La Oficina Federal de Investigación de los Estados Unidos (FBI) ha revelado que ha observado que los infames grupos cibercriminales que dispersan a las arañas y amplían su huella de orientación para atacar el sector de las aerolíneas.
Con ese fin, la agencia dijo que está trabajando activamente con los socios de la aviación y la industria para combatir las actividades y apoyar a las víctimas.
«Estos actores dependen de las técnicas de ingeniería social y solicitan a los empleados y contratistas que otorguen acceso al hacerse pasar por empleados y contratistas para engañarlos», dijo el FBI en una publicación sobre X.
También se sabe que los ataques de arañas dispersos apuntan a proveedores de TI de terceros, obtienen acceso a grandes organizaciones y ponen a los proveedores y contratistas de confianza en riesgo de posibles ataques. Los ataques generalmente allanan el camino para el robo de datos, el forzado y el ransomware.
En una declaración compartida en LinkedIn, Sam Rubin de Palo Alto Networks Unit 42 confirmó los ataques de actores de amenaza contra la industria de la aviación, lo que insta a las organizaciones a ser «alertas altas» debido a los sofisticados intentos de ingeniería social y las solicitudes sospechosas de restablecimiento de autenticación multifactor (MFA).
Mandiant, propiedad de Google, advirtió recientemente acerca de apuntar a la división de seguros de los Estados Unidos de Spider, pero dijo que estaba al tanto de múltiples incidentes en la industria de la aerolínea y el transporte que se asemejan a cirugías en un modelo de tripulaciones de piratería.
«Antes de agregar un nuevo número de teléfono a su cuenta de empleados/contratistas, se recomienda a la industria que tome medidas para cerrar el proceso de verificación de identificación de la mesa de ayuda inmediatamente (que los actores de amenazas pueden utilizar un reinicio de contraseña de autoservicio), restablezca su contraseña, agregue un dispositivo a su solución MFA o proporcione información de empleados (ID de empleados).
Una de las razones por las que las arañas dispersas continúan teniendo éxito es su comprensión del flujo de trabajo humano. Incluso con defensas técnicas como MFA en su lugar, el grupo se está centrando en las personas detrás del sistema. Al igual que todos los demás, el personal de la mesa de ayuda puede ser tomado por sorpresa por una historia convincente.
No se trata de piratería de fuerza bruta. Se trata de generar confianza el tiempo suficiente para colarse. Y cuando los tiempos son cortos o la presión es alta, es fácil ver cómo pueden pasar las demandas falsas de los empleados. Por lo tanto, las organizaciones deben ir más allá de la seguridad de los puntos finales tradicionales y repensar cómo se produce la verificación de identidad en tiempo real.
La actividad rastreada como arañas dispersas se superpone con grupos de amenazas como el confundido Libra, Octo Tempest, Oktapus, Splicition Swine, Star Fraud y UNC3944. El grupo, originalmente conocido por sus ataques de intercambio SIM, cuenta el acceso interno dentro de la lista de tecnologías de acceso temprano que impregnan la ingeniería social, el phishing de servicio y los entornos híbridos.
«Las arañas dispersas combinan una ingeniería social profunda, un refinamiento técnico en capas y extensiones dobles rápidas para representar una evolución importante del riesgo de ransomware», dijo Halcyon. «En unas pocas horas, los grupos pueden violar, establecer acceso permanente, recolectar datos confidenciales, deshabilitar los mecanismos de recuperación y explotar ransomware en entornos de inventario y nube».
Lo que hace que este grupo sea particularmente peligroso es la combinación de planificación del paciente y escalada repentina. Las arañas dispersas no solo confían en las credenciales robadas, sino que también pasan tiempo reuniendo Intel en sus objetivos, a menudo combinando la investigación en las redes sociales con datos públicos para hacerse pasar por personas con una precisión horrible. Mezcle este tipo de amenaza híbrida, técnica de compromiso de correo electrónico comercial (BEC) con sabotajes de infraestructura en la nube, y puede volar bajo el radar hasta que sea demasiado tarde.
Las arañas dispersas son parte de una población amorfa llamada Com (también conocida como Comm), y cuentan a otros grupos como Lapsus $. Ha sido calificado activo desde al menos 2021.
«El grupo evolucionó con plataformas de comunicación de discordia y telegrama, atrayendo a miembros de diversos orígenes e interés», dijo la Unidad 42. «Las rodillas sueltas y la naturaleza fluida de este grupo hacen que sea inherentemente difícil de interrumpir».
En un informe publicado el viernes, Reliaquest detalló a los actores de araña dispersos violaron una organización no identificada a fines del mes pasado al atacar al director financiero (CFO), abusando de un mayor acceso para llevar a cabo un ataque altamente preciso y calculado.
Se ha encontrado que los actores de amenaza realizan un amplio reconocimiento en personas particularmente valiosas, particularmente para hacerse pasar por los CFO en las llamadas a la mesa de ayuda de TI de la compañía y convencerlos de que restablezcan los dispositivos y credenciales de MFA vinculados a sus cuentas.
El atacante también utilizó la información obtenida durante el reconocimiento para ingresar a la fecha de nacimiento del CFO y los últimos cuatro dígitos (SSN) del número de Seguro Social como parte del flujo de inicio de sesión en el portal de inicio de sesión público de la compañía, verificando la identificación del empleado y verificar la información que recolectaron.
«Las arañas dispersas admiten C-Suite que explican por dos razones principales. A menudo son superiores, y las solicitudes de mesa de ayuda relacionadas con estas cuentas generalmente se tratan con urgencia, aumentando la probabilidad de ingeniería social exitosa». El acceso a estas cuentas permite a las espondas dispersas proporcionar una ruta a los sistemas críticos y hacer una reconocimiento la base de los planes de ataque coordinado «.
El actor de araña disperso armado con acceso a cuentas de CFO demostró su capacidad para realizar una serie de acciones en un entorno objetivo, adaptando y aumentando los ataques rápidamente,
Realice las enumeraciones de Id Id en los directores de servicio para cuentas privilegiadas, grupos de privilegios y la escalada y persistencia de privilegios para encontrar archivos confidenciales y recursos colaborativos, para obtener una visión más profunda de los flujos de trabajo de la organización y la arquitectura de la nube y la nube, para coordinar los ataques en la destrucción de Horison (Virison destructive), para violar dos cuentas adicionales a través de la ingeniería social, la información sensible, establecer una información sensible, establecer una información de la organización de la organización en las organizaciones de la organización. Infraestructura comprometida por un entorno virtual, proteger el acceso remoto ininterrumpido a los recursos internos, recuperar máquinas virtuales (VM) previamente desmanteladas, crear nuevas para acceder a la infraestructura VMware Venter y cerrar el control de dominio de dominio virtizado. Use el acceso avanzado a los archivos de la base de datos para avanzar más a las intrusiones utilizando cuentas privilegiadas, como agrietarse a la bóveda de contraseña de arco cibernético, obtener más de 1,400 secretos y asignar roles de administrador a cuentas de usuario comprometidas. Grupo de recolección de reglas de políticas de firewall de Azure, obstruyendo las operaciones comerciales normales
Reliaquest también describió cuál es el tirón fundamental de la guerra entre los equipos de respuesta a incidentes y los actores de amenaza para administrar el papel de administrador global dentro de los inquilinos de Entra ID.
La imagen completa aquí es que los ataques de ingeniería social ya no se han convertido en una campaña de amenaza de identidad completa, en lugar de un correo electrónico de phishing. Los atacantes siguen un libro de jugadas detallado para evitar cada capa de defensa. Desde Sims de intercambio a Wisings y Privilege Climations, las arañas dispersas muestran qué tan rápido puede moverse un atacante cuando el camino está claro.
Para la mayoría de las empresas, el primer paso no es comprar nuevas herramientas, sino cerrar procesos internos, especialmente las aprobaciones de la mesa de ayuda y la recuperación de cuentas. Cuantas más personas confíen en ellos para tomar sus decisiones de identidad, más importante será entrenarlos con ejemplos del mundo real.
«Los métodos de acceso iniciales de las arañas dispersas revelan debilidades significativas en muchas organizaciones. Confían en los flujos de trabajo centrados en humanos para la verificación de identidad», dijeron los investigadores de seguridad Alexa Feminella y James Sian.
«Al armar la confianza, el grupo ha demostrado cómo se pueden eludir las poderosas defensas técnicas y los atacantes pueden manipular procesos establecidos para lograr sus objetivos. Esta vulnerabilidad subraya la necesidad de que las empresas reevalúen y fortalezcan los protocolos de verificación de identidad, reduciendo el riesgo de error humano como una puerta de entrada para los adoptadores».
Source link
