraud, UNC3944, Scatter Swine, Octo Tempest, Muddled Libra e, naturalmente, Scattered Spider. Scattered Spider è la cosa più importante che sentirete nominare. Si sono concentrati molto sullo sviluppo di playbook che portano ad attacchi riproducibili con alte percentuali di successo. Questi attacchi si concentrano principalmente sull'identità.
Vediamo molti aggressori che utilizzano le identità, ma Scattered Spider è diventato molto efficace nel trovare modi per aggirare l'MFA ed entrare attraverso le identità cloud . Alla fine si trasformano in attacchi "living-off-the-land" che abbracciano l'intera azienda: cloud, rete, tutto ciò che tocca la nostra identità è in grado di attraversarlo e interagire con esso.
Spesso si sente parlare di Scattered Spider allo stesso modo di ALPHV Blackcat. Questo perché rientrano nel gruppo dei ransomware-as-a-service-affiliati. ALPHV Blackcat si colloca in uno spazio a sé stante, separato da Scattered Spider, ma è intimamente legato a Scattered Spider e merita di essere compreso. Non si può parlare di uno senza parlare dell'altro.
Cosa fa Scattered Spider ?
Questi gruppi hanno una storia di attacchi tradizionali e ibridi agli ambienti aziendali cloud . Troveranno il modo di colpire i dati dove sono più preziosi. Ciò significa che non c'è un'unica area della rete o del cloud da tenere sotto controllo: l'aggressore punta all'intero ambiente.
Quando parliamo di questo aggressore e di ciò che sta facendo, si tratta di un gruppo di ransomware. Hanno una strategia di ransomware che si concentra sulla negazione del servizio e sull'estorsione per i dati rubati. Il denial of service in questo contesto non è un DDoS. Non si tratta solo di interrompere le operazioni. Si tratta di bloccare le operazioni dall'interno, criptando i sistemi, bloccando l'accesso e rendendo difficile l'attività a causa delle loro azioni. Infine, portano i dati fuori sede e chiedono un pagamento o minacciano di diffondere i dati nel mondo o di usarli contro di voi. Si tratta di un'estorsione completa che si aggiunge alla negazione del servizio.
Ci sono molti attori di ransomware là fuori, ma Scattered Spider sta ricevendo molta attenzione a causa della sua associazione con ALPHV Blackcat, che ha alcune delle più alte richieste di ransomware viste nel panorama attuale.
Il ransomware come modello di business
Scattered Spider è un gruppo di attaccanti. Sono loro a condurre gli attacchi. Fanno parte di un modello commerciale di ransomware in cui agiscono come affiliati di un fornitore che fornisce loro strumenti e tecniche per eseguire e guidare un attacco. Questo è il motivo per cui ALPHV Blackcat viene spesso citato nello stesso modo, perché è il loro fornitore di strumenti e c'è un rapporto intimo tra affiliato e fornitore.
C'è anche una terza parte che siede a fianco di un broker di accesso all'identità che si aggiunge al mix, ma in definitiva è Scattered Spider a guidare questi attacchi. Scattered Spider ha i propri strumenti, ma sfrutta anche i punti di controllo off-the-shelf, le tecnologie del provider. Il fornitore è in definitiva colui che conduce le trattative e gestisce i dati trapelati. Quindi, c'è una relazione molto intima tra le due parti.
Lo stato attuale di ALPHV Blackcat e il suo impatto su Scattered Spider
A causa di questa relazione in corso, ci sono stati alcuni cambiamenti in ciò che ci aspettiamo che Scattered Spider faccia nel breve termine. ALPHV Blackcat è effettivamente scomparso dal mercato, almeno di nome, quando è stato eliminato dalle operazioni dell'FBI. Tuttavia, ciò non ha impedito loro di esistere come fornitore di ransomware. Il loro sito web è stato disattivato, ma sono tornati in funzione e, una volta tornati, sono stati immediatamente coinvolti nell'incidente di Change Healthcare.
Alla fine è successo che il denaro è stato trasferito/il ransomware è stato pagato e ALPHV Blackcat ha preso il denaro associato all'affiliato ed è scappato. Normalmente viene pagato l'esecutore del ransomware, ma ALPHV Blackcat è scappato e si è dato alla macchia. In genere, in questi casi, l'aggressore finisce per cambiare marchio e gli strumenti escono in modo diverso. Detto questo, è probabile che ci siano cambiamenti nel modo in cui Scattered Spider opera e negli strumenti specifici che utilizza.
Dal punto di vista di Vectra AI, abbiamo visto attori di ransomware simili in passato e vari servizi SaaS che operano nel settore del ransomware e conosciamo bene il loro modo di operare. Grazie alla nostra attenzione alla copertura comportamentale, Vectra AI rimane molto efficace nel rilevare le tecniche principali che qualsiasi fornitore di ransomware utilizza. Questo include altri fornitori sul mercato di questi strumenti ransomware, senza la funzionalità di base che Scattered Spider come gruppo ha sviluppato per conto proprio.
Attacchi Scattered Spider Cloud
Passiamo in rassegna alcuni esempi documentati di cosa sono questi aggressori e di cosa sta facendo questo gruppo per capire il livello di sofisticazione in questione.
In questo attacco, Scattered Spider ha iniziato con una compromissione dell'identità utilizzando il phishing via SMS e lo scambio di SIM. Si tratta di una tecnica che consente all'aggressore di bypassare l'MFA e di accedere a un'identità. Ci sono altri modi per farlo, ma questo è un modo efficace che ha funzionato bene per questo gruppo e per altri attori attivi delle minacce.
Sebbene esistano indicazioni che indicano che l'accesso è sospetto e modi per rilevarlo, il phishing via SMS è un percorso che consente l'accesso e può aggirare la prevenzione, consentendo di accedere. In questo scenario, ottengono l'accesso a un account di amministrazione di Azure e iniziano immediatamente a interagire con Azure e a scoprire il panorama. Successivamente, interagiscono con diversi strumenti della piattaforma Azure. Iniziano a inserire gli strumenti negli endpoint disponibili, i VMS che sono stati distribuiti in Azure, per effettuare efficacemente la ricognizione dal punto di vista del platform-as-a-service.
Tutto questo porta l'attaccante a tracciare un percorso dall'IaaS stesso. Poiché in Azure (in realtà in qualsiasi tipo di distribuzione Microsoft di macchine virtuali) esiste una funzionalità chiamata console seriale, è stato possibile eseguire codice arbitrario sull'AVM. Si tratta essenzialmente di uno strumento di gestione remota. Ciò consente all'aggressore di eseguire comandi come un SSH inverso da uno qualsiasi degli endpoint che sono macchine virtuali nel cloud Azure.
Ciò che era iniziato come una compromissione dell'identità si è ora spostato nel cloud, passando poi dalla componente platform-as-a-service a quella IaaS, da cui entrano in gioco le tradizionali funzionalità ransomware. Il C2 viene implementato, si verifica un movimento laterale attraverso le connessioni RDP, l'escalation dei privilegi e le tattiche tradizionali che vediamo negli attori del ransomware mentre si muovono attraverso una rete, sono ora tutte in gioco dopo questa infiltrazione più sfumata cloud . Questo porta l'attaccante a commettere un furto di dati e a lasciare un impatto ancora maggiore.
Percorso di attacco dellacloud Scattered Spider - una visione del difensore
Ecco una visione più ingrandita di ciò che è appena accaduto. Al centro c'è il nostro teschio, che rappresenta l'aggressore. Ha ottenuto l'identità Entra ID tramite phishing via SMS. La usano per passare alla piattaforma-as-a-service di Azure e la usano per connettersi direttamente alla IaaS di Azure, dove possono distribuire il comando e il controllo che ha portato l'attaccante nella IaaS. Sono in grado di estendersi su più superfici d'attacco con una prevenzione minima in grado di fermarli. E questo è il tipo di attacco, non l'unico, ma il tipo di attacco che rappresenta le tecniche che entrano in gioco. L'identità in questo esempio era solo una delle tecniche di Scattered Spider.
Scattered Spider è molto efficace nell'accesso e nell'abuso di identità.
Il diagramma seguente mostra alcuni punti di vista diversi sulle tecniche di identità documentate cloud . C'è la visione tradizionale del MITRE delle tecniche di identità che Scattered Spider ha a disposizione nel cloud: Scambio di SIM, bombardamento MFA, phishing vocale, ecc. Registrano la persistenza una volta aggirato l'MFA e possono farlo a livello di dispositivo e di tenant. Possono manipolare gli account e iniziare a raccogliere dati. In definitiva, non si tratta solo di tattiche di identità, ma di un'ampia gamma di strumenti a disposizione dell'attaccante.
Vista completa MITRE ATT&CK di Scattered Spider
Gli archi chiave da notare sono incentrati sul vivere sul territorio: utilizzare l'identità per spostarsi tra le aree di interesse e consentire la persistenza. Stanno eseguendo il programma standard di ransomware che conosciamo bene, come l'utilizzo di canali C2, spesso con strumenti di accesso remoto commerciali o software di terze parti. Non sviluppano payload assurdi, non ne hanno bisogno. Utilizzano invece un modello di ransomware-as-a-service off-the-shelf con strumenti che sono stati convalidati in altri luoghi. Eseguono cose come Mimikatz, utilizzano il movimento laterale, RDP proprio come qualsiasi altro attore di ransomware, e AD dove stanno andando dopo Impact/Exfil, questo è il loro playbook.
Copertura dell'identitàcloud di MITRE ATT&CK di Vectra AIper Scattered Spider
Vectra AI ha osservato Scattered Spider per un po' di tempo. Da tempo monitoriamo i gruppi di ransomware in questa attività di ransomware-as-a-service e la nostra copertura è stata efficace in questo tipo di attacchi. Per avere una prospettiva, questa è la matrice di identità che si riferisce alla nostra copertura.
Vectra AI ha una copertura completa dal lato del cloud per l'identità. Questo include tutto, dalla registrazione alla manipolazione della fiducia del dominio, agli eventi di accesso, ecc. Siamo stati in grado di costruire una copertura che ha un impatto reale sull'individuazione dell'attaccante e delle sue azioni. Per darvi un'idea, ecco alcuni esempi di casi rilevanti per questo spazio di attacco.
Esempio di attacco 1
Si tratta di un attacco anonimo che ricorda le tecniche documentate negli eventi iniziali di un attacco Scattered Spider .
L'attaccante sembra aver effettuato un phishing mirato. Potrebbe trattarsi di un kit di phishing che ha permesso loro di bypassare l'MFA: un altro tipo di software vendibile che esiste sul mercato. Hanno effettuato l'accesso tramite l'account Entra ID e si stavano muovendo per aggiungere la persistenza. Ciò significa che avrebbero registrato un dispositivo perché se si ruba solo un token, si ha un accesso solo temporaneo.
Si tratta di un caso reale identificato dal servizio MDR di Vectra. È stato individuato nei primi 5 minuti dell'attacco e bloccato. Se l'attacco fosse andato a buon fine, l'aggressore avrebbe avuto molte opportunità di creare scompiglio, ma grazie alla visibilità di Vectra AIsiamo riusciti a bloccare l'incidente.
Esempio di attacco 2
Ecco un altro esempio più sfumato di attacco.
Questo attacco prevedeva che un aggressore guidasse un phishing vocale che portava essenzialmente a una reimpostazione della password. Ci sono altre segnalazioni che indicano che si tratta di una tecnica Scattered Spider , ma anche quando ciò accade, ci sono aspetti dell'accesso che sono identificabili come sospetti. C'è l'opportunità di allertare su quell'evento asse, ma in definitiva in tutti i casi che vediamo, gli aggressori non fanno una cosa sola e Scattered Spider non è diverso.
Si noterà quindi l'accesso a Exchange, passando per le applicazioni SaaS e spostandosi in M365, per poi iniziare a mettere in atto un accesso ridondante a livello di trust federato con un account di livello amministratore e sondando Azure. L'opportunità di fermarlo c'era, perché l'organizzazione aveva la giusta visibilità. Ma si può vedere tutto, dall'accesso anonimo, a una tecnica di Azure VMA per eludere il rilevamento, alla persistenza di Exchange, alla delega dell'accesso per poter manipolare gli account in quel dominio, alle interazioni con SharePoint, alla trasformazione del trust federato per la persistenza; in questo caso, il cloud Azure più ampio era a disposizione dell'attaccante. Fortunatamente, questa organizzazione disponeva degli strumenti giusti per bloccare l'aggressore prima che si verificasse l'impatto.
Visione completa di MITRE ATT&CK di Scattered Spider con la piattaforma Vectra AI
Vectra AI fornisce una copertura di cloud, rete e identità per Scattered Spider (e attacchi simili). In verde sono evidenziate le aree coperte da Vectra AI.
Data la diversità di questo tipo di attaccanti, è fondamentale avere visibilità sia dalla fase dell'identità, sia dalla fase del cloud fino al tipo di componenti di rete effettivi, nonché chiarezza una volta ottenuta la copertura.
È qui che entra in gioco la prioritizzazione di Vectra AI: coordinare i segnali più disparati in un unico segnale chiaro e dare chiarezza a tutti quei passaggi che avvengono tra la rete e il cloud.
Quindi, dal lato della risposta o del controllo, si sa che c'è l'opportunità di sfruttare le integrazioni di Azure AD per disabilitare gli account, l'integrazione di AD sulla rete per disabilitare gli account, le integrazioni EDR per disabilitare l'endpoint o qualsiasi altra funzionalità di risposta vettoriale più ampia per intraprendere un'azione immediata.
Per maggiori dettagli, guardate l'informativa completa sulla minaccia Scattered Spider .
Per ulteriori informazioni sulla piattaforma Vectra AI , consultate le seguenti risorse utili: