FBI waarschuwt voor groep cybercriminelen die meeluistert met securityteams
De FBI waarschuwt voor een groep cybercriminelen die de afgelopen maanden grote bedrijven heeft gecompromitteerd en afgeperst en meeluistert met securityteams om zo te achterhalen hoe het onderzoek naar de groep wordt uitgevoerd. De groep wordt Scattered Spider genoemd, maar staat ook bekend als UNC3944 en Scatter Swine.
Volgens de opsporingsdienst zijn de groepsleden experts in social engineering en passen verschillende social engineering technieken toe. Het gaat onder andere om sim-swapping, phishing en 'MFA fatigue', om zo inloggegevens te achterhalen of toegang tot accounts te krijgen. Ook doen de groepsleden zich voor als helpdeskpersoneel om vervolgens inloggegevens van medewerkers te vragen, of die remote access tools te laten installeren. Tevens vragen de criminelen aan personeel om one-time passwords (OTP) te delen.
Voor de phishingaanvallen registreert de groep vaak organisatiespecifieke domeinnamen, zoals victimname-sso[.]com, victimname-servicedesk[.]com of victimname-okta[.]com. Op deze manier probeert de groep toegang tot het netwerk van de organisatie te krijgen. Daarbij maken de criminelen ook gebruik van legitieme tools zoals Screenconnect, TeamViewer en Tailscale. Het uiteindelijke doel is het stelen van belangrijke gegevens om zo de organisatie af te persen of ransomware uit te rollen.
Meeluisteren
Om te bepalen of de activiteiten van de groep zijn ontdekt en toegang tot het netwerk van de getroffen organisatie te behouden worden vaak conversaties en e-mails in de Slack-, Microsoft Teams- en Exchange Online-omgevingen van het slachtoffer gemonitord. De criminelen doen vaak ook mee aan incident remediation en response telefoongesprekken en teleconferenties.
Vermoedelijk om zo te achterhalen hoe securityteams het onderzoek naar de groep uitvoeren en proactief nieuwe methodes te ontwikkelen in een reactie op de maatregelen die de getroffen organisatie neemt, aldus de FBI. Zo worden soms nieuwe identiteiten in de omgeving aangemaakt, voorzien van valse socialmediaprofielen als dekking.
De FBI heeft vandaag een apart adviesdocument over de groep gepubliceerd, met een beschrijving van de werkwijze, alsmede adviezen om aanvallen door de groep te voorkomen, zoals het gebruik van phishingbestendige multifactorauthenticatie (pdf).
Cybercriminaliteit onmogelijk maken,
dient ieders allereerste prioriteit te hebben.
Ze verwoesten onze digitale wereld en het vertrouwen erin.
Cybercriminaliteit onmogelijk maken,
dient ieders allereerste prioriteit te hebben.
Ze verwoesten onze digitale wereld en het vertrouwen erin.
We verwoesten het menselijke in ons,we creeren zelf een onaangename maatschappij
waar uiteindelijk criminaliteit uit voorkomt,maar de kunstmatige wereld die wij met onze digitale slimme
middelen opbouwen en waar je in moet leven,is uiteindelijk een groot risico voor ons
voortbestaan zoals gezegd,de mens vernietigd zichzelf.
EU2023
Cybercriminaliteit onmogelijk maken,
dient ieders allereerste prioriteit te hebben.
Ze verwoesten onze digitale wereld en het vertrouwen erin.
Overigens biedt Microsoft dit nu al aan, op basis van het argument dat security teams het zelf niet kunnen omdat ze niet goed zijn opgeleid en de kennis niet hebben om het zelf te doen. Maar het enigste wat ze aanbieden is samenvattingen maken van bronnen, opstellen van rapportages etc. Dat noemen ze dan co-pilot, maar wie is dan de captain?
Cyber crime ban je zo veel mogelijk,,volledig lukt je toch niet, uit door security bij de bedrijven en organisaties te verbeteren, security awareness op pijl te brengen en houden en al het laag-hangende inbreek fruit weg te nemen. Niet door er nog meer tools tegen aan te smijten.
A fool with a tool, remains a fool.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
