A pénzügyi szektor új célpont lett
Kiberbiztonsági elemzők szerint a Scattered Spider, amely kapcsolatban áll a ShinyHunters nevű csoporttal is, egyre több, pénzügyi területhez köthető domaint vett célba. Az amerikai bank elleni támadás során a bűnözők először egy vezetői fiókot szereztek meg trükközéssel, majd a Microsoft Entra ID jelszó-visszaállítási lehetőségét kihasználva jutottak be.
Összetett támadás, érzékeny adatok után kutatva
Ezzel a hozzáféréssel bizalmas IT- és biztonsági dokumentumokhoz fértek hozzá, majd továbbhaladtak a bank Citrix rendszerén és a VPN-en keresztül a hálózat mélyére. Szokásukhoz híven most is saját eszközöket telepítettek, hogy az alkalmazottak belépési adatait letöltsék, és további rendszerekhez férjenek hozzá.
Virtuális gépek, adatlopás, új trükkök
A támadók jogosultságokat emeltek, például egy Veeam szolgáltatásfiók jelszavát cserélték le, Azure globális adminisztrátori engedélyt adtak maguknak, valamint a virtuális gépeket máshová helyezték át, hogy elkerüljék a lebukást. Bizonyíték van arra, hogy adatokat próbáltak ellopni a Snowflake-ből (Snowflake), az AWS-ből (Amazon Web Services) és más tárhelyekről is.
Csaló visszavonulás, aktív fenyegetés
Bár a Scattered Spider és más zsarolóvírus-bandák visszavonulásáról szóló hírek elterjedtek, a támadási technikák és nyomok továbbra is felbukkannak. Szakértők szerint hiába tűnik el egy bűnbanda a süllyesztőben, mindig akad új jelentkező a helyükre, ezért elsősorban a megelőzésre kellene koncentrálni.
