ochrona danych hakerzy phishing cyberataki Scattered Spider The Com CrowdStrike wymuszenia finansowe Cordial Spider Snarky Spider

Nowe zagrożenie w cyberprzestrzeni: Cordial Spider i Snarky Spider

Według raportu CrowdStrike, dwie nowe grupy hakerskie – Cordial Spider i Snarky Spider – prowadzą intensywne ataki na organizacje z krytycznych sektorów infrastruktury. Ich celem jest szybkie kradzieże danych oraz wymuszenia finansowe. Ataki te są ściśle powiązane z grupą Scattered Spider i innymi podgrupami The Com, w tym SLSH oraz ShinyHunters.

Metody ataków i wybrane cele

Grupy te wykorzystują phishing głosowy, wiadomości tekstowe oraz e-maile, aby nakłonić pracowników do podania danych uwierzytelniających na fałszywych stronach logowania. Strony te podszywają się pod oficjalne systemy SSO lub dostawców tożsamości firm ofiar. Po uzyskaniu dostępu, hakerzy usuwają zabezpieczenia wieloskładnikowe, kasują alerty oraz rozprzestrzeniają się po całym ekosystemie SaaS ofiary.

Adam Meyers, wiceprezes CrowdStrike ds. operacji przeciwadwersaryjnych, podkreślił, że grupy składają się głównie z native speakerów języka angielskiego i koncentrują się na organizacjach amerykańskich z sektorów takich jak:

  • Akademia
  • Lotnictwo
  • Handel detaliczny
  • Hotelarstwo
  • Motoryzacja
  • Usługi finansowe
  • Sektor prawny
  • Technologia

Różnice w taktyce i nowe zagrożenia

Chociaż obie grupy stosują podobne metody, ich taktyki, techniki i procedury różnią się między sobą. Różnice obejmują:

  • Godziny aktywności
  • Używane domeny phishingowe
  • Preferowane systemy operacyjne
  • Strony do wyciekania danych
  • Metody rejestracji w systemach uwierzytelniania wieloskładnikowego

Grupa Cordial Spider posiada własną stronę do wyciekania danych – BlackFile – która była niedostępna w środę. CrowdStrike nie podało zakresu wysokości żądań okupu, jednak Unit 42 z Palo Alto Networks wskazało, że Cordial Spider (znany również jako CL-CRI-1116 i UNC6671) żądał zazwyczaj siedmiocyfrowych kwot.

Dodatkowe zagrożenia i techniki unikania wykrycia

Niektóre ofiary, które odmówiły zapłaty okupu, padły ofiarą ataków DDoS. Grupa Snarky Spider stosowała również bardziej agresywne metody nękania, w tym swatting pracowników firm-ofiar.

Aby uniknąć wykrycia, hakerzy korzystają z sieci proxy rezydencyjnych, takich jak Mullvad, Oxylabs, NetNut, 9Proxy, Infatica i NSOCKS. Sieci te, choć mogą mieć legalne zastosowania, są często wykorzystywane przez cyberprzestępców do ukrycia swojego pochodzenia i maskowania ruchu sieciowego jako typowy ruch użytkowników domowych.

Ostrzeżenia i zalecenia

Raport CrowdStrike pojawił się wkrótce po publikacji badań Unit 42 z Palo Alto Networks oraz Retail Hospitality Information Sharing and Analysis Center, które dotyczyły ataków Cordial Spider na branżę handlu detalicznego i hotelarstwa. Eksperci podkreślają, że ataki na systemy tożsamości stanowią poważne zagrożenie, ponieważ mogą prowadzić do wycieków danych poza pierwotny punkt naruszenia.

Organizacje powinny wzmocnić swoje zabezpieczenia, w tym:

  • Monitorowanie podejrzanych aktywności w systemach uwierzytelniania
  • Ograniczenie dostępu do krytycznych danych
  • Szkolenia pracowników w zakresie rozpoznawania ataków phishingowych
  • Stosowanie zaawansowanych rozwiązań do wykrywania zagrożeń
Źródło: CyberScoop
Elizabeth Warren atakuje Trumpa po ujawnieniu powiązań firmy World Liberty Financial z podejrzanymi projektami kryptowalutowymi
← Poprzedni

Elizabeth Warren atakuje Trumpa po ujawnieniu powiązań firmy World Lib...

 Anbernic wprowadza nowy handheld z obrotowym ekranem – cena od 87,99 USD
Następny →

Anbernic wprowadza nowy handheld z obrotowym ekranem – cena od 87,99 U...