Scattered Spider: эволюция атак на технологии, финансы и ритейл

Финансово мотивированная киберпреступная группировка Scattered Spider привлекает всё больше внимания экспертов в области кибербезопасности. Основной целью злоумышленников становятся технологические компании, а также организации финансового сектора и розничной торговли. Особое внимание уделяется высококвалифицированным кадрам — системным администраторам и руководителям высшего звена, чьи учетные данные представляют наибольшую ценность.

Тактики и методы атак

Scattered Spider характеризуется сложным и многогранным подходом, который во многом базируется на методах социальной инженерии и фишинга. Группа активно использует современные технологии, включая платформу Evilginx, позволяющую обходить многофакторную аутентификацию (MFA) и перехватывать учетные данные, имитируя легитимные страницы входа.

• 81% доменов, связанных с группой, маскируются под поставщиков технологий, применяя методы тайпсквоттинга для обмана жертв и получения конфиденциальной информации.
• Использование сервисов поставщиков управляемых услуг (MSP) и IT-подрядчиков позволяет компрометировать сразу несколько клиентов через одного подрядчика.
• В последние месяцы отмечается переход от регистрации доменов с дефисами к использованию поддоменов, что усложняет выявление злонамеренной активности.

Структура и цели атак

Анализ свыше 600 доменных имён, связанных с Scattered Spider, выделил следующие тенденции по отраслям-мишеням:

• 35% — технологические компании;
• 20% — финансовый сектор;
• 15% — розничная торговля.

Эти данные указывают на стратегическое предпочтение группировкой объектов с высокой добавленной стоимостью и активным использованием технологий.

Особенности эксплуатации технологий и социальная инженерия

Злоумышленники тщательно изучают цели, создавая реалистичные профили сотрудников на основе информации из социальных сетей. Вместе с применением передовых фишинговых инструментов это позволяет эффективно манипулировать персоналом и вымогать доступ к критически важным системам.

Кроме того, отмечено сотрудничество Scattered Spider с российскими организациями, занимающимися киберпреступностью, что способствует повышению профессионализма социальной инженерии и расширению возможностей атак.

Расширение арсенала угроз

Одним из новых тактических приемов стало использование уязвимостей в ПО для дистанционного управления, таком как SimpleHelp. Это облегчает развертывание программ-вымогателей сразу в нескольких организациях и значительно увеличивает масштаб угроз, при этом злоумышленники используют легитимные платформы для проникновения.

Рекомендации по противодействию угрозам

В условиях постоянно эволюционирующих методов атак со стороны Scattered Spider организациям рекомендуется:

• Внедрять многослойные методы аутентификации, основанные на оценке рисков;
• Повышать уровень подготовки сотрудников в области социальной инженерии и кибергигиены;
• Использовать защищенные каналы доступа с обязательной MFA для привилегированных аккаунтов;
• Применять автоматизированные системы мониторинга для своевременного обнаружения вторжений;
• Осуществлять постоянный анализ оперативной информации о новых тактиках и методах злоумышленников.

Scattered Spider демонстрирует высокий уровень организованности и адаптивности, продолжая нацеливаться на высокотехнологичные организации и предприятия с большим капиталом. Только системный, упреждающий подход и постоянная бдительность помогут эффективно противостоять этой опасной угрозе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.