Сотрудничество DragonForce и Scattered Spider: угроза для кибербезопасности
Источник: cyberint.com
Картель программ-вымогателей DragonForce, известный своими атаками на розничные сети Великобритании в период с апреля по май 2025 года, по всей видимости, сотрудничал с финансово мотивированной группой под названием Scattered Spider. Эта группа выступает в роли посредника в сфере программ-вымогателей, применяя различные инновационные методы атаки и эксплуатации уязвимостей.
Методы работы Scattered Spider
Scattered Spider начала свою деятельность в мае 2022 года, сосредотачиваясь на:
- Использовании облачных технологий;
- Тактиках социальной инженерии;
- Пробивании уязвимостей в системах, которые требуют минимальной аутентификации.
Первоначально группа работала с телекоммуникационными и аутсорсинг-отраслями, но вскоре переключила внимание на критическую инфраструктуру и розничную торговлю, что подтверждается их ясной связью с рядом недавних атак.
Ключевые уязвимости и инструменты
Группа использует известные уязвимости:
- CVE-2015-2291;
- CVE-2021-35464.
Эти уязвимости позволяют выполнять произвольный код или удаленное выполнение кода без аутентификации. Кроме того, Scattered Spider демонстрирует мастерство в манипулировании средой Azure и использует вредоносные инструменты, такие как POORTRY и STONESTOP, для отключения мер безопасности.
Целевые атаки и практики социальной инженерии
Операции Scattered Spider включают целенаправленные атаки на:
- Технологический сектор;
- Телекоммуникации;
- Системы операторов мобильной связи.
Они иногда внедряют программ-вымогатели, такие как BlackCat, как в системах Windows, так и Linux, используя широкий арсенал методов социальной инженерии.
Ошибки и уязвимости в защите
В одном из известных инцидентов группа получила несанкционированный доступ к конфиденциальным данным американской коммуникационной компании, скомпрометировав номера мобильных телефонов и одноразовые пароли (OTP) через метод фишинга. Их тактика также включает:
- Сбор учетных данных с помощью фишинговых наборов;
- Уязвимости многофакторной аутентификации (MFA);
- Замена SIM-карты для стратегического захвата учетных записей.
Эволюция программ-вымогателей как сервиса
Сотрудничество Scattered Spider с BlackCat ransomware group подчеркивает эволюцию программ-вымогателей как сервиса. Эта модель характеризуется отсутствием кобрендинга и направлена на эксплуатацию уязвимостей критической инфраструктуры с высокими ставками.
Таким образом, внимание к новым методам атаки и сотрудничеству между группами киберпреступников создает новые вызовы для обеспечения кибербезопасности и защиты данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
