Η Google προειδοποίησε σήμερα ότι οι χάκερ που χρησιμοποιούν διάσπαρτες τακτικές αράχνης κατά των αλυσίδων λιανικής πώλησης στο Ηνωμένο Βασίλειο έχουν επίσης αρχίσει να στοχεύουν στους λιανοπωλητές στις Ηνωμένες Πολιτείες.
“Ο τομέας λιανικής πώλησης των ΗΠΑ απευθύνεται επί του παρόντος σε εργασίες ransomware και εκβιασμού που υποψιάζουμε ότι συνδέονται με το UNC3944, επίσης γνωστές ως διάσπαρτη αράχνη”, δήλωσε ο John Hultquist, επικεφαλής αναλυτής της Google Threat Intelligence Group, δήλωσε ο Bleepompomputer.
“Ο ηθοποιός, ο οποίος έχει στοχεύσει σύμφωνα με πληροφορίες το λιανικό εμπόριο στο Ηνωμένο Βασίλειο μετά από μια μακρά παύση, έχει ιστορικό εστίασης των προσπαθειών τους σε έναν ενιαίο τομέα κάθε φορά και αναμένουμε ότι θα συνεχίσουν να στοχεύουν στον τομέα βραχυπρόθεσμα.
Όπως αναφέρθηκε για πρώτη φορά από τον BleepingComputer, ο βρετανός λιανικός γίγαντας Marks & Spencer (M & S) παραβιάστηκε για πρώτη φορά σε μια επίθεση ransomware, όπου οι ηθοποιοί απειλών κρυπτογραφούν εικονικές μηχανές σε κεντρικούς υπολογιστές VMware ESXI με κρυπτογραφητή Dragonforce. Αυτή η επίθεση αποδόθηκε στο Octo Tempest, το όνομα της Microsoft για διάσπαρτη αράχνη.
Το Co-op παρουσίασε επίσης ένα άλλο περιστατικό στον κυβερνοχώρο, επιβεβαιώνοντας ότι οι επιτιθέμενοι έκλεψαν δεδομένα από πολλά σημερινά και πρώην μέλη. Ο Harrods αποκάλυψε επίσης την 1η Μαΐου ότι αναγκάστηκε να περιορίσει την πρόσβαση στο Διαδίκτυο σε ιστότοπους, αφού οι επιτιθέμενοι προσπάθησαν να διεισδύσουν στο δίκτυό του, υποδηλώνοντας μια ενεργή απάντηση σε μια κυβερνοχώρο, παρόλο που μια παραβίαση δεν έχει ακόμη επιβεβαιωθεί.
Η λειτουργία ransomware Dragonforce έχει διεκδικήσει και τις τρεις επιθέσεις και ο BleepingComputer έχει μάθει ότι οι επιτιθέμενοι που τους ενορχηστρώσουν έχουν χρησιμοποιήσει τις ίδιες τακτικές κοινωνικής μηχανικής που συνδέονται με τους διάσπαρτους ηθοποιούς απειλής αράχνης. Το Dragonforce εμφανίστηκε τον Δεκέμβριο του 2023 και ξεκίνησε πρόσφατα τη διαφήμιση μιας νέας υπηρεσίας που έχει σχεδιαστεί για να επιτρέψει σε άλλες ομάδες εγκλημάτων στον κυβερνοχώρο να ασχοληθούν με τις υπηρεσίες τους.
Δεδομένου ότι η διάσπαρτη Spider άρχισε να στοχεύει στους λιανοπωλητές του Ηνωμένου Βασιλείου τον Απρίλιο, το Εθνικό Κέντρο Ασφαλείας Κυβέρνησης του Ηνωμένου Βασιλείου (NCSC) δημοσίευσε καθοδήγηση για να βοηθήσει τους οργανισμούς του Ηνωμένου Βασιλείου να ενισχύσουν τις άμυνες της ασφάλειας στον κυβερνοχώρο και προειδοποίησαν επίσης ότι αυτές οι κυβερνοεπίνες πρέπει να θεωρηθούν ως “κλήση αφύπνισης”, καθώς οποιοσδήποτε από αυτούς θα μπορούσε να γίνει ο επόμενος στόχος.
Το Ηνωμένο Βασίλειο NCSC δεν έχει ακόμη αποδώσει αυτά τα περιστατικά σε μια συγκεκριμένη ομάδα hacking ή ηθοποιό απειλής και δήλωσε ότι εξακολουθεί να εργάζεται με θύματα για να το διαπιστώσει.
“Ενώ έχουμε ιδέες, δεν είμαστε ακόμη σε θέση να πούμε αν αυτές οι επιθέσεις είναι συνδεδεμένες, αν πρόκειται για μια συντονισμένη εκστρατεία από έναν μόνο ηθοποιό ή αν δεν υπάρχει καμία σχέση μεταξύ τους” δηλωθείς το NCSC. “Συνεργαζόμαστε με τα θύματα και τους συναδέλφους της επιβολής του νόμου για να το διαπιστώσουμε”.
Οι διάσπαρτοι ηθοποιοί απειλών αράχνης
Διάσπαρτη αράχνη (επίσης παρακολουθείται ως 0ktapus, UNC3944Scatter Swine, Starfraud, και Μπερδεμένος Ζυγός) είναι ένας όρος που χρησιμοποιείται για να περιγράψει ένα ρευστό συλλογικό ηθοποιό απειλών που είναι γνωστοί για την παραβίαση πολλών οργανώσεων υψηλού προφίλ παγκοσμίως σε εξελιγμένες επιθέσεις κοινωνικής μηχανικής που περιλαμβάνουν επίσης βομβαρδισμό phishing, sim, swapping, βομβαρδισμός ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) (επίσης γνωστή ως στοχοθετημένη κόπωση MFA).
Οι επιθέσεις τους κλιμακώθηκαν τον Σεπτέμβριο του 2023 όταν παραβίασαν τα θέρετρα MGM, χρησιμοποιώντας το Blackcat Ransomware για να κρυπτογραφήσουν πάνω από 100 VMware ESXI Hypervisors μετά την παραβίαση του δικτύου, μιμούνται έναν υπάλληλο όταν καλούν το γραφείο βοήθειας.
Από τότε, έχουν επίσης ενεργήσει ως θυγατρικές για διάφορες άλλες λειτουργίες ransomware, συμπεριλαμβανομένων RansomhubQilin, και, τώρα, Dragonforce. Άλλες επιθέσεις που συνδέονται με τη διάσπαρτη αράχνη περιλαμβάνουν εκείνες στο Twilio, Coinbase, Doordash, Caesars, Mailchimp, Riot Games και Reddit.
Ορισμένοι διάσπαρτοι ηθοποιοί απειλών αράχνης πιστεύεται επίσης ότι αποτελούν μέρος του “com”, μια χαλαρά συνδεδεμένη κοινότητα που εμπλέκεται σε κυβερνοεπίσκοπες και βίαιες πράξεις που συχνά έχουν προσελκύσει προσοχή των μέσων ενημέρωσης.
Αυτοί οι εγκληματίες του κυβερνοχώρου είναι τόσο νέοι όσο 16 και οι περισσότεροι είναι Αγγλικοί ομιλητές που συχνάζουν τα ίδια κανάλια τηλεγράφων, διακομιστές διαφωνίας και φόρουμ χάκερ όπου σχεδιάζουν και διεξάγουν τις επιθέσεις τους σε πραγματικό χρόνο.
Παρόλο που τα πρακτορεία ειδήσεων και οι ερευνητές ασφαλείας χρησιμοποιούν συχνά “διάσπαρτη αράχνη” για να περιγράψουν αυτό το συλλογικό ως συνεκτική συμμορία, αναφέρεται σε μια χαλαρά ομάδα απειλών που χρησιμοποιούν συγκεκριμένες τακτικές κατά τη διάρκεια των επιθέσεων τους, καθιστώντας την πρόκληση για την παρακολούθηση των δραστηριοτήτων τους.
“Αυτοί οι ηθοποιοί είναι επιθετικοί, δημιουργικοί και ιδιαίτερα αποτελεσματικοί στην καταστρατήγηση των ώριμων προγραμμάτων ασφαλείας. Έχουν μεγάλη επιτυχία με την κοινωνική μηχανική και αξιοποιώντας τρίτους για να αποκτήσουν είσοδο στους στόχους τους”, δήλωσε ο Hultquist στο BleePlepcomputer σήμερα.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
