Νέο κύμα κυβερνοεπιθέσεων φαίνεται να πλήττει τον τομέα του λιανικού εμπορίου των Ηνωμένων Πολιτειών, σύμφωνα με νεότερη προειδοποίηση της Google. Όπως ανέφερε ο John Hultquist, επικεφαλής ανάλυσης απειλών στο Google Threat Intelligence Group, οι επιθέσεις αποδίδονται στη hacking ομάδα Scattered Spider (ή UNC3944 και Octo Tempest), η οποία θεωρείται υπεύθυνη και για τις πρόσφατες επιθέσεις στο Ηνωμένο Βασίλειο (Marks & Spencer, Co-Op, Harrods).
Η ομάδα φαίνεται πως έχει μετατοπίσει την προσοχή της στην αγορά των ΗΠΑ, εστιάζοντας σε επιθέσεις ransomware και εκστρατείες εκβιασμού. Η στρατηγική τους περιλαμβάνει τη στοχοποίηση ενός μόνο κλάδου κάθε φορά και όλα δείχνουν πως το λιανικό εμπόριο των ΗΠΑ είναι τώρα στο στόχαστρο.
Η ομάδα Scattered Spider συνδέθηκε πρόσφατα με μεγάλες επιθέσεις στο Ηνωμένο Βασίλειο. Ανάμεσα στους στόχους συγκαταλέγεται και η Marks & Spencer (M&S), η οποία υπέστη επίθεση με το ransomware DragonForce, το οποίο στόχευσε virtual machines σε VMware ESXi hosts.
Δείτε επίσης: Οι hackers MirrorFace στοχεύουν την Ιαπωνία με τα ROAMINGMOUSE και ANEL
Σειρά είχε ο όμιλος Co-op, ο οποίος επιβεβαίωσε ότι κυβερνοεγκληματίες απέκτησαν πρόσβαση σε δεδομένα πρώην και τρεχόντων μελών του. Τέλος, η Harrods ανακοίνωσε πως την 1η Μαΐου περιόρισε την πρόσβαση στο διαδίκτυο για να αποτρέψει πιθανή εισβολή στο δίκτυό της – μια ενέργεια που συνιστά άμεση αντίδραση σε κυβερνοαπειλή, αν και δεν έχει επιβεβαιωθεί επίσημα παραβίαση.
Οι συνεχείς επιθέσεις υποδεικνύουν μια οργανωμένη και στοχευμένη καμπάνια, με σαφή πρόθεση να πλήξει κορυφαίες αλυσίδες λιανικής. Οι ειδικοί επισημαίνουν ότι οι οργανισμοί του κλάδου οφείλουν να ενισχύσουν τα μέτρα προστασίας τους απέναντι σε ένα από τα πιο επίμονα και τεχνολογικά προηγμένα δίκτυα κυβερνοεγκλήματος των τελευταίων ετών.
DragonForce Ransomware
Και στις τρεις επιθέσεις στο Ηνωμένο Βασίλειο φαίνεται πως χρησιμοποιήθηκε το DragonForce. Όπως αποκαλύπτει το BleepingComputer, οι hackers υιοθέτησαν μεθόδους κοινωνικής μηχανικής παρόμοιες με εκείνες που χρησιμοποιεί το διαβόητο δίκτυο Scattered Spider.
Δείτε επίσης: Hackers κρύβουν ransomware σε εικόνες JPG
Το DragonForce, το οποίο έκανε την εμφάνισή του στα τέλη του 2023, φαίνεται πως εξελίσσεται ραγδαία, επεκτείνοντας πλέον τις «υπηρεσίες» του σε μοντέλο white-label ransomware-as-a-service (RaaS). Αυτό επιτρέπει σε άλλες εγκληματικές ομάδες να αξιοποιούν τις υποδομές της DragonForce για τις δικές τους επιθέσεις, δυσκολεύοντας περαιτέρω την απόδοση ευθύνης.
Μετά τις επιθέσεις στο Ηνωμένο Βασίλειο, η Εθνική Υπηρεσία Κυβερνοασφάλειας της χώρας (NCSC) εξέδωσε οδηγίες προστασίας για τις επιχειρήσεις, χαρακτηρίζοντας τις επιθέσεις «προειδοποιητικό καμπανάκι» για τον κλάδο. Όπως σημείωσε, καμία επιχείρηση δεν είναι απρόσβλητη.
Παρά ταύτα, το NCSC δεν έχει ακόμη επιβεβαιώσει εάν οι επιθέσεις συνδέονται μεταξύ τους ή αν πρόκειται για ανεξάρτητα περιστατικά (αν και χρησιμοποιήθηκαν οι ίδιες μέθοδοι τουλάχιστον σε M&S και Co-op).
Οι προτάσεις του NCSC συνοψίζονται στα εξής κρίσιμα σημεία:
- Ενίσχυση της παρακολούθησης των συνδέσεων με έμφαση σε ύποπτες πηγές, όπως οικιακά VPN ή μη αναγνωρισμένα endpoints, ώστε να ανιχνεύονται και να απομονώνονται πιθανές απειλές.
- Υιοθέτηση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) σε όλα τα συστήματα, χωρίς εξαιρέσεις, ώστε να αυξάνεται η δυσκολία πρόσβασης από μη εξουσιοδοτημένους χρήστες.
- Συνεχής επιτήρηση για ύποπτες δραστηριότητες, όπως μη αναγνωρισμένες συνδέσεις ή παραβιάσεις λογαριασμών, ειδικά εκείνες που εντοπίζονται μέσω του Microsoft Entra ID Protection.
- Τακτικός έλεγχος διαχειριστικών λογαριασμών (Domain, Enterprise και Cloud Admin), με στόχο την επιβεβαίωση ότι χρησιμοποιούνται μόνο από εξουσιοδοτημένο προσωπικό.
- Επανεξέταση των διαδικασιών υποστήριξης σχετικά με την επαναφορά κωδικών πρόσβασης, διασφαλίζοντας την ύπαρξη ισχυρών πρωτοκόλλων ταυτοποίησης πριν δοθεί πρόσβαση.
Ποιοι είναι οι Scattered Spider;
Η ομάδα Scattered Spider, γνωστή επίσης με τα ονόματα 0ktapus, UNC3944, Scatter Swine, Starfraud και Muddled Libra, αποτελεί έναν συνασπισμό επιτιθέμενων που φημίζεται για τις εξαιρετικά εξελιγμένες εκστρατείες κοινωνικής μηχανικής. Στο οπλοστάσιό τους περιλαμβάνονται τεχνικές όπως phishing μέσω SMS, SIM swapping και επιθέσεις multi-factor authentication (MFA) bombing. Η ομάδα έχει συνδεθεί με πολλές επιθέσεις σε μεγάλους οργανισμούς παγκοσμίως.
Δείτε επίσης: Τούρκοι hackers χρησιμοποίησαν ευπάθεια του Output Messenger
Παρά την ευρεία χρήση του όρου “Scattered Spider”, οι ειδικοί επισημαίνουν ότι πρόκειται για μια χαλαρή συμμαχία threat actors, ενωμένων κυρίως από τις κοινές τεχνικές που χρησιμοποιούν.
Ο John Hultquist υπογραμμίζει την απειλή: «Πρόκειται για ιδιαίτερα επιθετικούς, ευρηματικούς και αποτελεσματικούς hackers, που καταφέρνουν να παρακάμπτουν ακόμα και ώριμες δομές ασφάλειας. Η κοινωνική μηχανική παραμένει το πιο αποτελεσματικό τους όπλο».
Πηγή: www.bleepingcomputer.com
