Diproduksi oleh Financial Services ISAC, Information Technology ISAC, Food and Agriculture ISAC, Health ISAC, Aviation ISAC, Automotive ISAC, Retail and Hospitality ISAC, Maritime Transportation System ISAC, Electricity ISAC, dan National Council of ISACs, dengan kontribusi dari mitra sektor swasta Communications ISAC.
Anggota Dewan Nasional ISAC (NCI) menilai dengan keyakinan tinggi bahwa kelompok aktor ancaman Scattered Spider menghadirkan ancaman nyata, dan bahwa kemampuannya untuk mengeksploitasi kerentanan manusia melalui rekayasa sosial menjadikan kelompok tersebut risiko yang signifikan bagi organisasi.
Analisis ini merinci aktivitas Scattered Spider berdasarkan keahlian perdagangan yang diamati di seluruh sektor per Mei 2025, yang menyediakan:
🔹 Latar belakang Scattered Spider sehingga perusahaan dapat lebih baik dalam menentukan cakupan permukaan ancaman mereka
🔹 Prosedur teknis dan praktik budaya untuk menggagalkan serangan Laba-laba Tersebar
🔹 Analisis anggota Pusat Analisis dan Pembagian Informasi (ISAC) dan intelijen FBI serta MITRE ATT&CK terkait® mitigasi
Langkah-langkah yang direkomendasikan telah terbukti efektif terhadap Scattered Spider dan pelaku ancaman serupa, menurut penilaian ahli intelijen. Mitigasi tersebut mencakup kebutuhan dasar FS-ISAC. dasar-dasar siber, disesuaikan dengan TTP (taktik, teknik, dan prosedur) Scattered Spider berdasarkan ancaman yang diketahui.
Namun, pelaku ancaman seperti Scattered Spider terus berinovasi, sehingga organisasi harus tekun memantau proses dan identitas mereka secara terus-menerus untuk mencari eksploitasi baru.
Temuan-temuan ini dihasilkan secara kolaboratif oleh ISAC Layanan Keuangan, Teknologi Informasi, Pangan dan Pertanian, Kesehatan, Penerbangan, Otomotif, Ritel dan Perhotelan, dan Sistem Transportasi Maritim, serta NCI. NCI terdiri dari 28 organisasi dan dirancang untuk memaksimalkan arus informasi lintas infrastruktur penting sektor swasta dan instansi pemerintah.
Scattered Spider adalah kelompok operator independen muda yang bermotivasi finansial – alih-alih ideologis – di Inggris, AS, dan Kanada. Menurut para peneliti, Scattered Spider merupakan bagian dari komunitas peretas yang lebih besar yang dikenal sebagai The Community atau The Com, yang berorganisasi melalui platform daring, termasuk obrolan grup Discord dan Telegram. Scattered Spider menggunakan teknik rekayasa sosial dan pencurian kredensial yang sangat efektif untuk mendapatkan akses ke jaringan target, kemudian memonetisasi serangannya melalui pencurian data, pemerasan, atau operasi ransomware afiliasi. Kelompok ini dikenal karena pengintaiannya yang ekstensif yang mengidentifikasi persona yang akan diadopsi atau karyawan yang akan ditargetkan. Sebagian besar kesuksesan Scattered Spider disebabkan oleh kecepatannya, penargetan yang mudah, dan adaptif.
*****
Para pelaku ancaman sering kali bergabung dalam panggilan telepon dan telekonferensi untuk remediasi dan respons insiden, kemungkinan untuk mengidentifikasi bagaimana tim keamanan memburu mereka dan secara proaktif mengembangkan jalur intrusi baru sebagai respons terhadap pertahanan korban. Hal ini terkadang dicapai dengan menciptakan identitas baru di lingkungan tersebut dan seringkali didukung dengan profil media sosial palsu untuk melindungi identitas yang baru dibuat tersebut. Saran Keamanan Siber: Laba-laba Tersebar – sebuah nasihat gabungan dari Biro Investigasi Federal (FBI) dan Badan Keamanan Siber dan Infrastruktur (CISA)
*****
Aktif sejak awal 2022, Scattered Spider awalnya terpantau menargetkan entitas telekomunikasi dan alih daya proses bisnis (BPO), kemungkinan sebagai batu loncatan bagi operasi rekayasa sosial untuk mendapatkan akses ilegal ke target lain dan pemangku kepentingan mereka. Sejak saat itu, kelompok ini telah dikaitkan dengan lebih dari 100 serangan di berbagai vertikal pasar, tetapi cenderung menargetkan satu sektor pada satu waktu. Scattered Spider terkenal karena kompromi Caesars Entertainment dan MGM Resorts pada tahun 2023 dan serangan Twilio pada tahun 2022, yang mengakibatkan serangan rantai pasokan yang memengaruhi aplikasi perpesanan Signal. Mereka menargetkan peritel AS dan Inggris pada bulan April dan Mei 2025, kemudian mengalihkan fokusnya ke sektor keuangan, khususnya perusahaan asuransi, dan sektor penerbangan.
Akses awal diperoleh melalui:
>Serangan rekayasa sosial
>Serangan kelelahan MFA
Menangkap hak istimewa admin dengan:
3. Kegigihan diperoleh dengan:
>Tugas terjadwal
>Layanan berbahaya
>Pembuatan pengguna lokal
>Mekanisme persistensi cloud
4. Penghindaran pertahanan dimungkinkan oleh:
>Menonaktifkan AV/EDR
>Mengubah GPO Windows
>Menonaktifkan Defender, pencatatan, atau telemetri
>Menghapus driver EDR
5. Gerakan lateral melalui:
>PsExec
>Remoting PowerShell
>WMI
>Koneksi VPN atau Citrix yang sah
Taktik yang umum digunakan adalah membujuk agen helpdesk TI untuk melakukan pengaturan ulang kata sandi mandiri (SSPR) untuk akun yang ditargetkan. Teknik Scattered Spider mencakup penggunaan pesan layanan pesan singkat (SMS) — yaitu, mengirim pesan teks — dan phishing suara (smishing dan vishing) untuk menangkap kredensial untuk dasbor akses tunggal (SSO), Microsoft Office 365/Azure, VPN, dan perangkat edge.
Kelompok ini juga diketahui membajak autentikasi multifaktor (MFA) melalui pertukaran modul identitas pelanggan (SIM). Kemudian, mereka mengalahkan MFA melalui kelelahan notifikasi atau meyakinkan agen helpdesk untuk mengatur ulang metode MFA pada akun yang ditargetkan.
Setelah berhasil meretas akun pengguna, operator Scattered Spider mendaftarkan perangkat lain di bawah akun tersebut. Setelah mendapatkan hak akses administratif, ia membuat akun yang dikendalikan penyerang di lingkungan korban. Kemudian, pelaku ancaman membangun persistensi untuk akses tidak sah ke lingkungan korban dan membangun redundansi untuk menggagalkan upaya penghapusan malware atau akses.
Aktivitas pengintaian selanjutnya mencakup upaya menemukan platform perusahaan – termasuk Windows, Linux, Google Workspace, Microsoft Entra ID (sebelumnya Azure Active Directory), Microsoft 365, AWS, dan alat lain yang dihosting dalam infrastruktur cloud – dan bergerak secara lateral, mengunduh alat yang sesuai untuk mengekstrak data sensitif.
*****
Health-ISAC menerima informasi intelijen yang menghubungkan botnet Amadey dengan serangan Scattered Spider. Botnet Amadey telah digunakan oleh pelaku ransomware seperti BlackSuit, BlackBasta, dan Akira untuk memasukkan pemuat malware ke jaringan korban. Botnet ini telah menghindari tindakan penegakan hukum terhadap platform malware-as-a-service (MaaS), yang memungkinkannya berkembang sejak 2018.
*****
Pemahaman mendalam tentang infrastruktur asli korban ini memungkinkan Scattered Spider untuk melakukan aktivitas lanjutan yang berbahaya. Melalui pemahaman mendalam inilah – misalnya, kemampuannya untuk menjalankan teknik hidup di alam – kelompok tersebut dapat menghindari metode deteksi standar. Kelompok ancaman ini juga dapat menyebarkan malware yang menjatuhkan driver bertanda tangan berbahaya yang dirancang untuk menghentikan proses yang terkait dengan perangkat lunak keamanan dan menghapus berkas.
Scattered Spider menggunakan nama domain phishing yang baru terdaftar dan sangat meyakinkan yang meniru portal login yang sah, terutama halaman autentikasi Okta. Domain-domain ini memiliki masa aktif atau uptime yang pendek, sehingga menyulitkan deteksi.
Sejak 2023, Scattered Spider telah diamati menggunakan lima kit phishing yang berbeda, seiring dengan perkembangan strategi penyebaran kelompok tersebut yang mencakup penyedia DNS Dinamis. Selain itu, kelompok tersebut telah memasukkan trojan akses jarak jauh (RAT) Spectre ke dalam rantai serangannya untuk penyebaran malware pada sistem yang telah disusupi guna mendapatkan akses persisten. Malware ini mencakup mekanisme untuk penghapusan instalasi jarak jauh dan koneksi perantara ke server perintah dan kontrol (C2) tambahan, yang menunjukkan bahwa kelompok tersebut mungkin menggunakan infrastruktur C2 untuk melakukan tindakan pasca-eksploitasi pada jaringan korban.
*****
|
Nama Domain yang Diketahui Digunakan oleh Scattered Spider
|
|
|
|
|
|
Laba-laba Tersebar Penasihat Keamanan Siber diproduksi bersama oleh FBI, CISA, Kepolisian Berkuda Kerajaan Kanada, Pusat Keamanan Siber Australia dari Direktorat Sinyal Australia, Kepolisian Federal Australia, Pusat Keamanan Siber Kanada, dan Pusat Keamanan Siber Nasional Inggris Raya.
*****
Rekomendasi berikut telah terbukti efektif bagi anggota ISAC. Banyak yang diambil dari rekomendasi FS-ISAC. dasar-dasar siber, pendekatan pertahanan berlapis berbasis risiko terhadap kebutuhan dasar keamanan siber yang berlaku bagi organisasi pada semua tingkat kematangan siber.
Gunakan proses verifikasi multi-saluran — Tidak ada organisasi yang boleh bergantung pada satu saluran komunikasi untuk perubahan kata sandi atau permintaan pengaturan ulang MFA karyawan. Beberapa perusahaan mungkin akan mendapat manfaat dari penggunaan daftar pertanyaan yang telah ditentukan sebelumnya yang hanya dapat dijawab oleh karyawan untuk memulai pengaturan ulang kata sandi dan MFA. Dan karyawan TI harus selalu merasa diberdayakan untuk menentang permintaan verifikasi karyawan lain.
Memerlukan dua karyawan untuk menyetujui jenis permintaan tertentu — seperti transfer keuangan dalam jumlah besar — atau permintaan dari karyawan dengan tingkat hak istimewa yang tinggi.
Fokus pada Taktik Rekayasa Sosial — Scattered Spider mengandalkan eksploitasi rekayasa sosial dan sangat kreatif dalam penggunaan phishing, vishing, dan smishing. Kelompok ancaman ini sering kali menanamkan rasa urgensi dalam umpannya dan memangsa ketakutan, empati, dan rasa hormat korban terhadap otoritas. Libatkan TTP tersebut dalam simulasi dan uji respons karyawan terhadapnya.
Tinjau Profil Media Sosial Admin, Terutama Admin Cloud Profil dan unggahan media sosial admin dapat secara tidak sengaja menampilkan informasi terkait pekerjaan – misalnya, tanggung jawab, riwayat pekerjaan, kolega, rutinitas harian – yang digunakan pelaku ancaman untuk merancang serangan (misalnya, memanfaatkan rencana perjalanan untuk membangun kredibilitas atau urgensi dalam kampanye vishing). Administrator cloud merupakan target khusus. Memperoleh hak akses mereka akan memberi pelaku ancaman akses dan kendali atas sumber daya cloud yang berharga serta kemampuan untuk menyebabkan kerusakan yang meluas. Perusahaan harus menerapkan kebijakan media sosial yang menjelaskan informasi yang dieksploitasi oleh pelaku ancaman dan melarang informasi tersebut dalam unggahan media sosial. Tinjau media sosial admin secara berkala – terutama unggahan admin cloud – untuk memastikan keselarasan dengan kebijakan media sosial.
Menilai Hak Akses Helpdesk - Hak akses helpdesk dapat berubah seiring waktu, terkadang memberikan hak istimewa kepada semua konsol admin, seperti alur email, kontrol keamanan, dll. Audit hak akses helpdesk memastikan keselarasan dengan kebutuhan operasional, sekaligus mencegah akses tidak sah yang dapat dieksploitasi oleh aktor ancaman seperti Scattered Spider. Sistem manajemen otomatis meningkatkan pengawasan.
Memantau Mesin Virtual di Lingkungan Cloud – Terapkan alat pemantauan untuk memberikan peringatan tentang aktivitas mesin virtual (VM) yang tidak sah seperti layanan mencurigakan, penggunaan sumber daya yang tidak normal, dan upaya peningkatan hak istimewa, dengan protokol untuk mengisolasi dan mematikan VM yang mencurigakan dengan cepat. Kemampuan respons cepat ini krusial untuk mengidentifikasi aktivitas mencurigakan, mencegah potensi pelanggaran, dan memitigasi ancaman.
Tinjau Kontrol Keamanan Infrastruktur Desktop Virtual - Pastikan lingkungan infrastruktur desktop virtual (VDI) diamankan dengan MFA, dan terus pantau aktivitas pengguna.
Identifikasi Titik Akses dan Blokir Akses Berisiko Tinggi – Banyak organisasi harus mengizinkan karyawan, badan pengatur, vendor pihak ketiga, dan pihak lain untuk mengakses infrastruktur digital mereka. Lindungi semua titik masuk – terutama yang berisiko tinggi – dengan kontrol atau pemblokiran, dan asumsikan bahwa semua penyedia layanan terkelola telah disusupi.
Izin Audit Diberikan kepada SDM - Menyelaraskan izin SDM dengan kebutuhan operasional secara ketat akan melindungi data karyawan dan keuangan yang sensitif.
Utilitas Pergerakan Data Penelitian dalam Aplikasi SaaS - Pemantauan dan pelacakan pergerakan data dalam sistem SaaS (Perangkat Lunak sebagai Layanan) (misalnya, Salesforce atau ServiceNow) sangat penting karena aplikasi SaaS sering kali memiliki Utilitas Pergerakan Data (pihak ketiga) yang tersedia untuk berbagai tujuan dan dapat berisi informasi sensitif.
Tinjau Alamat IP Tepercaya yang Dikecualikan dari MFA - Organisasi dapat menurunkan ketelitian MFA terkait permintaan dari jaringan tepercaya, seperti VPN, jaringan kantor, dll. Meminimalkan pengecualian MFA ini akan memperkuat kontrol akses jaringan, sebuah langkah penting dalam mengamankan data keuangan dan data sensitif.
Kenali Ancaman Internal yang Ditimbulkan oleh Perwakilan Layanan Pelanggan — Scattered Spider sering kali mendapatkan akses awal ke sistem bisnis dengan menipu perwakilan layanan pelanggan – tetapi juga merekrut mereka. Pindai aktivitas yang berpotensi berbahaya secara berkala.
Taktik dan Mitigasi Laba-laba Tersebar
Tabel berikut berisi analisis pakar keamanan siber ISAC atas intelijen yang dibagikan oleh ribuan organisasi anggota. Banyak taktik yang ditemukan oleh FBI selama investigasi Scattered Spider, yang diuraikan dalam laporan bersama Penasihat keamanan siber CISA dan FBI Scattered SpiderMitigasi MITRE ATT&CK didasarkan pada analisis TTP, berdasarkan pengamatan dunia nyata organisasi.
Lanskap Ancaman Siber Sektor Kesehatan Health-ISAC 2025 menyoroti peningkatan serangan siber yang terus berlanjut. Temuan utama mencakup lonjakan serangan ransomware, dengan teknik yang semakin canggih yang digunakan oleh pelaku ancaman.
Laporan tersebut juga menekankan meningkatnya ancaman dari aktor negara-bangsa dan spionase siber, yang menargetkan data pasien yang sensitif dan kekayaan intelektual. Lebih jauh, munculnya perangkat Internet of Medical Things (IoMT) telah memperkenalkan kerentanan baru, sementara lanskap ancaman yang terus berkembang mengharuskan adaptasi berkelanjutan terhadap langkah-langkah keamanan untuk organisasi sektor kesehatan secara global.
anorama de Ameaças Cibernéticas OP do Setor de Saúde do Health-ISAC 2025 destaca uma escalada contínua de ataques cibernéticos. Sebagai kesimpulan utama, kami menyertakan peningkatan serangan ransomware, dengan teknik yang lebih canggih yang dilakukan oleh agen-agen ameaças.
Hubungan tersebut juga melibatkan lembaga-lembaga baru di bidang agen-agen real estat dan spionase dunia maya, visa dan spionase dunia maya, orang-orang yang sensitif terhadap pasien dan intelektual yang memiliki hak. Selain itu, perangkat tambahan Internet Coisas Médicas (IoMT) memperkenalkan kerentanan baru, seiring dengan skenario serangan yang berevolusi, diperlukan adaptasi lanjutan dari perlindungan keamanan bagi organisasi di seluruh dunia.
Termasuk berikut ini, beberapa wawasan penting yang perlu ditambahkan pada data pesquisa:
Respons cepat sangat penting terutama ketika berhadapan dengan pelanggaran yang melibatkan teknologi yang tidak didukung. HIPAA Aturan ini mengharuskan organisasi layanan kesehatan untuk memulihkan sistem dalam waktu 72 jam. Errol Weiss, kepala petugas keamanan di Kesehatan-ISAC, mengatakan ketiga area di bawah ini adalah kunci.
|
|---|
|
|---|
Menyusul penembakan tragis CEO UnitedHealthcare di New York City pada tanggal 4 Desember, Health-ISAC mengeluarkan peringatan kepada Anggota pada tanggal 9 Desember yang mengidentifikasi sebelas tindakan pencegahan yang harus diambil organisasi sektor kesehatan.
Health-ISAC telah menerima laporan tentang beberapa postingan daring yang mengancam para eksekutif di sektor kesehatan. Forum telah diidentifikasi sebagai sumber ancaman yang menargetkan para CEO di industri perawatan kesehatan, khususnya mereka yang memimpin perusahaan asuransi kesehatan besar dan perusahaan farmasi. Health-ISAC telah menerbitkan buletin ancaman untuk menginformasikan sektor kesehatan global tentang apa yang harus diwaspadai dan merekomendasikan langkah-langkah mitigasi bagi organisasi untuk segera diambil. Harap baca dan bagikan di sektor kesehatan.
Ancaman-ancaman ini, yang berkisar dari intimidasi umum hingga seruan khusus untuk melakukan kekerasan, muncul setelah pembunuhan CEO UnitedHealthcare baru-baru ini. Penting untuk dicatat bahwa pelaku pembunuhan baru-baru ini belum ditangkap, dan penyelidikan terhadap kemungkinan motifnya masih berlangsung.
Meskipun ancaman yang beredar ini belum diverifikasi, Health-ISAC merekomendasikan peningkatan kewaspadaan keamanan di kalangan eksekutif perawatan kesehatan dan tindakan keamanan yang lebih ketat untuk memastikan keselamatan.
Seruan untuk melakukan kekerasan dapat meluas ke ranah siber, yang menyebabkan para hacktivis melakukan DDoS dan serangan disruptif lainnya pada sektor kesehatan. Health-ISAC menganjurkan agar para anggota tetap waspada dalam menjaga keamanan semua infrastruktur dan agar organisasi berbagi informasi spesifik apa pun yang mereka miliki tentang ancaman terhadap para eksekutif sehingga kami dapat terus memberi informasi kepada masyarakat.
Seiring dengan semakin bergantungnya industri perawatan kesehatan pada sistem digital yang saling terhubung, pentingnya manajemen kerentanan yang kuat menjadi semakin jelas. melaporkan oleh Health-ISAC, Metrik Kerentanan dan Pelaporan, menyoroti praktik dan strategi terbaik untuk memperkuat keamanan siber dalam sistem kesehatan.
Baca artikel selengkapnya di HealthSystemCIO.com Klik disini
Dokumen ini menyajikan analisis survei yang dilakukan di antara Anggota Health-ISAC oleh Kelompok Kerja Pengembangan Program Cyber Threat Intelligence (CTI). Survei ini bertujuan untuk memberikan wawasan penting tentang status terkini program CTI di seluruh sektor kesehatan, mengidentifikasi kekuatan dan peluang untuk pertumbuhan.
Tujuan
Hasil survei berperan penting dalam mengarahkan upaya Kelompok Kerja untuk memprioritaskan hasil yang bernilai tinggi dan mendorong kolaborasi dalam komunitas Health-ISAC. Temuan ini telah menjadi dasar pengembangan sumber daya praktis yang dirancang untuk mendukung dan memajukan inisiatif CTI.
Temuan Kunci
Makalah ini membahas Temuan kunci 9 dari survei, yang secara langsung mempengaruhi terciptanya sumber daya dan alat yang disesuaikan dengan kebutuhan anggota Health-ISAC. Temuan ini berfungsi sebagai dasar untuk rangkaian sumber daya inovatif yang diberi nama CTI dalam KotakSumber daya komprehensif ini mengatur alat, strategi, dan praktik terbaik yang penting untuk memberdayakan Anggota Health-ISAC dalam memperkuat program CTI mereka. Anggota dapat mengakses CTI dalam Kotak melalui Portal Intelijen Ancaman ISAC Kesehatan (H-TIP).
Solusi yang dibuat khusus memungkinkan tim keamanan perawatan kesehatan dengan umpan ancaman khusus perawatan kesehatan dan kemampuan respons otomatis.
Errol Weiss, Kepala Petugas Keamanan di Health-ISAC dan pelanggan Cyware, menyatakan kebutuhan kritis akan inovasi ini: “Perawatan kesehatan merupakan salah satu sektor yang paling banyak menjadi sasaran penjahat dunia maya. Memiliki platform intelijen ancaman yang dirancang khusus untuk industri kami akan memungkinkan organisasi perawatan kesehatan untuk mengakses wawasan yang relevan dan dapat ditindaklanjuti dengan cepat yang dapat membuat perbedaan nyata dalam mempertahankan diri dari serangan canggih.”
Rachel James, Anggota Komite Intelijen Ancaman Health-ISAC, mencatat, “Dalam lingkungan yang waktu sangat penting, tim keamanan layanan kesehatan memerlukan alat yang memungkinkan mereka melakukan lebih banyak hal dengan upaya lebih sedikit tetapi dengan akurasi yang lebih tinggi. Platform Intelijen Ancaman Layanan Kesehatan Cyware dirancang untuk mengidentifikasi dan menanggapi ancaman khusus layanan kesehatan dengan cepat, memberdayakan organisasi untuk tetap unggul dalam menghadapi serangan tanpa kewalahan oleh kompleksitas.”
Baca siaran pers selengkapnya di BusinessWire:
Dalam dunia yang saling terhubung dan selalu aktif seperti saat ini, manajemen kerentanan merupakan proses mendasar bagi semua organisasi. Metrik dan pelaporan memainkan peran penting dalam memantau layanan yang kami berikan, menerapkan kemampuan deteksi, dan upaya perbaikan tim aplikasi atau teknologi. Penceritaan yang efektif dengan metrik dan pelaporan dapat membantu menunjukkan peningkatan atau efektivitas personel dukungan teknologi kami. Tim manajemen kerentanan harus memiliki sistem penilaian untuk mencerminkan jadwal perbaikan organisasi.
