滑板蜘蛛黑客群体, 勤奋地工作, 有组织和 纪律

雅加达 - 前一年,美国安全公司Palo Alto Networks开始听说,一些公司被黑客的不同寻常的方式渗透。

英语本地黑客将联系目标公司的信息技术援助中心,将自己伪装成员工,并通过假装失去访问权限来搜索登录详细信息。

他们拥有一切的员工信息,需要说服听起来。一旦他们获取访问,他们将很快找到一种进入公司最敏感的存档库的方法,以窃取数据以兑换赎金。

“勒索软件攻击并不是什么新鲜事,但该组织在社会工程方面非常熟练,并且超越了多因素身份验证,”安全公司Palo Alto Networks的威胁情报小组42高级副总裁Wendi Whitmore说,他已经对与该组织相关的几次攻击做出了回应。

“他们比许多其他网络犯罪分子更先进。他们在攻击中显得受到纪律处分和组织,“他说。“与网络犯罪分子相比,这是我们通常在国家参与者中看到的更多。

被捕蜘蛛,Muddled Libra和UNC3944等多名名称在安全界知名,据报道,黑客窃取了MGM名胜和Caesars Entertainment等大公司的数据。

幕后,其他一些公司也是攻击的受害者,据追踪入侵的分析师称。当局警告说,这次袭击将继续进行。

联邦调查局正在调查MGM和Caesars的黑客行为,两家公司尚未评论谁是攻击背后的肇事者。

自2022年3月以来,从加拿大到日本,安全公司CrowdStrike一直在追踪该集团在全球52起攻击事件,主要在美国。谷歌旗下的情报公司Mandiant在过去两年中记录了该集团的100多次入侵。

几乎每个行业,从电信到金融,酒店和媒体,都已成为受害者。路透社甚至无法确定黑客通过赎金获得的资金在多大程度上。

然而,区分这一群体的不仅仅是攻击的规模或范围。“他们在所作所为方面非常熟练,在与受害者的互动中非常'残酷',”曼迪安特创始人凯文曼迪亚说。

他们从公司系统渗透和检索数据的速度可以阻止安全响应团队,他们还将受害者组织工作人员在其系统中留下威胁记录,并通过短信和电子邮件与他们联系。

在某些情况下,与刺蜘蛛有关的黑客已经发出虚假电话,将武装警察部队召集到目标公司的高管的家中。

“这种技术,称为SWATing,如果作为受害者面对,那真是太可怕了,”曼迪亚说。“我甚至不认为这种入侵只是关于金钱的。我认为这是关于权力,影响力和名声的。这使得更难应对。

有关刺蜘蛛的位置或身份的详细信息尚不提供。根据黑客与受害者的对话以及从入侵调查中获得的线索,CrowdStrike的Adam Meyers表示,他们大多年龄在17-22岁之间。

曼迪安特估计,他们大多来自西方国家,但不清楚有多少人参与其中。

分析师表示,在联系救援中心之前,黑客使用社会技术收集了员工信息,包括密码,特别是“SIM替换”,这是一种技术,他们欺骗电信公司客户服务代表将特定电话号码从一个设备转移到另一个设备。

分析师表示,他们似乎还试图了解大型组织(包括他们的供应商和承包商)如何工作,以找到他们可以瞄准的特权访问的个人。

Okta身份管理公司首席安全官David Bradbury直接看到的,当时他发现了几名Okta客户 - 包括MGM - 上个月被Scattered Spider渗透。Okta提供的身份身份证服务,如多因素身份验证,用于帮助用户安全访问应用程序和网站。

布拉德伯里说:“威胁肇事者显然参加了我们在线提供的课程,他们清楚地了解了我们的产品以及它们的工作原理。

更大的群体ALPHV上周声称,他们是MGM黑客攻击背后的肇事者,分析师认为他们提供软件和攻击工具供刺蜘蛛使用。

Okta的Bradbury说:“这种合作对于网络犯罪分子来说很常见。ALPHV,Mandiant认为是“勒索软件-as-a-service”,将提供帮助中心,Web页面和品牌等服务,并获得Scattered Spider从黑客攻击中获得的一部分。

虽然许多勒索软件攻击尚不清楚,但MGM黑客攻击是这种攻击的现实世界影响的一个明显例子。这导致拉斯维加斯的混乱,赌博机械死亡,酒店系统中断。

勒索软件黑客组织通常像大组织一样运作,并继续开发其方法,以适应组织使用的最新安全措施。

「在某些方面,这就像一款古老的猫和老鼠游戏,”惠特莫尔说,他将刺蜘蛛与Lapsus$进行了比较,Lapsus$是另一个入侵Okta和科技巨头微软的群体。英国警方去年在黑客攻击后逮捕了7名16至21岁的男子。