Scattered Spider
Scattered Spider è un attore di minacce finanziariamente motivato, noto per l'uso sofisticato dell'ingegneria sociale, dell'abuso di identità e degli attacchi ransomware ad alto impatto. Attivo dall'inizio del 2022, il gruppo si è evoluto rapidamente, prendendo di mira un'ampia gamma di settori in diversi Paesi.
L'origine di Scattered Spider
Scattered Spiderconosciuto anche con pseudonimi quali Storm-0875, LUCR-3, Octo Tempest, Roasted 0ktapus, Scatter Swine e UNC3944, è un prolifico avversario della criminalità elettronica attivo dall'inizio del 2022. Si ritiene che operi principalmente nei Paesi occidentali, SCATTERED SPIDER è noto per i suoi attacchi finanziari ad alto impatto, in particolare contro organizzazioni ad alto fatturato. Le sue operazioni si sono evolute dal furto di credenziali e dallo scambio di SIM a distribuzioni di ransomware di alto profilo, spesso con l'estorsione come obiettivo finale.
Le prime campagne si concentravano sulle aziende di gestione delle relazioni con i clienti (CRM) e di outsourcing dei processi aziendali (BPO). Tuttavia, dall'aprile 2023, il loro ambito operativo si è ampliato con l'adozione del ransomware come strumento principale di monetizzazione. Nonostante l'arresto di presunti membri adolescenti nel 2024 da parte delle forze dell'ordine britanniche e statunitensi, il gruppo rimane attivo.
Paesi destinatari di
Il gruppo si rivolge a numerosi Paesi in più continenti. Tra gli esempi più significativi vi sono:
- Stati Uniti, Canada e Brasile nelle Americhe.
- Regno Unito, Germania, Italia, Francia e Svizzera in Europa.
- Corea del Sud, Giappone, Singapore, India e Australia nella regione Asia-Pacifico.
Industrie prese di mira da Scattered Spider
Scattered Spider si distingue per l'ampiezza dei settori a cui si rivolge. Questi includono:
- Telecomunicazioni e tecnologia, in particolare nelle sue prime campagne.
- Retail, servizi finanziari e beni di consumo, che hanno visto aumentare il numero di bersagli quando il ransomware è diventato centrale per le loro attività.
- Un'ampia gamma di altri settori, come quello manifatturiero, alberghiero, legale, sanitario, energetico e delle criptovalute, indica un approccio non discriminatorio di "caccia grossa" focalizzato sulla redditività.
Vittime del Scattered Spider
Sebbene molte vittime rimangano senza nome a causa della natura sensibile degli incidenti, è confermato che SCATTERED SPIDER colpisce principalmente:
- Aziende Fortune 500
- Organizzazioni ad alto fatturato
- Aziende con accesso ai dati sensibili degli utenti e all'infrastruttura su scala aziendale
Metodo di attacco del Scattered Spider
Si ottiene attraverso tattiche avanzate di social engineering come lo smishing, il vishing e l'impersonificazione di helpdesk IT. Gli aggressori sfruttano la fiducia degli utenti per aggirare l'autenticazione e ottenere l'accesso.
Prendono di mira gli account con privilegi elevati, spesso concentrandosi sul personale IT, di sicurezza e di livello superiore.
Uso di malware personalizzato (ad esempio, CS-Paralyzer), riavvii in modalità provvisoria, modifica del registro di sistema e bootkit UEFI personalizzati (come BlackLotus) per disabilitare o aggirare gli strumenti EDR/AV.
Raccolto tramite kitphishing , Mimikatz, secretsdump.py, DCSync e catture di RAM.
Utilizzare strumenti legittimi e documentazione interna per mappare l'ambiente.
Attraverso RDP, SSH, PSExec e comandi Azure, sfruttano le relazioni di fiducia interne.
Esfiltrare i dati da SharePoint, GSuite, condivisioni di file interne e archivi di posta elettronica.
Distribuzione di malware o strumenti RMM come AnyDesk, ScreenConnect e TightVNC.
Sfruttate strumenti come Chisel e Plink per creare un tunnel di dati verso server remoti o canali Telegram.
Cripta i dati con ransomware come Alphv, DragonForce, Qilin e RansomHub. A volte si impegna in una doppia estorsione.
Si ottiene attraverso tattiche avanzate di social engineering come lo smishing, il vishing e l'impersonificazione di helpdesk IT. Gli aggressori sfruttano la fiducia degli utenti per aggirare l'autenticazione e ottenere l'accesso.
Prendono di mira gli account con privilegi elevati, spesso concentrandosi sul personale IT, di sicurezza e di livello superiore.
Uso di malware personalizzato (ad esempio, CS-Paralyzer), riavvii in modalità provvisoria, modifica del registro di sistema e bootkit UEFI personalizzati (come BlackLotus) per disabilitare o aggirare gli strumenti EDR/AV.
Raccolto tramite kitphishing , Mimikatz, secretsdump.py, DCSync e catture di RAM.
Utilizzare strumenti legittimi e documentazione interna per mappare l'ambiente.
Attraverso RDP, SSH, PSExec e comandi Azure, sfruttano le relazioni di fiducia interne.
Esfiltrare i dati da SharePoint, GSuite, condivisioni di file interne e archivi di posta elettronica.
Distribuzione di malware o strumenti RMM come AnyDesk, ScreenConnect e TightVNC.
Sfruttate strumenti come Chisel e Plink per creare un tunnel di dati verso server remoti o canali Telegram.
Cripta i dati con ransomware come Alphv, DragonForce, Qilin e RansomHub. A volte si impegna in una doppia estorsione.
TTP utilizzati da Scattered Spider
Come rilevare i Scattered Spider con Vectra AI
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.
DOMANDE FREQUENTI
Cosa rende Scattered Spider diverso dagli altri gruppi di minaccia?
Essi combinano in modo unico l'ingegneria sociale, lo scambio di SIM e gli strumenti legittimi per aggirare i meccanismi di sicurezza senza bisogno di exploit zero-day .
Come fa Scattered Spider a ottenere l'accesso iniziale?
Principalmente attraverso smishing, vishing e phishing per raccogliere le credenziali e convincere gli agenti dell'helpdesk a reimpostare l'MFA/autenticazione.
Che tipo di malware o strumenti utilizza Scattered Spider ?
Utilizzano un mix di strumenti RMM commerciali (ad esempio, AnyDesk), ransomware (ad esempio, Alphv, Qilin) e utility personalizzate (ad esempio, CS-Paralyzer, Pumpy).
Le operazioni di Scattered Spider sono completamente automatizzate?
No. Utilizzano kit di phishing automatizzati, ma la maggior parte delle operazioni di post-accesso si basa su azioni manuali dell'operatore.
L'MFA tradizionale può proteggere da Scattered Spider?
Non in modo affidabile. Utilizzano lo scambio di SIM, l'affaticamento dell'MFA e l'abuso di SSPR per aggirare le protezioni MFA.
Quali tecniche di rilevamento possono essere utili?
L'implementazione di una solida soluzione di Network Detection and Response (NDR) è fondamentale per identificare e interrompere l'attività di SCATTERED SPIDER. L'NDR è in grado di rilevare movimenti laterali, comunicazioni C2 e modelli insoliti di esfiltrazione dei dati nel traffico est-ovest e nord-sud, anche quando gli avversari utilizzano strumenti legittimi come RDP, PSExec o tunnel crittografati (ad esempio, Chisel, Plink).
Cosa sono i segnali di compromissione (IoC)?
L'uso di servizi di condivisione di file (ad esempio, file.io), connessioni RMM insolite e ripristini MFA avviati dall'helpdesk IT sono indicatori comuni.
Come fa Scattered Spider a mantenere la persistenza?
Tramite bootkit, attività pianificate, nuove iscrizioni MFA e strumenti di sicurezza disabilitati.
Scattered Spider utilizza sempre il ransomware?
Non sempre. In alcuni casi, mirano al furto di dati e all'estorsione senza l'impiego di ransomware.