A szétszórt pók: a visszavonulás helyett bankot tört fel

A pénzügyi szektor új célpont lett

Kiberbiztonsági elemzők szerint a Scattered Spider, amely kapcsolatban áll a ShinyHunters nevű csoporttal is, egyre több, pénzügyi területhez köthető domaint vett célba. Az amerikai bank elleni támadás során a bűnözők először egy vezetői fiókot szereztek meg trükközéssel, majd a Microsoft Entra ID jelszó-visszaállítási lehetőségét kihasználva jutottak be.

Összetett támadás, érzékeny adatok után kutatva

Ezzel a hozzáféréssel bizalmas IT- és biztonsági dokumentumokhoz fértek hozzá, majd továbbhaladtak a bank Citrix rendszerén és a VPN-en keresztül a hálózat mélyére. Szokásukhoz híven most is saját eszközöket telepítettek, hogy az alkalmazottak belépési adatait letöltsék, és további rendszerekhez férjenek hozzá.

Virtuális gépek, adatlopás, új trükkök

A támadók jogosultságokat emeltek, például egy Veeam szolgáltatásfiók jelszavát cserélték le, Azure globális adminisztrátori engedélyt adtak maguknak, valamint a virtuális gépeket máshová helyezték át, hogy elkerüljék a lebukást. Bizonyíték van arra, hogy adatokat próbáltak ellopni a Snowflake-ből (Snowflake), az AWS-ből (Amazon Web Services) és más tárhelyekről is.

Csaló visszavonulás, aktív fenyegetés

Bár a Scattered Spider és más zsarolóvírus-bandák visszavonulásáról szóló hírek elterjedtek, a támadási technikák és nyomok továbbra is felbukkannak. Szakértők szerint hiába tűnik el egy bűnbanda a süllyesztőben, mindig akad új jelentkező a helyükre, ezért elsősorban a megelőzésre kellene koncentrálni.

2025, adrienne, go.theregister.com alapján