Scattered Spiderは、次のような企業に対する大規模な攻撃でランサムウェア業界で名を馳せています。 MGMリゾーツ、シーザーズエンターテインメント、 トゥイリオ、LastPass、DoorDash、Mailchimpなどです。6月、スペイン警察は 22歳の男を逮捕した ムルシア・トゥデイ紙によると、このグループのリーダーであると疑われている。
この逮捕は、ここ数か月間にハッキングやランサムウェアのグループに対して行われた多くの法執行措置の 1 つです。この最新の措置は、Scattered Spider の将来にどのような意味を持つのでしょうか?
散らばったクモの活動
Scattered Spiderは、他の多くの脅威アクターと同様に、0ktapus、UNC3944、Scatter Swine、Muddled Libraなど、多くの名前で知られるグループです。Scattered Spiderは、BlackCat/ALPHVランサムウェアグループとも提携しており、このグループは、攻撃後に退出詐欺の疑いで姿を消しました。 チェンジヘルスケアへの攻撃。
それ以来、Scattered Spiderの活動の一部は、ランサムウェア・アズ・ア・サービス・グループRansomHubと関連付けられてきました。「Scattered Spiderの戦術やツールを使用し、以前はScattered Spiderの被害者を攻撃していたが、今はRansomHubを使用しているアクターを確認しました」と、Spywareのシニア脅威インテリジェンスコンサルタントであるジェイソン・ベイカー氏は言います。 ガイドポイントセキュリティサイバーセキュリティコンサルティングサービス会社の は、InformationWeek に次のように語っています。「当社には、現在 RansomHub グループと積極的に提携している Scattered Spider の戦術に所属しているか、少なくともその戦術に大きく影響を受けていた関連会社が少なくとも 1 社あります。」
Scattered Spiderは、被害者を狙うために複数の戦術を駆使しています。Baker氏によると、このグループは当初、アイデンティティおよびアクセス管理(IAM)システムに焦点を当てていることで注目を集めました。IAMシステムのナビゲートと悪用に加えて、このグループはソーシャルエンジニアリング戦術をうまく活用しています。SIMスワッピング攻撃を実行し、 なりすましのITヘルプデスクスタッフ サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)によると、資格情報にアクセスするには、
このグループは英語圏の脅威アクターと関係がある。 最近逮捕された人物 Krebs on Security によると、この人物はスコットランド出身だという。「英語が堪能で、アメリカや西洋のアクセントを持つ俳優がいるので、ソーシャルエンジニアリングの効果がはるかに高まる」とベイカー氏は指摘する。
ヘルプデスクの従業員をターゲットにすることに加えて、Scattered Spiderは企業外にも目を向けている。「Scattered Spiderは実際に幹部やその家族を攻撃しているのがわかりました」と、サイバーセキュリティ会社の創設者兼CEOであるクリス・ピアソン博士は言う。 ブラッククローク。 “(それ) 「大人、配偶者、夫、妻、恋人だけではありません。子供たちもそうです。」
ピアソン氏によると、このグループは企業の管理を回避し、個人のデバイス、電子メールアカウント、電話番号などを通じて標的に接近しているという。
逮捕
ムルシア・トゥデイの報道によると、スキャタード・スパイダーのリーダーとされる容疑者の逮捕はスペイン警察とFBIが調整した。容疑者はイタリア行きの飛行機に搭乗しようとしていたところ、警察に逮捕された。
「世界中で、法執行機関のパートナー間のコミュニケーション、情報共有、連携が強化されています。これは、サイバー犯罪がすべての人にこれまで以上に大きな打撃を与えている結果だと思います」とピアソン氏は言います。
法執行機関がスキャタード・スパイダーに関係する人物を逮捕したのは今回が初めてではない。1月にはフロリダ州で19歳の男性が 電信詐欺および悪質な個人情報窃盗彼はScattered Spiderのメンバーだった。 クレブス氏のセキュリティに関する見解。
散らばった蜘蛛の未来
これまでにも脅威アクターの逮捕は行われてきましたが、大規模なグループはハッキングや恐喝を繰り返しながら生き残ることがよくあります。Scattered Spider にはどのような影響が予想されるのでしょうか?
「Scattered Spider は多頭のヒドラであることがわかりそうです… 頭を 1 つ切り落としても止められません」とピアソンは言います。
逮捕後、メンバーが自らのリスクと露出度を評価するため、グループは沈黙期間に入る可能性がある。「個人が協力した場合、彼らの露出度はどうなるのか?個人が彼らの身元を暴く可能性のあるデータを持っている場合、またはすでに発見された可能性のある機器、データ、コンピューター、通信があった場合、彼らの露出度はどうなるのか?」とピアソン氏は言う。
Scattered Spider は、一定期間そのインフラストラクチャを解体し、時間をかけて再編成し、新しいブランドで出現する可能性があります。または、関係者が解散して他のグループに所属する可能性もあります。
「私たちが目にした、多作で高度な能力を持つアクターの事例では、没落は一度に起こるわけではありません」とベイカー氏は言う。「その代わりに、能力が徐々に低下し、その後、内部のアクターと関係者がゲームから退出するか、他の組織に移るのを目にします。」
逮捕は必ずしもグループ全体の崩壊を予兆するものではありませんが、サイバー犯罪の魅力を損なう可能性があります。ランサムウェアやその他の種類のサイバー犯罪は、大きな金銭的インセンティブと、何の責任も負わないという認識があるため、魅力的です。
「特に起訴され、引き渡される可能性のある地域にいる西側諸国の標的に対してこのような逮捕が行われると、関係者の心理的安全性が低下する可能性がある」とベイカー氏は言う。
逮捕により、活動中の関係者や潜在的な脅威アクターの一部は行動を控えるかもしれませんが、Scattered Spider の有無にかかわらず、サイバー犯罪エコシステムは依然として活発です。企業のリーダーは、この現実の中でどのように前進するかを検討する必要があります。
「すべての CISO には、今、『これらの出来事、これらのハッキングから何を学べるか』と自問する義務と責任がある」とピアソン氏は言う。
Scattered Spider の過去の成功を考慮すると、他のグループも同じ戦術を活用する可能性が高いです。つまり、企業のセキュリティ リーダーは、ヘルプデスクの従業員、役員、およびその家族を教育し、悪用から保護する方法を慎重に検討する必要があるということです。
さらに、法執行機関がサイバー犯罪グループと戦い続ける中で、企業のリーダーは自らが果たす可能性のある役割を検討することができます。
「民間部門のパートナー、防御者、セキュリティ分野のリーダーは、法執行活動を強化するために活用できる脅威アクターの特定時点の詳細に関する優れた情報源です」とベイカー氏は言う。