FBI и CISA предупреждают о новых атаках Scattered Spider
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
ФБР и Агентство по кибербезопасности и защите инфраструктуры США (CISA), а также профильные ведомства Канады, Великобритании и Австралии, выпустили совместное предупреждение: группировка Scattered Spider только начинает наращивать количество кибератак, а значит — бизнесу стоит быть начеку.
Эти хакеры, известные ещё как Okto Tempest, совершенствуют методы социальной инженерии. Главная их фишка сейчас — выдавать себя за сотрудников компаний и вводить в заблуждение службы технической поддержки, вынуждая сбрасывать пароли и передавать токены двухфакторной аутентификации (MFA) на устройства под контролем злоумышленников.
Scattered Spider расширили арсенал: теперь в ход идёт вредоносное ПО RattyRAT (для скрытного доступа) и шифровальщик DragonForce (чтобы блокировать системы жертвы и требовать выкуп, особенно ударяя по серверам VMware ESXi — инфраструктуре, часто используемой крупным бизнесом).
Группа приобрела репутацию особо агрессивной и технически подкованной – они используют фишинг, атаки на идентификацию, взлом SIM-карт (SIM swapping), а также выматывают жертв постоянными запросами в стиле «MFA fatigue» (когда пользователя засыпают уведомлениями для подтверждения входа, вынуждая рано или поздно согласиться).
Но главное оружие — подмена личности при обращении в техподдержку компании. Именно этот вектор сегодня вызывает особую настороженность у CISA.
Scattered Spider практикует двойное вымогательство: сначала скачивают конфиденциальные файлы на сторонние сервисы (например, MEGA.nz и Amazon S3), а уже потом шифруют данные на инфраструктуре жертвы. Некоторые атаки сопровождались тысячами запросов в системы Snowflake — это платформа для хранения больших данных — чтобы быстро утащить максимальный объём информации.
Для сокрытия следов эти хакеры создают фейковые личности с настоящими соцсетями, мониторят внутреннюю переписку (Slack, Microsoft Teams) и даже присоединяются к митингам по реагированию на инциденты, чтобы узнать, как обороняется компания.
CISA заявляет: атак Scattered Spider будет становиться только больше, и советует компаниям: внедрять сложную двухфакторную аутентификацию (как FIDO/WebAuthn), ограничивать удалённый доступ, внимательно следить за подозрительными действиями пользователей, делать зашифрованные офлайн бэкапы, сегментировать сеть и вовремя обновлять ПО.
Поток предостережений от международных киберструктур давно стал белым шумом — важно не то, что они говорят, а кто в очереди на опалу. Новое имя на доске позора: Scattered Spider — ребята настолько изобретательны, что целая CISA берет их на карандаш.
Будь вы крупная лавочка или просто хранитель чужих секретов, забудьте о спокойном сне: хакер уже прямо звонит вашей сисадминше, выдаёт себя за уставшего сотрудника и — бац! — пароль сброшен, телефон в руках у кукловода. MFA? Смех да и только, если человек на линии решает судьбу данных, а техподдержка набита стажерами на минималке.
Вы ждёте классический ransomware? Тогда запасайтесь попкорном: теперь сначала скачают всё, что болтается в облаках (MEGA, Amazon S3), только потом шифруют файлы и выставляют счёт. То есть нет уже больше невидимых атак — теперь тебя раздевают публично, а ты беспомощно слушаешь ивент в Slack/Teams, где Scattered Spider — невидимый гость.
Рынок снова делает деньги на чужих страхах: советы всё те же — MFA, ограничение удалёнки, сегментация, патчи, бэкапы. Но разве кому-то станет легче? Выживут те, кто не слишком устал слушать нескончаемый бубнеж о новых угрозах. А остальные станут новым трамплином для следующей пресс-релизной паники.