Θέμα ανάρτησης: Απειλή νοημοσύνη

Οδηγίες για Προληπτική Άμυνα

Παράγεται από το ISAC Χρηματοοικονομικών Υπηρεσιών, το ISAC Πληροφορικής, το ISAC Τροφίμων και Γεωργίας, το ISAC Υγείας, το ISAC Αεροπορίας, το ISAC Αυτοκινητοβιομηχανίας, το ISAC Λιανικής και Φιλοξενίας, το ISAC Θαλάσσιων Μεταφορών, το ISAC Ηλεκτρικής Ενέργειας και το Εθνικό Συμβούλιο ISAC, με συνεισφορές από εταίρους του ιδιωτικού τομέα Επικοινωνιών του ISAC.

Λήψη

Έκδοση κειμένου:

Ανάλυση απειλής διάσπαρτης αράχνης

Εισαγωγή

Τα μέλη του Εθνικού Συμβουλίου ISAC (NCI) αξιολογούν με μεγάλη βεβαιότητα ότι η ομάδα Scattered Spider αποτελεί πραγματική απειλή και ότι η ικανότητά της να εκμεταλλεύεται τα ανθρώπινα τρωτά σημεία μέσω κοινωνικής μηχανικής καθιστά την ομάδα σημαντικό κίνδυνο για τους οργανισμούς.

Αυτή η ανάλυση περιγράφει λεπτομερώς τη δραστηριότητα της Scattered Spider με βάση την παρατηρούμενη εμπορική της δραστηριότητα σε όλους τους τομείς από τον Μάιο του 2025, παρέχοντας:

🔹 Ιστορικό στο Scattered Spider, ώστε οι εταιρείες να μπορούν να οραματιστούν καλύτερα την επιφάνεια απειλής τους

🔹 Τεχνικές διαδικασίες και πολιτισμικές πρακτικές για την αποτροπή επιθέσεων Scattered Spider

🔹 Ανάλυση μελών του Κέντρου Κοινής Χρήσης και Ανάλυσης Πληροφοριών (ISAC) και πληροφοριών του FBI και αντίστοιχης MITRE ATT&CK® μετριασμούς

Τα συνιστώμενα μέτρα έχουν αποδειχθεί αποτελεσματικά κατά του Scattered Spider και παρόμοιων απειλητικών φορέων, σύμφωνα με την αξιολόγηση των εμπειρογνωμόνων σχετικά με τις πληροφορίες. Τα μέτρα μετριασμού ενσωματώνουν τις βασικές ανάγκες του FS-ISAC. βασικές αρχές του κυβερνοχώρου, που συνδέεται με τα TTP (τακτικές, τεχνικές και διαδικασίες) της Scattered Spider με βάση γνωστές απειλές.

Ωστόσο, οι απειλητικοί παράγοντες όπως το Scattered Spider καινοτομούν συνεχώς, επομένως οι οργανισμοί πρέπει να είναι επιμελείς στη συνεχή παρακολούθηση των διαδικασιών και των ταυτοτήτων τους, ώστε να αναζητούν νέα exploits.

Αυτά τα ευρήματα προέκυψαν σε συνεργασία με τα ISAC των Χρηματοοικονομικών Υπηρεσιών, της Πληροφορικής, των Τροφίμων και Γεωργίας, της Υγείας, της Αεροπορίας, της Αυτοκινητοβιομηχανίας, του Λιανικού Εμπορίου και της Φιλοξενίας, και του Συστήματος Θαλάσσιων Μεταφορών, και το NCI. Το NCI περιλαμβάνει 28 οργανισμούς και έχει σχεδιαστεί για να μεγιστοποιεί τη ροή πληροφοριών σε κρίσιμες υποδομές του ιδιωτικού τομέα και κυβερνητικές υπηρεσίες.

Ιστορικό και TTPs

Η Scattered Spider είναι μια ομάδα νέων ανεξάρτητων χειριστών με οικονομικά – και όχι ιδεολογικά – κίνητρα στο Ηνωμένο Βασίλειο, τις ΗΠΑ και τον Καναδά. Σύμφωνα με ερευνητές, η Scattered Spider αποτελεί μέρος μιας μεγαλύτερης κοινότητας hacking γνωστής ως The Community ή The Com, η οποία οργανώνεται μέσω διαδικτυακών πλατφορμών, συμπεριλαμβανομένων των ομαδικών συνομιλιών Discord και Telegram. Η Scattered Spider χρησιμοποιεί εξαιρετικά αποτελεσματικές τεχνικές κοινωνικής μηχανικής και κλοπή διαπιστευτηρίων για να αποκτήσει πρόσβαση σε δίκτυα-στόχους και στη συνέχεια αποκομίζει έσοδα από τις επιθέσεις της μέσω κλοπής δεδομένων, εκβιασμού ή επιχειρήσεων ransomware συνεργατών. Η ομάδα είναι γνωστή για την εκτεταμένη αναγνώριση που εντοπίζει άτομα προς υιοθέτηση ή υπαλλήλους προς στόχευση. Μεγάλο μέρος της επιτυχίας της Scattered Spider αποδίδεται στην ταχύτητά της και στην εύκολη και προσαρμόσιμη στόχευσή της.

*****

Πλευρική γραμμή:

Οι απειλητικοί παράγοντες συμμετέχουν συχνά σε κλήσεις και τηλεδιασκέψεις για την αποκατάσταση και την αντιμετώπιση περιστατικών, πιθανότατα για να εντοπίσουν πώς οι ομάδες ασφαλείας τους κυνηγούν και να αναπτύξουν προληπτικά νέες οδούς εισβολής ως απάντηση στις άμυνες των θυμάτων. Αυτό επιτυγχάνεται μερικές φορές με τη δημιουργία νέων ταυτοτήτων στο περιβάλλον και συχνά υποστηρίζεται με ψεύτικα προφίλ στα μέσα κοινωνικής δικτύωσης για την υποστήριξη των νεοδημιουργημένων ταυτοτήτων. Συμβουλευτική Κυβερνοασφάλειας: Διάσπαρτη Αράχνη – κοινή συμβουλευτική επιτροπή του Ομοσπονδιακού Γραφείου Ερευνών (FBI) και της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA)

*****

Ενεργή από τις αρχές του 2022, η Scattered Spider αρχικά παρατηρήθηκε να στοχεύει φορείς τηλεπικοινωνιών και εξωτερικής ανάθεσης επιχειρηματικών διαδικασιών (BPO), πιθανώς ως εφαλτήριο για επιχειρήσεις κοινωνικής μηχανικής για την απόκτηση μη εξουσιοδοτημένης πρόσβασης σε άλλους στόχους και τα ενδιαφερόμενα μέρη τους. Έκτοτε, η ομάδα έχει συνδεθεί με πάνω από 100 επιθέσεις σε πολλαπλούς κάθετους τομείς της αγοράς, αλλά τείνει να στοχεύει έναν τομέα κάθε φορά. Η Scattered Spider είναι διαβόητη για την παραβίαση των Caesars Entertainment και MGM Resorts το 2023 και την επίθεση του 2022 στο Twilio, η οποία είχε ως αποτέλεσμα μια επίθεση στην αλυσίδα εφοδιασμού που επηρέασε την εφαρμογή ανταλλαγής μηνυμάτων Signal. Στόχευσε λιανοπωλητές στις ΗΠΑ και το Ηνωμένο Βασίλειο τον Απρίλιο και τον Μάιο του 2025, και στη συνέχεια μετέφερε την εστίασή της στον χρηματοπιστωτικό τομέα, ιδίως στις ασφαλιστικές εταιρείες, και στον τομέα της αεροπορίας.

1. Αρχική πρόσβαση αποκτήθηκε μέσω:

   >Επιθέσεις κοινωνικής μηχανικής

   >Επιθέσεις κόπωσης MFA

2. Καταγράφει δικαιώματα διαχειριστή με:

   • Ντάμπινγκ διαπιστευτηρίων
   • Αποθηκευμένα διαπιστευτήρια και μυστικά

3. Επιμονή που επιτυγχάνεται με:

>Προγραμματισμένες εργασίες

>Κακόβουλες υπηρεσίες

>Δημιουργία τοπικού χρήστη

>Μηχανισμοί διατήρησης cloud

4. Η αμυντική διαφυγή διευκολύνεται από:

>Απενεργοποίηση AV/EDR

>Τροποποίηση GPO των Windows

>Απενεργοποίηση του Defender, της καταγραφής ή της τηλεμετρίας

>Κατάργηση προγραμμάτων οδήγησης EDR

5. Πλευρική κίνηση μέσω:

>PsExec

>Τηλεχειρισμός PowerShell

>WMI

>Νόμιμες συνδέσεις VPN ή Citrix

Μια τυπική τακτική είναι να πειστούν οι εκπρόσωποι του τμήματος υποστήριξης IT να εκτελούν επαναφορές κωδικών πρόσβασης αυτοεξυπηρέτησης (SSPR) για στοχευμένους λογαριασμούς. Οι τεχνικές του Scattered Spider περιλαμβάνουν τη χρήση... μηνύματα μέσω υπηρεσίας σύντομων μηνυμάτων (SMS) — δηλαδή, γραπτά μηνύματα — και φωνητικό ηλεκτρονικό ψάρεμα (smishing και vishing) για την καταγραφή διαπιστευτηρίων για πίνακες ελέγχου ενιαίας σύνδεσης (SSO), Microsoft Office 365/Azure, VPN και συσκευές edge.

Η ομάδα είναι επίσης γνωστή για την παραβίαση του πολυπαραγοντικού ελέγχου ταυτότητας (MFA) μέσω της ανταλλαγής μονάδας ταυτότητας συνδρομητή (SIM). Στη συνέχεια, αποτρέπει το MFA μέσω κόπωσης ειδοποιήσεων ή πείθει τους εκπροσώπους της υπηρεσίας υποστήριξης να επαναφέρουν τη μέθοδο MFA των στοχευμένων λογαριασμών.

Μετά την επιτυχή παραβίαση του λογαριασμού ενός χρήστη, οι χειριστές του Scattered Spider καταχωρούν άλλες συσκευές στον λογαριασμό. Όταν μπορούν να αποκτήσουν δικαιώματα διαχειριστή, δημιουργούν λογαριασμούς που ελέγχονται από εισβολείς στο περιβάλλον του θύματος. Στη συνέχεια, ο απειλητικός παράγοντας δημιουργεί persistence για μη εξουσιοδοτημένη πρόσβαση στο περιβάλλον του θύματος και δημιουργεί πλεονάζοντα δεδομένα για να αποτρέψει τις προσπάθειες αφαίρεσης κακόβουλου λογισμικού ή πρόσβασης.

Η επακόλουθη αναγνωριστική δραστηριότητα περιλαμβάνει την προσπάθεια ανακάλυψης εταιρικών πλατφορμών – συμπεριλαμβανομένων των Windows, Linux, Google Workspace, Microsoft Entra ID (πρώην Azure Active Directory), Microsoft 365, AWS και άλλων εργαλείων που φιλοξενούνται σε υποδομή cloud – και την πλευρική κίνηση, τη λήψη των κατάλληλων εργαλείων για την εξαγωγή ευαίσθητων δεδομένων.

*****

Πλευρική γραμμή:

Το Health-ISAC έλαβε πληροφορίες που συνδέουν το botnet Amadey με επιθέσεις Scattered Spider. Το botnet Amadey έχει χρησιμοποιηθεί από φορείς ransomware όπως οι BlackSuit, BlackBasta και Akira για την εγκατάσταση κακόβουλων προγραμμάτων (loaders) στα δίκτυα των θυμάτων. Το botnet έχει αποφύγει τα μέτρα επιβολής του νόμου κατά των πλατφορμών malware-as-a-service (MaaS), επιτρέποντάς του να εξελίσσεται από το 2018.

*****

Αυτή η βαθιά κατανόηση της εγγενούς υποδομής του θύματος επιτρέπει στο Scattered Spider να εκτελεί κακόβουλες επακόλουθες δραστηριότητες. Μέσω αυτής της βαθιάς κατανόησης - π.χ., της ικανότητάς του να εκτελεί τεχνικές «ζωντανού από τη γη» - η ομάδα μπορεί να αποφύγει τις τυπικές μεθόδους ανίχνευσης. Η ομάδα απειλών μπορεί επίσης να αναπτύξει κακόβουλο λογισμικό που καταρρίπτει κακόβουλα υπογεγραμμένα προγράμματα οδήγησης που έχουν σχεδιαστεί για να τερματίζουν διεργασίες που σχετίζονται με λογισμικό ασφαλείας και να διαγράφουν αρχεία.

Το Scattered Spider χρησιμοποιεί πρόσφατα καταχωρημένα και εξαιρετικά πειστικά ονόματα domain phishing που μιμούνται νόμιμες πύλες σύνδεσης, ειδικά σελίδες ελέγχου ταυτότητας Okta. Αυτά τα domain έχουν μικρή διάρκεια ζωής ή χρόνο λειτουργίας, καθιστώντας δύσκολη την ανίχνευση.

Από το 2023, ο Scattered Spider έχει παρατηρηθεί να χρησιμοποιεί πέντε ξεχωριστά κιτ ηλεκτρονικού "ψαρέματος" (phishing), καθώς οι στρατηγικές ανάπτυξης της ομάδας έχουν εξελιχθεί ώστε να περιλαμβάνουν παρόχους Dynamic DNS. Επιπλέον, η ομάδα έχει συμπεριλάβει το trojan απομακρυσμένης πρόσβασης (RAT) Spectre στην αλυσίδα επιθέσεών της για ανάπτυξη κακόβουλου λογισμικού σε παραβιασμένα συστήματα με σκοπό την απόκτηση μόνιμης πρόσβασης. Αυτό το κακόβουλο λογισμικό περιλαμβάνει μηχανισμούς για απομακρυσμένη απεγκατάσταση και διαμεσολάβηση συνδέσεων σε πρόσθετους διακομιστές εντολών και ελέγχου (C2), υποδηλώνοντας ότι η ομάδα ενδέχεται να χρησιμοποιεί την υποδομή C2 για τη διεξαγωγή ενεργειών μετά την εκμετάλλευση σε δίκτυα θυμάτων.

*****

Πλευρική γραμμή:

Διάσπαρτη Αράχνη Συμβουλευτική για την κυβερνοασφάλεια που παράγεται από κοινού από το FBI, το CISA, την Βασιλική Καναδική Έφιππη Αστυνομία, το Αυστραλιανό Κέντρο Κυβερνοασφάλειας της Διεύθυνσης Διαβιβάσεων της Αυστραλίας, την Αυστραλιανή Ομοσπονδιακή Αστυνομία, το Καναδικό Κέντρο Κυβερνοασφάλειας και το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου

*****

συστάσεις

Οι ακόλουθες συστάσεις έχουν αποδειχθεί αποτελεσματικές για τα μέλη του ISAC. Πολλές προέρχονται από τα FS-ISAC. βασικές αρχές του κυβερνοχώρου, μια βασισμένη στον κίνδυνο, εις βάθος προσέγγιση άμυνας των βασικών αναγκών κυβερνοασφάλειας που εφαρμόζονται σε οργανισμούς σε οποιοδήποτε επίπεδο κυβερνοωριμότητας.

Χρησιμοποιήστε μια διαδικασία επαλήθευσης πολλαπλών καναλιών — Κανένας οργανισμός δεν πρέπει να βασίζεται σε ένα μόνο κανάλι επικοινωνίας για τις αλλαγές κωδικού πρόσβασης ή τα αιτήματα επαναφοράς MFA των εργαζομένων. Ορισμένες εταιρείες ενδέχεται να επωφεληθούν από τη χρήση μιας προκαθορισμένης λίστας ερωτήσεων στην οποία μόνο ο εργαζόμενος θα μπορούσε να απαντήσει για την έναρξη επαναφοράς κωδικού πρόσβασης και MFA. Και οι εργαζόμενοι πληροφορικής θα πρέπει πάντα να αισθάνονται ότι έχουν την εξουσία να αμφισβητούν οποιοδήποτε αίτημα επαλήθευσης άλλου υπαλλήλου.

Βήματα δράσης:

• Το τμήμα πληροφορικής θα πρέπει να χρησιμοποιεί πολυκαναλική επαλήθευση, συμπεριλαμβανομένων:
• Επαλήθευση αιτημάτων που υποβάλλονται μέσω email, SMS ή τηλεφώνου με επανάκληση σε έναν προεγγεγραμμένο και γνωστό αριθμό τηλεφώνου
• Στατικοί κωδικοί PIN σε μια φυσική κάρτα
• Οπτική επικύρωση
• Χρησιμοποιήστε έναν φωνητικό κωδικό πρόσβασης που γνωρίζουν μόνο οι εργαζόμενοι ή ένα σύνολο απαντήσεων σε ερωτήσεις που δεν είναι εύκολο να μαντέψουν, π.χ. «Ποιο είναι το πατρικό όνομα της μητέρας σας; Ποια ήταν η ημερομηνία έναρξης της απασχόλησής σας; Ποια είναι η ετικέτα περιουσιακού στοιχείου του φορητού υπολογιστή εργασίας σας;»

Απαιτείται η έγκριση ορισμένων τύπων αιτημάτων από δύο υπαλλήλους — όπως μεγάλες οικονομικές μεταφορές — ή αιτημάτων από υπαλλήλους με υψηλό επίπεδο προνομίων.

• Επικοινωνήστε με τον διευθυντή του υπαλλήλου όταν ο υπάλληλος ζητήσει επαναφορά τόσο των διαπιστευτηρίων όσο και του MFA..
• Να καλλιεργήσετε μια κουλτούρα όπου το προσωπικό πληροφορικής αναμένεται και θα έχει την εξουσία να αμφισβητεί τυχόν ασυνήθιστα ή εξαιρετικά ευαίσθητα αιτήματα, ακόμη και από στελέχη, χωρίς φόβο επιπτώσεων.

Εστίαση στις τακτικές κοινωνικής μηχανικής — Το Scattered Spider βασίζεται σε exploits κοινωνικής μηχανικής και είναι πολύ δημιουργικό στη χρήση του ηλεκτρονικού "ψαρέματος" (phishing), του vishing (επιθέσεων μέσω διαδικτύου) και του smishing (απειλήσεων μέσω διαδικτύου). Η ομάδα απειλών συχνά ενσταλάζει μια αίσθηση επείγοντος στα δολώματά της και εκμεταλλεύεται τους φόβους, την ενσυναίσθηση και τον σεβασμό για την εξουσία των θυμάτων. Συμπεριλάβετε αυτά τα TTP σε προσομοιώσεις και δοκιμάστε τις αντιδράσεις των εργαζομένων σε αυτά.

Βήματα δράσης:

• Εφαρμόστε συνεχή, υποχρεωτική εκπαίδευση ευαισθητοποίησης σχετικά με την ασφάλεια και προσομοιώσεις ηλεκτρονικού "ψαρέματος" (phishing) με κοινά και τρέχοντα δολώματα.
• Προσαρμόστε την εκπαίδευση στον ρόλο — Το γραφείο υποστήριξης IT, οι εκπρόσωποι εξυπηρέτησης πελατών, το προσωπικό ανθρώπινου δυναμικού και τα στελέχη C-Suite ενδέχεται να χρειάζονται πιο λεπτομερή και συγκεκριμένη εκπαίδευση σχετικά με τις τακτικές των απειλητικών παραγόντων και τις τρέχουσες εκστρατείες.
• Εκπαιδεύστε τους εκπροσώπους εξυπηρέτησης πελατών σχετικά με τις διαδικασίες του γραφείου υποστήριξης. Για παράδειγμα, επιβεβαιώστε ότι το γραφείο υποστήριξης δεν θα ζητήσει ποτέ από έναν υπάλληλο να εγκαταστήσει λογισμικό απομακρυσμένης βοήθειας ή να παρακάμψει οποιονδήποτε έλεγχο ασφαλείας.
• Χρησιμοποιήστε τα λιγότερα προνόμια, έτσι ώστε οι εργαζόμενοι, και ιδίως οι εκπρόσωποι εξυπηρέτησης πελατών, να απαιτούν πρόσθετη επαλήθευση από τον τελικό χρήστη πριν από την παροχή μεγαλύτερης πρόσβασης.

Ελέγξτε τα προφίλ των διαχειριστών στα μέσα κοινωνικής δικτύωσης, ιδιαίτερα των διαχειριστών cloud Τα προφίλ και οι αναρτήσεις των διαχειριστών στα μέσα κοινωνικής δικτύωσης μπορούν να εμφανίζουν ακούσια πληροφορίες σχετικές με την εργασία τους - δηλαδή, ευθύνες, ιστορικό εργασίας, συναδέλφους, καθημερινή ρουτίνα - τις οποίες χρησιμοποιούν οι απειλητικοί παράγοντες για να προσαρμόσουν τις επιθέσεις (π.χ., αξιοποίηση ταξιδιωτικών δρομολογίων για την εδραίωση αξιοπιστίας ή επείγοντος σε μια εκστρατεία επιθέσεων). Οι διαχειριστές cloud αποτελούν ιδιαίτερους στόχους. Η απόκτηση των δικαιωμάτων πρόσβασής τους θα παρείχε στους απειλητικούς παράγοντες πρόσβαση και έλεγχο σε πολύτιμους πόρους cloud και τη δυνατότητα πρόκλησης εκτεταμένων ζημιών. Οι εταιρείες θα πρέπει να θεσπίσουν πολιτικές κοινωνικών μέσων που περιγράφουν τις πληροφορίες που εκμεταλλεύονται οι απειλητικοί παράγοντες και να απαγορεύουν τέτοιες πληροφορίες σε αναρτήσεις στα μέσα κοινωνικής δικτύωσης. Ελέγχετε τακτικά τα μέσα κοινωνικής δικτύωσης των διαχειριστών - ειδικά τις αναρτήσεις των διαχειριστών cloud - για ευθυγράμμιση με την πολιτική κοινωνικών μέσων.

Βήματα δράσης:

• Αναπτύξτε και εφαρμόστε λεπτομερείς πολιτικές για τα μέσα κοινωνικής δικτύωσης, οι οποίες αφορούν συγκεκριμένα την πρόσβαση και εξηγούν τους τύπους πληροφοριών που επιτρέπεται — και δεν επιτρέπεται — να δημοσιεύονται.
• Διεξαγωγή ελέγχων για τη διασφάλιση της συμμόρφωσης.
• Παροχή εκπαίδευσης σχετικά με τους κινδύνους της κοινοποίησης ευαίσθητων επαγγελματικών στοιχείων.

Αξιολόγηση δικαιωμάτων πρόσβασης στο Helpdesk - Τα δικαιώματα του Helpdesk μπορούν να μεταβληθούν με την πάροδο του χρόνου, δίνοντας μερικές φορές προνόμια σε όλες τις κονσόλες διαχειριστή, όπως η ροή αλληλογραφίας, τα στοιχεία ελέγχου ασφαλείας κ.λπ. Ο έλεγχος των δικαιωμάτων πρόσβασης του helpdesk διασφαλίζει την ευθυγράμμιση με τις λειτουργικές ανάγκες, αποτρέποντας παράλληλα την μη εξουσιοδοτημένη πρόσβαση που θα μπορούσε να αξιοποιηθεί από απειλητικούς παράγοντες όπως το Scattered Spider. Τα αυτοματοποιημένα συστήματα διαχείρισης ενισχύουν την εποπτεία.

Βήματα δράσης:

• Εφαρμογή αυτοματοποιημένων συστημάτων για συνεχή παρακολούθηση και προσαρμογή των δικαιωμάτων πρόσβασης.
• Προγραμματίστε τακτικές αξιολογήσεις πρόσβασης για να διασφαλίσετε την ευθυγράμμιση με τις λειτουργίες της εργασίας.

Παρακολούθηση εικονικών μηχανών σε περιβάλλοντα cloud – Εφαρμόστε εργαλεία παρακολούθησης για την παροχή ειδοποιήσεων σχετικά με μη εξουσιοδοτημένες δραστηριότητες εικονικής μηχανής (VM), όπως ύποπτες υπηρεσίες, μη φυσιολογική χρήση πόρων και προσπάθειες κλιμάκωσης δικαιωμάτων, με πρωτόκολλα για την ταχεία απομόνωση και τερματισμό ύποπτων VM. Αυτή η δυνατότητα ταχείας απόκρισης είναι ζωτικής σημασίας για τον εντοπισμό ύποπτης δραστηριότητας, την πρόληψη πιθανών παραβιάσεων και τον μετριασμό των απειλών.

Βήματα δράσης:

• Δημιουργήστε μια λίστα με επιτρεπόμενες δραστηριότητες.
• Εγκαταστήστε συστήματα παρακολούθησης και ειδοποίησης και αναζητήστε κενά σε αυτά.
• Καθιέρωση πρωτοκόλλων ταχείας αντίδρασης για μη εξουσιοδοτημένες δραστηριότητες.
• Εξαλείψτε τα περιττά εργαλεία RMM και ενσωματώστε honeytokens γύρω από τη χρήση των εργαλείων RMM για έγκαιρη ανίχνευση και ορισμό δακτυλικών αποτυπωμάτων.
• Ρυθμίστε τα προγράμματα περιήγησης και τις εργασίες για να διαγράφετε τακτικά τα μόνιμα cookies.
• Ελαχιστοποιήστε τη χρονική διάρκεια που ένα web cookie είναι βιώσιμο — Το Scattered Spider τα χρησιμοποιεί για να δημιουργήσει μόνιμη πρόσβαση και εξαγωγή δεδομένων.

Έλεγχος των ελέγχων ασφαλείας της υποδομής εικονικής επιφάνειας εργασίας - Βεβαιωθείτε ότι τα περιβάλλοντα υποδομής εικονικής επιφάνειας εργασίας (VDI) είναι ασφαλή με MFA και παρακολουθείτε συνεχώς τις δραστηριότητες των χρηστών.

Βήματα δράσης:

• Ελέγξτε τη λίστα χρηστών VDI για να βεβαιωθείτε ότι είναι ενημερωμένη.
• Εφαρμογή του MFA.
• Μην επιτρέπετε σε προσωπικές συσκευές να έχουν άμεση πρόσβαση στο Office 365, το Enterprise Google Workspace, τα εταιρικά VPN κ.λπ.
• Απαιτείται MFA ανθεκτικό στο ηλεκτρονικό ψάρεμα (phishing), όπως YubiKeys, Windows Hello for Business κ.λπ. Μην εμπιστεύεστε τους χρήστες να εγκρίνουν αιτήματα MFA ή να δίνουν κωδικούς.
• Εάν ένας οργανισμός διαθέτει VDI που επιτρέπει την πρόσβαση τρίτων, βεβαιωθείτε ότι αυτά τα VDI δεν μπορούν να έχουν πρόσβαση σε Secure Shells (SSH) ή πρωτόκολλα απομακρυσμένης επιφάνειας εργασίας (RDP) ή να έχουν πρόσβαση σε ιστότοπους που δεν είναι απαραίτητοι για την εκτέλεση της εργασίας του χρήστη.
• Διεξαγωγή τακτικών ελέγχων και παρακολούθησης σε πραγματικό χρόνο όλων των συνεδριών των χρηστών.
• Επιβεβαιώστε ότι δεν υπάρχουν MFA μέσω SMS σε καμία εφαρμογή, συμπεριλαμβανομένων των εφαρμογών προμηθευτών. Το MFA που βασίζεται σε SMS μπορεί να εισάγει σημαντικούς κινδύνους επειδή:
  • • Τα μηνύματα SMS μπορούν να υποκλαπούν επειδή δεν είναι κρυπτογραφημένα
    • Οι επιτιθέμενοι μπορούν να παρακάμψουν το MFA μέσω κοινωνικής μηχανικής.
    • Οι απειλητικοί παράγοντες μπορούν να αποκτήσουν τον έλεγχο ενός αριθμού τηλεφώνου, να υποκλέψουν μηνύματα SMS και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση μέσω ανταλλαγής SIM.
    • Οι διακοπές λειτουργίας μπορούν να εμποδίσουν τους χρήστες να λαμβάνουν κωδικούς ελέγχου ταυτότητας

Προσδιορισμός σημείων πρόσβασης και αποκλεισμός πρόσβασης υψηλού κινδύνου – Πολλοί οργανισμοί πρέπει να επιτρέπουν στους υπαλλήλους, τις ρυθμιστικές αρχές, τους τρίτους προμηθευτές και άλλους να έχουν πρόσβαση στις ψηφιακές υποδομές τους. Να προστατεύουν όλα τα σημεία εισόδου – ειδικά αυτά υψηλού κινδύνου – με ελέγχους ή αποκλεισμούς και να θεωρούν δεδομένο ότι όλοι οι πάροχοι διαχειριζόμενων υπηρεσιών έχουν παραβιαστεί.

Βήματα δράσης:

• Μην δίνετε σε κανένα τρίτο μέρος απεριόριστη πρόσβαση σε ένα εταιρικό δίκτυο.
• Αντικαταστήστε τα VPN από τοποθεσία σε τοποθεσία με VDI χρησιμοποιώντας MFA ανθεκτικό στο ηλεκτρονικό ψάρεμα (phishing) και μηδενική εμπιστοσύνη όπου είναι δυνατόν.
• Εντοπίστε και αποκλείστε νεοδημιουργημένα domains που φαίνεται να είναι πιθανοί ιστότοποι ηλεκτρονικού "ψαρέματος" (phishing) (π.χ., τυπογραφική παράβαση ονομάτων domain).
• Αποκλεισμός εκτέλεσης τυχόν εκτελέσιμων αρχείων RAT σε διαχειριζόμενες συσκευές.
• Αποκλείστε τους ιστότοπους όλων των γνωστών εμπορικών εργαλείων απομακρυσμένης βοήθειας.
• Εφαρμόστε γεωγραφικό αποκλεισμό όπου είναι εφικτό.
• Αποκλείστε τα εμπορικά VPN που συνδέονται με το εταιρικό VPN ή VDI με μια υπηρεσία όπως το ip2proxy ή το Spur.
• Αποκλεισμός τύπων συσκευών στο VPN εάν δεν χρησιμοποιούνται από εκπροσώπους εξυπηρέτησης πελατών. (Οι αντίπαλοι έχουν συχνά χρησιμοποιήσει συσκευές Android x86.)

Άδειες Ελέγχου που Χορηγήθηκαν στο HR - Η αυστηρή ευθυγράμμιση των αδειών ανθρώπινου δυναμικού με τις λειτουργικές ανάγκες προστατεύει τα ευαίσθητα δεδομένα των εργαζομένων και τα οικονομικά δεδομένα.

Βήματα δράσης:

• Διεξάγετε έναν ολοκληρωμένο έλεγχο των δικαιωμάτων πρόσβασης στο τμήμα Ανθρώπινου Δυναμικού.
• Ελέγξτε τα δικαιώματα πρόσβασης του προμηθευτή και του παρόχου.
• Εκπαιδεύστε το προσωπικό Ανθρώπινου Δυναμικού σχετικά με τους κινδύνους κυβερνοασφάλειας και τον ορθό χειρισμό δεδομένων.

Έρευνα για την Μετακίνηση Δεδομένων - Βοηθητικά Προγράμματα σε Εφαρμογές SaaS - Η παρακολούθηση και η παρακολούθηση των κινήσεων δεδομένων εντός συστημάτων SaaS (Software-as-a-Service) (π.χ., Salesforce ή ServiceNow) είναι κρίσιμη, επειδή οι εφαρμογές SaaS συχνά διαθέτουν βοηθητικά προγράμματα κίνησης δεδομένων (τρίτων) για διάφορους σκοπούς και μπορούν να περιέχουν ευαίσθητες πληροφορίες.

Βήματα δράσης:

• Ενσωματώστε την παρακολούθηση της κίνησης δεδομένων από το βοηθητικό πρόγραμμα στα δεδομένα καταγραφής.
• Ρυθμίστε αυτοματοποιημένες ειδοποιήσεις και ελέγχους για ασυνήθιστη δραστηριότητα δεδομένων.

Αναθεώρηση αξιόπιστων διευθύνσεων IP που εξαιρούνται από το MFA - Οι οργανισμοί μπορούν να μειώσουν την αυστηρότητα της MFA σχετικά με αιτήματα από ένα αξιόπιστο δίκτυο, όπως ένα VPN, δίκτυο γραφείου κ.λπ. Η ελαχιστοποίηση αυτών των εξαιρέσεων MFA ενισχύει τους ελέγχους πρόσβασης στο δίκτυο, ένα ζωτικό βήμα για την ασφάλεια των οικονομικών και ευαίσθητων δεδομένων.

Βήματα δράσης:

• Επαναξιολογήστε και ενημερώστε τη λίστα αξιόπιστων διευθύνσεων IP στο περιβάλλον.
• Αντικαταστήστε τη στατική λίστα επιτρεπόμενων IP με δυναμικές πολιτικές πρόσβασης υπό όρους.

Αναγνωρίστε την εσωτερική απειλή που θέτουν οι εκπρόσωποι εξυπηρέτησης πελατών — Το Scattered Spider συχνά αποκτά αρχική πρόσβαση σε επιχειρηματικά συστήματα εξαπατώντας τους εκπροσώπους εξυπηρέτησης πελατών – αλλά και τους στρατολογεί. Σαρώνετε τακτικά για πιθανώς κακόβουλη δραστηριότητα.

Βήματα δράσης:

• Ελέγξτε τη δραστηριότητα των εκπροσώπων εξυπηρέτησης πελατών για ενδείξεις πιθανής παραβίασης, όπως:
  • Ένας μεγάλος αριθμός επαναφορών κωδικού πρόσβασης ή προβολών λογαριασμού σε σύντομο χρονικό διάστημα
  • Πρόσβαση σε λογαριασμούς πελατών χωρίς αντιστοίχιση βημάτων επαλήθευσης (π.χ. εισαγωγή PIN πελάτη, αντιστοίχιση με ANI, κ.λπ.)
  • «Ζογκλέρ με διαπιστευτήρια», δηλαδή σύνδεση σε VPN με διαπιστευτήρια διαφορετικά από αυτά που χρησιμοποιούνται για την πρόσβαση σε εργαλεία CSR
• Αναζητήστε στα αρχεία καταγραφής μηνυμάτων υποστήριξης μέσω συνομιλίας/ηλεκτρονικού ταχυδρομείου απόπειρες στρατολόγησης χρησιμοποιώντας αναζητήσεις συμβολοσειρών που αναφέρονται σε κοινούς όρους που χρησιμοποιούνται σε προσκλήσεις, όπως "Telegram", "Wickr" ή "Get rich".
• Υλοποιήστε χρονικά περιορισμένη πρόσβαση για τους εκπροσώπους εξυπηρέτησης πελατών για διαπιστευτήρια και VPN και ειδοποιήστε για τυχόν συνδέσεις εκτός των κανονικών ωρών εργασίας των εκπροσώπων.

Τακτικές και μετριασμοί για τις διάσπαρτες αράχνες

Ο ακόλουθος πίνακας περιλαμβάνει την ανάλυση των πληροφοριών που κοινοποιήθηκαν από χιλιάδες οργανισμούς-μέλη, από ειδικούς στον κυβερνοχώρο της ISAC. Πολλές από τις τακτικές ανακαλύφθηκαν από το FBI κατά τη διάρκεια ερευνών για την υπόθεση Scattered Spider, οι οποίες περιγράφονται στην κοινή έκθεση. Συμβουλευτική για την κυβερνοασφάλεια από την CISA και το FBI Scattered SpiderΟι μετριασμοί του MITRE ATT&CK προέρχονται από την ανάλυσή του για τα TTP, με βάση τις πραγματικές παρατηρήσεις του οργανισμού.

ΔΕΙΤΕ ΤΟ ΣΤΟ ΠΑΡΑΠΑΝΩ PDF.