De FBI waarschuwt voor een groep cybercriminelen die de afgelopen maanden grote bedrijven heeft gecompromitteerd en afgeperst en meeluistert met securityteams om zo te achterhalen hoe het onderzoek naar de groep wordt uitgevoerd. De groep wordt Scattered Spider genoemd, maar staat ook bekend als UNC3944 en Scatter Swine.
Volgens de opsporingsdienst zijn de groepsleden experts in social engineering en passen verschillende social engineering technieken toe. Het gaat onder andere om sim-swapping, phishing en 'MFA fatigue', om zo inloggegevens te achterhalen of toegang tot accounts te krijgen. Ook doen de groepsleden zich voor als helpdeskpersoneel om vervolgens inloggegevens van medewerkers te vragen, of die remote access tools te laten installeren. Tevens vragen de criminelen aan personeel om one-time passwords (OTP) te delen.
Voor de phishingaanvallen registreert de groep vaak organisatiespecifieke domeinnamen, zoals victimname-sso[.]com, victimname-servicedesk[.]com of victimname-okta[.]com. Op deze manier probeert de groep toegang tot het netwerk van de organisatie te krijgen. Daarbij maken de criminelen ook gebruik van legitieme tools zoals Screenconnect, TeamViewer en Tailscale. Het uiteindelijke doel is het stelen van belangrijke gegevens om zo de organisatie af te persen of ransomware uit te rollen.
Om te bepalen of de activiteiten van de groep zijn ontdekt en toegang tot het netwerk van de getroffen organisatie te behouden worden vaak conversaties en e-mails in de Slack-, Microsoft Teams- en Exchange Online-omgevingen van het slachtoffer gemonitord. De criminelen doen vaak ook mee aan incident remediation en response telefoongesprekken en teleconferenties.
Vermoedelijk om zo te achterhalen hoe securityteams het onderzoek naar de groep uitvoeren en proactief nieuwe methodes te ontwikkelen in een reactie op de maatregelen die de getroffen organisatie neemt, aldus de FBI. Zo worden soms nieuwe identiteiten in de omgeving aangemaakt, voorzien van valse socialmediaprofielen als dekking.
De FBI heeft vandaag een apart adviesdocument over de groep gepubliceerd, met een beschrijving van de werkwijze, alsmede adviezen om aanvallen door de groep te voorkomen, zoals het gebruik van phishingbestendige multifactorauthenticatie (pdf).
Deze posting is gelocked. Reageren is niet meer mogelijk.