Ohjeita ennakoivaan puolustukseen
Rahoituspalvelujen ISAC, tietotekniikan ISAC, elintarvike- ja maatalousalan ISAC, terveysalan ISAC, ilmailualan ISAC, autoteollisuuden ISAC, vähittäiskaupan ja hotelli- ja ravintola-alan ISAC, meriliikennejärjestelmän ISAC, sähköalan ISAC ja ISACien kansallinen neuvosto ovat tuottaneet sen. Viestintäalan ISACin yksityisen sektorin kumppanit ovat myös auttaneet.
Lataa
Tekstiversio:
Hajallaan olevan hämähäkin uhka-analyysi
esittely
National Council of ISACsin (NCI) jäsenet arvioivat erittäin varmasti, että uhkatoimijaryhmä Scattered Spider on todellinen uhka ja että sen kyky hyödyntää ihmisten haavoittuvuuksia sosiaalisen manipuloinnin avulla tekee ryhmästä merkittävän riskin organisaatioille.
Tämä analyysi kuvaa Scattered Spiderin toimintaa sen toukokuussa 2025 havaittujen kaupankäyntimenetelmien perusteella eri sektoreilla ja tarjoaa seuraavat tiedot:
🔹 Taustatietoa hajanaisesta hämähäkistä, jotta yritykset voivat paremmin hahmottaa uhkapintaansa
🔹 Tekniset menettelytavat ja kulttuurikäytännöt hajallaan olevien hämähäkkien hyökkäysten estämiseksi
🔹 Tiedonjako- ja analyysikeskuksen (ISAC) jäsenen ja FBI:n tiedustelupalvelun sekä vastaavan MITRE ATT&CK:n analyysi® vähentämiskeinot
Asiantuntija-arvion mukaan suositellut toimenpiteet ovat osoittautuneet tehokkaiksi Scattered Spider -uhkia ja vastaavia uhkatoimijoita vastaan. Lieventämistoimenpiteet sisältävät FS-ISAC:n perusvaatimukset. kybertiedon perusteet, avainnettu hajanaisten hämähäkkien TTP-tavoitteisiin (taktiikoihin, tekniikoihin ja menettelytapoihin) tunnettujen uhkien perusteella.
Scattered Spider -tyyppiset uhkatoimijat kuitenkin innovoivat jatkuvasti, joten organisaatioiden on oltava ahkeria prosessiensa ja identiteettiensä jatkuvassa seurannassa uusien hyökkäysten etsimiseksi.
Nämä löydökset tuotettiin yhteistyössä rahoituspalveluiden, tietotekniikan, elintarvike- ja maatalousalan, terveydenhuollon, ilmailun, autoteollisuuden, vähittäiskaupan ja ravitsemusalan sekä meriliikennejärjestelmän ISAC-keskusten ja NCI:n kanssa. NCI koostuu 28 organisaatiosta, ja se on suunniteltu maksimoimaan tiedonkulku yksityisen sektorin kriittisten infrastruktuurien ja valtion virastojen välillä.
Tausta ja TTP:t
Scattered Spider on taloudellisesti – eikä ideologisesti – motivoitunut nuorten itsenäisten toimijoiden ryhmä Isossa-Britanniassa, Yhdysvalloissa ja Kanadassa. Tutkijoiden mukaan Scattered Spider on osa suurempaa hakkerointiyhteisöä, joka tunnetaan nimellä The Community tai The Com ja joka organisoituu verkkoalustojen, kuten Discord- ja Telegram-ryhmäkeskustelujen, kautta. Scattered Spider käyttää erittäin tehokkaita sosiaalisen manipuloinnin tekniikoita ja tunnistetietojen varastamista päästäkseen kohdeverkkoihin ja ansaitsee sitten hyökkäyksensä rahaksi tietovarkauksilla, kiristämisellä tai affiliate-kiristyshaittaohjelmilla. Ryhmä tunnetaan laajasta tiedustelustaan, joka tunnistaa omaksuttavia henkilöitä tai työntekijöitä, joihin kohdistaa hyökkäyksiä. Suuri osa Scattered Spiderin menestyksestä johtuu sen nopeudesta ja vaivattomasta, mukautuvasta kohdentamisesta.
*****
sivupalkki:
Uhkatoimijat osallistuvat usein tapausten korjaus- ja reagointipuheluihin ja puhelinneuvotteluihin, todennäköisesti selvittääkseen, miten turvallisuustiimit metsästävät heitä ja kehittävät ennakoivasti uusia tunkeutumisväyliä vastauksena uhrien puolustuskeinoihin. Tämä saavutetaan joskus luomalla uusia identiteettejä ympäristössä ja sitä tuetaan usein väärennetyillä sosiaalisen median profiileilla uusien identiteettien estämiseksi. Kyberturvallisuustiedote: Hajallaan oleva hämähäkki – Yhdysvaltain liittovaltion tutkintatoimiston (FBI) ja kyberturvallisuus- ja infrastruktuuriturvallisuusviraston (CISA) yhteinen neuvoa-antava toimikunta
*****
Scattered Spider on toiminut vuoden 2022 alkupuolelta lähtien, ja sen havaittiin alun perin kohdistavan iskujaan televiestintä- ja liiketoimintaprosessien ulkoistamisyrityksiin (BPO), todennäköisesti ponnahduslautana sosiaalisen manipuloinnin operaatioille, joilla saatiin luvaton pääsy muihin kohteisiin ja niiden sidosryhmiin. Sittemmin ryhmä on yhdistetty yli 100 hyökkäykseen useilla eri markkina-alueilla, mutta se kohdistaa iskuja yleensä yhteen sektoriin kerrallaan. Scattered Spider on tunnettu vuoden 2023 Caesars Entertainmentin ja MGM Resortsin tietomurrosta sekä vuoden 2022 Twilioon kohdistuneesta hyökkäyksestä, joka johti toimitusketjuhyökkäykseen ja vaikutti Signal-viestisovellukseen. Se kohdisti iskunsa yhdysvaltalaisiin ja brittiläisiin vähittäiskauppiaisiin huhti- ja toukokuussa 2025 ja siirsi sitten painopisteensä rahoitusalalle, erityisesti vakuutusyhtiöihin, ja ilmailualalle.
-
Alkuperäinen käyttöoikeus saatu:
>Sosiaalisen manipuloinnin hyökkäykset
>MFA:n väsymyshyökkäykset
-
Kerää järjestelmänvalvojan oikeudet seuraavasti:
- Luottotietojen polkumyynti
- Tallennetut tunnistetiedot ja salaisuudet
3. Pysyvyys saavutetaan:
>Ajoitetut tehtävät
>Haittaohjelmapalvelut
>Paikallisen käyttäjän luominen
>Pilven pysyvyysmekanismit
4. Puolustuksen väistö mahdollistamalla:
>AV/EDR:n poistaminen käytöstä
>Windowsin ryhmäkäytäntöjen muuttaminen
>Defenderin, lokitietojen tai telemetrian poistaminen käytöstä
>EDR-ajureiden poistaminen
5. Sivuttaisliike seuraavien kautta:
>PsExec
>PowerShell-etäkäyttö
>WMI
>Lailliset VPN- tai Citrix-yhteydet
Tyypillinen taktiikka on suostutella IT-tukipalvelun agentit suorittamaan itsepalveluna salasanojen palautuksia (SSPR) kohdennetuille tileille. Scattered Spiderin tekniikoihin kuuluu lyhytsanomaviestit (SMS) – eli tekstiviestit – ja äänihuijaus (smishing ja vishing) kertakirjautumisen (SSO) hallintapaneelien, Microsoft Office 365/Azure-verkkojen, VPN-verkkojen ja reunalaitteiden tunnistetietojen keräämiseksi.
Ryhmän tiedetään myös kaappaavan monivaiheisen todennuksen (MFA) vaihtamalla SIM-korttia. Sitten se ohittaa MFA:n ilmoitusväsymysten avulla tai suostuttelemalla tukipalvelun agentit nollaamaan kohdennettujen tilien MFA-menetelmän.
Käyttäjätilin murtautumisen jälkeen Scattered Spider -operaattorit rekisteröivät muita laitteita tilin alle. Kun se saa järjestelmänvalvojan oikeudet, se luo hyökkääjän hallitsemia tilejä uhrin ympäristöön. Tämän jälkeen uhkatoimija luo pysyvyyden luvattomalle käytölle uhrin ympäristöön ja rakentaa redundanssin estääkseen haittaohjelmien tai pääsyn poistamisyritykset.
Myöhempään tiedustelutoimintaan kuuluu yritysalustojen – kuten Windowsin, Linuxin, Google Workspacen, Microsoft Entra ID:n (entinen Azure Active Directory), Microsoft 365:n, AWS:n ja muiden pilvi-infrastruktuurissa isännöityjen työkalujen – löytämistä ja sivusuunnassa etenemistä, lataamalla sopivia työkaluja arkaluonteisten tietojen vuotamiseksi.
*****
sivupalkki:
Health-ISAC sai tiedustelutietoja, jotka yhdistivät Amadey-bottiverkon Scattered Spider -hyökkäyksiin. Kiristyshaittaohjelmien tekijät, kuten BlackSuit, BlackBasta ja Akira, ovat käyttäneet Amadey-bottiverkkoa haittaohjelmien lataajien lataamiseen uhrien verkkoihin. Bottiverkko on välttänyt lainvalvontaviranomaisten toimet haittaohjelmapalveluina (MaaS) tarjottavia alustoja vastaan, minkä ansiosta se on voinut kehittyä vuodesta 2018 lähtien.
*****
Tämä syvällinen ymmärrys uhrin omasta infrastruktuurista mahdollistaa Scattered Spiderille ilkeiden jatkotoimien suorittamisen. Tämän syvällisen ymmärryksen – esimerkiksi kyvyn toteuttaa maan ulkopuolisia elinkeinoja – avulla ryhmä voi kiertää tavanomaisia havaitsemismenetelmiä. Uhkaryhmä voi myös ottaa käyttöön haittaohjelmia, jotka pudottavat haitallisia allekirjoitettuja ajureita, joiden tarkoituksena on lopettaa tietoturvaohjelmistoihin liittyviä prosesseja ja poistaa tiedostoja.
Scattered Spider käyttää äskettäin rekisteröityjä ja erittäin vakuuttavia tietojenkalasteluverkkotunnuksia, jotka matkivat laillisia kirjautumisportaaleja, erityisesti Okta-todennussivuja. Näiden verkkotunnusten käyttöikä tai käyttöaika on lyhyt, mikä vaikeuttaa havaitsemista.
Vuodesta 2023 lähtien Scattered Spiderin on havaittu käyttävän viittä erillistä tietojenkalastelupakettia, ja ryhmän käyttöönottostrategioihin on kehittynyt dynaamisten DNS-palveluntarjoajien sisällyttäminen. Lisäksi ryhmä on sisällyttänyt Spectre-etäkäyttötroijalaisen (RAT) hyökkäysketjuunsa haittaohjelmien levittämiseksi vaarantuneisiin järjestelmiin pysyvän pääsyn saamiseksi. Tämä haittaohjelma sisältää mekanismeja etäpoistoon ja yhteyksien välittämiseen lisäkomento- ja ohjauspalvelimiin (C2), mikä viittaa siihen, että ryhmä saattaa käyttää C2-infrastruktuuria hyökkäyksen jälkeisten toimien suorittamiseen uhriverkoissa.
*****
sivupalkki:
|
Scattered Spiderin käyttämät tunnetut verkkotunnukset
|
- targetsname-servicedesk[.]com
|
|
|
|
|
- targetsname-helpdesk[.]com
|
- oktalogin-targetcompany[.]com
|
Hajallaan hämähäkki Kyberturvallisuusneuvonta FBI:n, CISA:n, Kanadan kuninkaallisen ratsupoliisin, Australian viestiosaston Australian kyberturvallisuuskeskuksen, Australian liittovaltion poliisin, Kanadan kyberturvallisuuskeskuksen ja Yhdistyneen kuningaskunnan kansallisen kyberturvallisuuskeskuksen yhteistuotanto
*****
Suositukset
Seuraavat suositukset ovat osoittautuneet tehokkaiksi ISACin jäsenille. Monet niistä ovat peräisin FS-ISACin kybertiedon perusteet, riskiperusteinen, syväpuolustukseen keskittyvä lähestymistapa kyberturvallisuuden perustason vaatimuksiin, jota voidaan soveltaa organisaatioihin kyberturvallisuuden kypsyystasosta riippumatta.
Käytä monikanavaista vahvistusprosessia — Minkään organisaation ei tulisi luottaa vain yhteen viestintäkanavaan työntekijöiden salasananvaihdoissa tai MFA-palautuspyynnöissä. Joillekin yrityksille voi olla hyötyä ennalta määritellyn kysymyslistan käytöstä, johon vain työntekijä voi vastata salasanan ja MFA:n palautuksen aloittamiseksi. IT-työntekijöiden tulisi aina tuntea olevansa oikeutettuja kyseenalaistamaan minkä tahansa muun työntekijän vahvistuspyynnön.
Toimintavaiheet:
- IT-osaston tulisi käyttää monikanavaista varmennusta, mukaan lukien:
- Sähköpostitse, tekstiviestillä tai puhelimitse tehtyjen pyyntöjen vahvistaminen soittamalla takaisin ennalta rekisteröityyn ja tunnetusti toimivaan puhelinnumeroon
- Staattiset PIN-koodit fyysisessä tunnisteessa
- Visuaalinen validointi
- Käytä vain työntekijöiden tiedossa olevaa ääneen sanottavaa salasanaa tai vastauksia kysymyksiin, joita ei ole helppo arvata, esimerkiksi "Mikä on äitisi tyttönimi? Milloin aloitit työsuhteesi? Mikä on työkannettavan tietokoneesi laitetunniste?"
Edellytä kahden työntekijän hyväksyvän tietyntyyppiset pyynnöt – kuten suuret rahansiirrot – tai pyynnöt työntekijöiltä, joilla on korkeat käyttöoikeudet.
- Ota yhteyttä työntekijän esimieheen, kun työntekijä pyytää sekä tunnistetietojen että monitoimitunnistuksen nollaamista.
- Luo kulttuuri, jossa IT-henkilöstön odotetaan ja heillä on valtuudet kyseenalaistaa kaikki epätavalliset tai erittäin arkaluontoiset pyynnöt, jopa johtajilta, ilman pelkoa seurauksista.
Keskity sosiaalisen manipuloinnin taktiikoihin — Scattered Spider hyödyntää sosiaalisen manipuloinnin hyökkäyksiä ja on erittäin luova tietojenkalastelussa, vishingissä ja smishingissä. Uhkaryhmä usein juurruttaa kiireellisyyden tunteen houkuttimiinsa ja hyödyntää uhrien pelkoja, empatiaa ja auktoriteettien kunnioitusta. Sisällytä nämä TTP:t simulaatioihin ja testaa työntekijöiden reaktioita niihin.
Toimintavaiheet:
- Toteuta jatkuvia, pakollisia tietoturvakoulutuksia ja tietojenkalastelusimulaatioita yleisillä ja nykyisillä houkuttimilla.
- Räätälöi koulutus roolin mukaan – IT-tukipalvelu, asiakaspalvelun edustajat, henkilöstöhallinnon henkilöstö ja johtoryhmän johtajat saattavat tarvita yksityiskohtaisempaa ja kohdennetumpaa koulutusta uhkatoimijoiden taktiikoista ja ajankohtaisista kampanjoista.
- Kouluta asiakaspalvelun edustajia tukipalvelun toimintatavoissa. Vakuuta esimerkiksi, että tukipalvelu ei koskaan pyydä työntekijää asentamaan etätukiohjelmistoa tai ohittamaan mitään turvakontrollia.
- Käytä vähiten käyttöoikeuksia, jotta työntekijät, erityisesti asiakaspalvelun edustajat, vaativat loppukäyttäjältä lisävahvistuksen ennen laajempien käyttöoikeuksien myöntämistä.
Tarkista ylläpitäjien, erityisesti pilvipalvelun ylläpitäjien, sosiaalisen median profiilit Ylläpitäjien sosiaalisen median profiilit ja julkaisut voivat tahattomasti näyttää työhön liittyviä tietoja – kuten vastuita, työhistoriaa, kollegoita ja päivittäistä rutiinia – joita uhkatoimijat käyttävät hyökkäysten räätälöintiin (esim. hyödyntämällä matkasuunnitelmia uskottavuuden tai kiireellisyyden osoittamiseksi visiokampanjassa). Pilvipalvelun ylläpitäjät ovat erityisiä kohteita. Heidän käyttöoikeuksiensa hankkiminen antaisi uhkatoimijoille pääsyn ja hallinnan arvokkaisiin pilviresursseihin sekä mahdollisuuden aiheuttaa laajaa vahinkoa. Yritysten tulisi ottaa käyttöön sosiaalisen median käytännöt, joissa kuvataan tietohyökkääjien hyödyntämät tiedot ja kielletään tällaiset tiedot sosiaalisen median julkaisuissa. Tarkista säännöllisesti ylläpitäjien sosiaalinen media – erityisesti pilvipalvelun ylläpitäjien julkaisut – sosiaalisen median käytäntöjen mukaisuus.
Toimintavaiheet:
- Kehitä ja valvo yksityiskohtaisia, käyttöoikeuskohtaisia sosiaalisen median käytäntöjä, jotka selittävät, minkä tyyppisiä tietoja on – ja minkä tyyppisiä – saa julkaista.
- Suorita tarkastuksia varmistaaksesi vaatimustenmukaisuuden.
- Tarjoa koulutusta arkaluonteisten ammatillisten tietojen jakamisen riskeistä.
Arvioi tukipalvelun käyttöoikeudet - Tukipalvelun oikeudet voivat vaihdella ajan myötä, jolloin ne joskus antavat oikeuksia kaikkiin hallintakonsoleihin, kuten sähköpostinkulkuun ja tietoturvakontrolleihin. Tukipalvelun käyttöoikeuksien auditointi varmistaa yhdenmukaisuuden operatiivisten tarpeiden kanssa ja estää luvattoman käytön, jota uhkatoimijat, kuten Scattered Spiderin kaltaiset tahot, voisivat hyödyntää. Automatisoidut hallintajärjestelmät parantavat valvontaa.
Toimintavaiheet:
- Ota käyttöön automatisoidut järjestelmät käyttöoikeuksien jatkuvaan valvontaan ja säätämiseen.
- Aikatauluta säännöllisiä käyttöoikeustarkastuksia varmistaaksesi yhdenmukaisuuden työtehtävien kanssa.
Virtuaalikoneiden valvonta pilviympäristöissä – Ota käyttöön valvontatyökaluja, jotka antavat hälytyksiä luvattomista virtuaalikoneiden (VM) toiminnoista, kuten epäilyttävistä palveluista, epänormaalista resurssien käytöstä ja oikeuksien eskalointiyrityksistä, sekä protokollia epäilyttävien virtuaalikoneiden nopeaan eristämiseen ja sammuttamiseen. Tämä nopea reagointikyky on ratkaisevan tärkeää epäilyttävän toiminnan tunnistamiseksi, mahdollisten tietomurtojen estämiseksi ja uhkien lieventämiseksi.
Toimintavaiheet:
- Laadi luettelo sallituista toiminnoista.
- Ota käyttöön valvonta- ja hälytysjärjestelmät ja etsi niissä olevia aukkoja.
- Laadi nopeat reagointiprotokollat luvattomille toimille.
- Poista tarpeettomat RMM-työkalut ja sisällytä honeytokenit RMM-työkalujen käyttöön varhaista havaitsemista ja sormenjälkien määrittelyä varten.
- Määritä selaimet ja tehtävät poistamaan pysyvät evästeet säännöllisesti.
- Minimoi verkkoevästeen elinkelpoisuusaika — Scattered Spider käyttää niitä pysyvän käytön ja tiedon vuotamisen mahdollistamiseen.
Tarkista virtuaalityöpöytäinfrastruktuurin tietoturvakontrollit - Varmista, että virtuaalityöpöytäinfrastruktuuri (VDI) -ympäristöt on suojattu monitoimisen todennuksen (MFA) avulla, ja valvo käyttäjien toimintaa jatkuvasti.
Toimintavaiheet:
- Tarkista VDI-käyttäjien luettelo ja varmista, että se on ajan tasalla.
- Valvo monitoimitunnistusta.
- Älä anna henkilökohtaisten laitteiden käyttää suoraan Office 365:tä, Enterprise Google Workspacea, yritysten VPN-verkkoja jne.
- Vaadi tietojenkalastelulta suojattua monitoimitunnistusta, kuten YubiKeys, Windows Hello for Business jne. Älä luota käyttäjien hyväksyvän monitoimitunnistuspyyntöjä tai antavan koodeja.
- Jos organisaatiolla on VDI, joka sallii kolmansien osapuolten pääsyn, varmista, että kyseiset VDI:t eivät voi käyttää Secure Shells (SSH) -protokollia tai etätyöpöytäprotokollia (RDP) tai päästä verkkosivustoille, joita käyttäjä ei tarvitse työnsä suorittamiseen.
- Suorita säännöllisiä auditointeja ja reaaliaikaista seurantaa kaikille käyttäjäistunnoille.
- Varmista, ettei missään sovelluksissa, mukaan lukien toimittajan sovellukset, ole MFA:ta tekstiviestitse. SMS-pohjainen MFA voi aiheuttaa merkittäviä riskejä, koska:
-
- Tekstiviestit voidaan siepata, koska ne ovat salaamattomia
- Hyökkääjät voivat ohittaa monitaikaisen autenttifikaation sosiaalisen manipuloinnin avulla
- Uhkatoimijat voivat saada haltuunsa puhelinnumeron, siepata tekstiviestejä ja saada luvattoman pääsyn vaihtamalla SIM-korttia.
- Katkokset voivat estää käyttäjiä vastaanottamasta todennuskoodeja
Tunnista tukiasemat ja estä riskialttiit käyttöoikeudet – Monien organisaatioiden on sallittava työntekijöiden, sääntelyviranomaisten, kolmansien osapuolten toimittajien ja muiden pääsy digitaalisiin infrastruktuureihinsa. Suojaa kaikki sisäänpääsykohdat – erityisesti riskialttiit – kontrolleilla tai estoilla ja oleta, että kaikkien hallittujen palvelujen tarjoajien tietoturva on vaarantunut.
Toimintavaiheet:
- Älä anna kolmansille osapuolille esteetöntä pääsyä yrityksen verkkoon.
- Korvaa sivustojen väliset VPN-yhteydet virtuaali-indikaattoreilla (VDI) käyttäen tietojenkalastelulta suojattua MFA:ta ja nollaluottamusta aina kun mahdollista.
- Tunnista ja estä uudet verkkotunnukset, jotka vaikuttavat mahdollisilta tietojenkalastelusivustoilta (esim. kirjoitusvirheitä aiheuttavat verkkotunnukset).
- Estä kaikkien RAT-suoritettavien tiedostojen suorittaminen hallituissa laitteissa.
- Estä kaikkien tunnettujen kaupallisten etätukityökalujen verkkosivustot.
- Toteuta maantieteellinen esto aina kun se on mahdollista.
- Estä kaupallisten VPN-verkkojen yhteyden muodostaminen yrityksen VPN-verkkoon tai VDI-verkkoon esimerkiksi ip2proxy- tai Spur-palvelun avulla.
- Estä laitetyypit VPN:ssä, jos asiakaspalvelun edustajat eivät käytä niitä. (Hyökkääjät ovat usein käyttäneet Android x86 -laitteita.)
HR:lle myönnetyt tarkastusoikeudet - HR-käyttöoikeuksien tiukka yhdenmukaistaminen operatiivisten vaatimusten kanssa suojaa arkaluonteisia työntekijä- ja taloustietoja.
Toimintavaiheet:
- Suorita kattava HR-käyttöoikeuksien tarkastus.
- Tarkista toimittajan ja palveluntarjoajan käyttöoikeudet.
- Kouluta henkilöstöä kyberturvallisuusriskeistä ja asianmukaisesta tietojenkäsittelystä.
Tutkimustietojen siirtoapuohjelmat SaaS-sovelluksissa - SaaS-järjestelmien (Software-as-a-Service) (esim. Salesforce tai ServiceNow) sisällä tapahtuvan datan liikkeiden seuranta ja seuranta on kriittistä, koska SaaS-sovelluksissa on usein saatavilla (kolmannen osapuolen) datansiirtoapuohjelmia eri tarkoituksiin ja ne voivat sisältää arkaluonteisia tietoja.
Toimintavaiheet:
- Integroi tiedonsiirron apuohjelman valvonta lokitietoihin.
- Määritä automaattisia hälytyksiä ja hallintakeinoja epätavallisen datatoiminnan varalta.
Tarkista luotetut IP-osoitteet, jotka on vapautettu MFA:sta - Organisaatiot voivat lieventää MFA-vaatimuksia luotettavan verkon, kuten VPN:n tai toimistoverkon, pyyntöjen osalta. Näiden MFA-poikkeusten minimointi vahvistaa verkon käyttöoikeuksien hallintaa, mikä on tärkeä askel taloudellisten ja arkaluonteisten tietojen suojaamisessa.
Toimintavaiheet:
- Arvioi uudelleen ja päivitä luotettavien IP-osoitteiden luettelo ympäristössä.
- Korvaa staattinen IP-osoitteiden sallittujen lista dynaamisilla ehdollisen käytön käytännöillä.
Tunnista asiakaspalvelun edustajien aiheuttama sisäpiiriläinen uhka — Scattered Spider saa usein alkukäyttöoikeuden yritysjärjestelmiin huijaamalla asiakaspalvelun edustajia – mutta se myös värvää heitä. Tarkista säännöllisesti mahdollisesti haitallisen toiminnan varalta.
Toimintavaiheet:
- Tarkkaile asiakaspalvelun edustajien toimintaa mahdollisten tietomurtojen varalta, kuten:
- Suuri määrä salasanan nollauksia tai tilin katselukertoja lyhyessä ajassa
- Asiakastilien käyttö ilman vastaavia vahvistusvaiheita (esim. asiakkaan PIN-koodin syöttäminen, ANI:hin yhdistäminen jne.)
- ”Käyttöoikeustietojen jonglöörittely” eli VPN-palveluun kirjautuminen eri tunnistetiedoilla kuin CSR-työkaluihin käytettävät tunnistetiedot
- Hae rekrytointiyrityksiä chat-/sähköpostituen tekstiviestilokeista käyttämällä merkkijonohakuja, jotka viittaavat yleisesti käytettyihin termeihin pyynnöissä, kuten ”Telegram”, ”Wickr” tai ”Rikastu”.
- Ota käyttöön aikarajoitettu pääsy asiakaspalvelun edustajien tunnuksiin ja VPN-verkkoon ja anna hälytykset kaikista kirjautumisista asiakaspalvelijoiden normaalin työajan ulkopuolella.
Hajallaan olevien hämähäkkien taktiikat ja lieventämiset
Seuraava taulukko sisältää ISAC:n kyberturvallisuusasiantuntijoiden analyysin tuhansien jäsenorganisaatioiden jakamista tiedustelutiedoista. FBI löysi monia taktiikoista Scattered Spiderin tutkinnan aikana, ja ne on esitetty yhteisessä taulukossa. CISA:n ja FBI:n Scattered Spiderin kyberturvallisuustiedoteMITRE ATT&CK -lievennysmenetelmät perustuvat TTP-analyysiin, joka perustuu organisaation tosielämän havaintoihin.
KATSO YLLÄ OLEVASTA PDF-TIEDOSTOSTA.
