La Oficina Federal de Investigación de los Estados Unidos (FBI) ha revelado que ha observado que el patente camarilla de delitos cibernéticos dispersó la araña que amplía su huella de orientación para atacar el sector de las aerolíneas.
Con ese fin, la agencia dijo que está trabajando activamente con los socios de la aviación y la industria para combatir la actividad y ayudar a las víctimas.
“Estos actores dependen de las técnicas de ingeniería social, a menudo hacerse acontecer por empleados o contratistas para engañar a TI ayudan a los escritorios a otorgar ataque”, dijo el FBI en una publicación sobre X. “Estas técnicas frecuentemente involucran métodos para evitar la autenticación multifactor (MFA), como los servicios de escritorio de ayuda para anexar los dispositivos de MFA inautorizados a cuentas comprometidas”.
Igualmente se sabe que los ataques de arañas dispersos apuntan a los proveedores de TI de terceros a obtener ataque a grandes organizaciones, poniendo a los proveedores y contratistas de confianza en peligro de posibles ataques. Los ataques generalmente allanan el camino para el robo de datos, la perjuicio y el ransomware.
En una comunicación compartida en LinkedIn, Sam Rubin de la Pelotón 42 de Palo Parada Networks confirmó los ataques del actor de amenaza contra la industria de la aviación, instando a las organizaciones a estar en una “alerta máxima” para los intentos avanzados de ingeniería social y la sospecha de autenticación de la autenticación multifactor (MFA).
Mandiant, propiedad de Google, que recientemente advirtió sobre la orientación de Spider dispersas del sector de seguros de EE. UU., Igualmente se hizo eco de la advertencia, afirmando que es consciente de múltiples incidentes en la aerolínea y las verticales de transporte que se asemejan al modus operandi del equipo de piratería.
“Recomendamos que la industria tome medidas de inmediato para ajustar los procesos de comprobación de identidad de su mesa de ayuda antaño de anexar nuevos números de teléfono a las cuentas de empleados/contratistas (que el actor de amenazas puede utilizar para realizar restos de contraseña de supermercado), restablecer contraseñas, anexar dispositivos a las soluciones de MFA o proporcionar información de empleados (eg IDS de empleados) que podría estar de moda para un posterior ingeniería social ataques de ingeniería social”.
Una razón por la que la araña dispersa continúa teniendo éxito es qué tan adecuadamente entiende los flujos de trabajo humanos. Incluso cuando las defensas técnicas como MFA están en su motivo, el camarilla se enfoca en las personas detrás de los sistemas: entender que el personal de la mesa de ayuda, como cualquier otra persona, puede ser tomado por sorpresa por una historia convincente.
No se tráfico de piratería de fuerza bruta; Se tráfico de construir confianza el tiempo suficiente para colarse. Y cuando el tiempo es corto o la presión es ingreso, es claro ver cómo podría acontecer una solicitud falsa de empleados. Es por eso que las organizaciones deben mirar más allá de la seguridad tradicional de los puntos finales y repensar cómo ocurre la comprobación de identidad en tiempo verdadero.
La actividad rastreada como una araña dispersa se superpone con grupos de amenazas como Muddled Libra, Octo Tempest, Oktapus, Scatter Swine, Star Fraud y UNC3944. El camarilla, originalmente conocido por sus ataques de intercambio SIM, cuenta la ingeniería social, el phishing de servicio de ayuda y el ataque interno entre su registro de técnicas de ataque original para penetrar en entornos híbridos.
“La araña dispersa representa una crecimiento importante en el peligro de ransomware, que combina una ingeniería social profunda, una sofisticación técnica en capas y capacidades rápidas de doble acabamiento”, dijo Halcyon. “En cuestión de horas, el camarilla puede violar, establecer un ataque persistente, cosechar datos confidenciales, deshabilitar los mecanismos de recuperación y detonar el ransomware en los entornos de las nubes y en las nubes”.
Lo que hace que este camarilla sea especialmente peligroso es su combinación de planificación de pacientes y subida repentina. La araña dispersa no solo confía en las credenciales robadas, sino que pasa tiempo reuniendo a Intel en sus objetivos, a menudo combinando la investigación en las redes sociales con datos de violación del notorio para hacerse acontecer por personas con precisión aterradora. Este tipo de amenaza híbrida, que combina técnicas de compromiso de correo electrónico comercial (BEC) con boicoteo de infraestructura en la aglomeración, puede esfumarse bajo el radar hasta que sea demasiado tarde.
La araña dispersa es parte de un colectivo desfigurado llamado Com (todavía conocido como Comm), que todavía cuenta con otros grupos como Lapsus $. Se evalúa que está activo al menos desde 2021.
“Este camarilla evolucionó en las plataformas de comunicación de discordia y telegrama, atrayendo a miembros de diversos orígenes e intereses”, dijo la Pelotón 42. “La naturaleza suelta y fluida de este camarilla hace que sea inherentemente difícil de interrumpir”.
En un referencia publicado el viernes, Reliaquest detalló cómo los actores de araña dispersos violaron una ordenamiento sin nombre a fines del mes pasado al atacar a su director financiero (CFO) y abusaron de su ataque elevado para realizar un ataque extremadamente preciso y calculado.
Se ha descubierto que los actores de amenaza llevan a angla un amplio registro para destacar a las personas de detención valencia, especialmente hacerse acontecer por el CFO en una señal a la mesa de ayuda de TI de la compañía y persuadirlos para que restablezcan el dispositivo MFA y las credenciales vinculadas a su cuenta.
Los atacantes todavía aprovecharon la información obtenida durante el registro para ingresar a la aniversario de arranque del CFO y los últimos cuatro dígitos de su número de Seguro Social (SSN) en el portal de inicio de sesión notorio de la compañía como parte de su flujo de inicio de sesión, confirmando en última instancia su identificación de empleados y validando la información recopilada.
“La araña dispersa favorece las cuentas de C-suite por dos razones esencia: a menudo son demasiado privilegiadas, y las solicitudes de Desk de ayuda vinculadas a estas cuentas generalmente se tratan con aprieto, lo que aumenta la probabilidad de una ingeniería social exitosa”, dijo la compañía. “El ataque a estas cuentas le da a la araña dispersa una vía en dirección a los sistemas críticos, lo que hace que el registro sea una piedra angular de sus planes de ataque a medida”.
Armados con ataque a la cuenta del CFO, los actores de araña dispersos realizaron una serie de acciones sobre el entorno objetivo que demostró su capacidad para adaptarse y aumentar rápidamente su ataque,
- Realizar la enumeración de Entrra Id en cuentas privilegiadas, grupos privilegiados y directores de servicio para la subida y persistencia de privilegios
- Realice el descubrimiento de SharePoint para colocar archivos confidenciales y medios colaborativos, y obtener ideas más profundas sobre los flujos de trabajo de la ordenamiento y las arquitecturas de TI y la aglomeración para adaptar su ataque
- Infiltrarse en la plataforma de Infraestructura de escritorio imaginario de Horizon (VDI) utilizando las credenciales robadas del CFO y comprometiendo dos cuentas adicionales a través de ingeniería social, extraer información confidencial y establecer un punto de apoyo en el entorno imaginario
- Violar la infraestructura VPN de la ordenamiento para estabilizar el ataque remoto ininterrumpido a los medios internos
- Reinstale las máquinas virtuales (máquinas virtuales) previamente desmanteladas y cree nuevas para aceptar a la infraestructura vmware vCenter, candado un regulador de dominio de producción virtualizado y extraiga el contenido del archivo de pulvínulo de datos NTDS.DIT
- Utilice su ataque elevado para crack Cybark Cyberark Password Vault y obtenga más de 1,400 secretos
- Avance la intrusión aún más utilizando las cuentas privilegiadas, incluida la asignación de roles de administrador a cuentas de sucesor comprometidas
- Use herramientas legítimas como NGROK para configurar la persistencia en máquinas virtuales bajo su control
- Recurre a una logística de “tierra quemada” a posteriori de que su presencia fue detectada por el equipo de seguridad de la ordenamiento, priorizando la “velocidad sobre el sigilo” para eliminar deliberadamente los grupos de convento de reglas de políticas de firewall de Azure, obstaculizando las operaciones comerciales regulares
Reliaquest todavía describió lo que era esencialmente un tira y afloja entre el equipo de respuesta a incidentes y los actores de amenaza para el control del papel de administrador total adentro del inquilino de Entra Id, una batalla que solo terminó a posteriori de que Microsoft se intervinió para restaurar el control sobre el inquilino.
La imagen más ilustre aquí es que los ataques de ingeniería social ya no son solo correos electrónicos de phishing, sino que han evolucionado en campañas de amenazas de identidad en toda regla, donde los atacantes siguen libros de jugadas detallados para evitar cada capa de defensa. Desde el intercambio de SIM hasta la subida de Vishing and Privilege, la araña dispersa muestra qué tan rápido pueden moverse los atacantes cuando el camino está claro.
Para la mayoría de las empresas, el primer paso no es comprar nuevas herramientas: está ajustando procesos internos, especialmente para cosas como aprobaciones de la mesa de ayuda y recuperación de cuentas. Cuanto más confíe en las personas para las decisiones de identidad, más importante será entrenarlos con ejemplos del mundo verdadero.
“Los métodos de ataque original de Spider dispersos exponen una afición crítica en muchas organizaciones: dependencia de los flujos de trabajo centrados en el ser humano para la comprobación de identidad”, dijeron los investigadores de seguridad Alexa Feminella y James Xiang.
“Al originar la confianza, el camarilla pasó por detención las fuertes defensas técnicas y demostró cuán fácilmente los atacantes pueden manipular procesos establecidos para ganar sus objetivos. Esta vulnerabilidad resalta la privación urgente de que las empresas reevalúen y fortalezcan los protocolos de comprobación de identificación, reduciendo el peligro de error humano como una puerta de enlace para los adversarios”.
