Det amerikanske cybersikkerhetsbyrået CISA har publisert en oppdatert advarsel om ransomware-gruppen Scattered Spider. De advarer om nye, avanserte taktikker og stadig mer sofistikerte angrep. Gruppen retter seg nå mot tredjeparts IT-leverandører ved å utgi seg for å være ansatte – et klart skifte fra deres tidligere metode.
Ifølge juli-oppdateringen er dette den tredje advarselen om Scattered Spider siden november 2023. Den viser hvordan gruppen har gått over til bredere og mer skjulte former for sosial manipulering. Nylige ofre inkluderer store detaljhandelskjeder, teknologiselskaper og flyselskaper.
Fra falsk IT-support til falske ansatte
Scattered Spider – også kjent som UNC3944, Octo Tempest og Storm-0875 – er kjent for å bruke sosial manipulering. Tidligere utga medlemmene seg for å være IT-support for å få tilgang til innloggingsinformasjon. Nå later de som om de er faktiske ansatte for å manipulere eksterne IT-leverandører.
De nye målene inkluderer blant annet Snowflake-kontoer, Slack, Microsoft Teams og Exchange. Gruppen bruker denne tilgangen til å samle inn informasjon og gjennomføre målrettede phishing-angrep.
Ifølge CISA infiltrerer Scattered Spider også interne møter ved hjelp av falske profiler og sosiale medier-kontoer. Dette gir dem muligheten til å overvåke sikkerhetsreaksjoner i sanntid og justere taktikken deretter.
Utviklet taktikk og ny skadevare
Den siste advarselen beskriver flere metoder for å omgå tofaktorautentisering (MFA), blant annet:
- Push-bombing (MFA-tretthet): Brukere oversvømmes med godkjenningsforespørsler til de gir etter.
- SIM-bytte: Kapring av telefonnummer for å fange opp engangskoder.
- Fjernstyringsverktøy: Brukerne lures til å installere programvare som gir angriperen full kontroll over systemet.
Scattered Spider har også tatt i bruk nye ransomware-varianter som DragonForce, som kombinerer datatyveri og kryptering – en form for dobbelt utpressing. Når de først har tilgang, kjører de tusenvis av spørringer og eksfiltrerer sensitiv informasjon på få minutter.
Høyt profilerte angrep og milliardtap
Gruppen står bak flere store sikkerhetsbrudd. I 2025 skal de ha angrepet kjente britiske detaljkjeder som Marks & Spencer, Harrods og Co-op – ofte ved å kompromittere deres IT-leverandør Tata Consultancy Services.
De samarbeidet også med den nå oppløste gruppen ALPHV/BlackCat i angrepene på MGM Resorts og Caesars Palace i 2023.
Nylige ofre som Clorox og Hawaiian Airlines skal ha tapt opptil 400 millioner dollar hver. Gruppen fokuserer i stor grad på engelskspråklige mål med høy verdi, men har begynt å ekspandere inn i Asia.
Arrestasjoner stopper ikke gruppen
Myndighetene har arrestert flere unge medlemmer i år – fire i Storbritannia og én i Spania, alle mellom 17 og 22 år. Likevel advarer Mandiant om at gruppen fortsatt er aktiv og farlig, og at de nå retter seg mot amerikansk transportinfrastruktur.
Konklusjon
Scattered Spider fortsetter å utvikle seg – med nye metoder, forbedret sosial manipulering og stadig mer avansert skadevare. Til tross for arrestasjoner utgjør gruppen fortsatt en alvorlig trussel mot globale virksomheter. CISA oppfordrer selskaper til å innføre phishing-resistent MFA, overvåke tredjeparts tilgang og lagre sikkerhetskopier offline.
0 responses to “Scattered Spider-gjengen utvikler nye angrepstaktikker”