Googleov prijetnji Intelovi analitičari svjesni su niza cyber napada u tijeku protiv američkih trgovaca povezanih sa istim raštrkanim paukovim bandama koji su navodno napadnuli M & S i Co-op u Velikoj Britaniji
Od
- Alex Scroxton,Sigurnosni urednik
Objavljeno: 14. maja 2025. 22:35
Prodavci u SAD-u sada dolaze pod napadama iz rasipanog pauka, na engleskom jeziku koji se sumnja na hakiranje koji se sumnja da stoji iza niza zmajeva ransomware napada na visoke ulične marke i zadruge, navodi Googleovu inteligenciju za prijetnju (GTIG).
GTIG i njegove kohorte na Mandiant ETTER-a Google Cloud-a, Cyber napadi su i dalje pod istragom, a iz razloga privatnosti Istraživači još uvijek nisu nazvali niti žrtve u SAD-u. Tim se takođe zadržao od pružanja sve formalne atribucije u ovom trenutku.
“Sektor američkog maloprodaje trenutno se cilja u operacijama ransomware i iznude koje sumnjamo su povezani sa UNC3944, poznatim kao raštrkanim paukom”, rekao je glavni analitičar GTIG-a John Hultquist putem e-pošte danas po e-popodnevnim satima.
“Glumac koji je navodno ciljao na malo u Velikoj Britaniji nakon duge Hiatusa, ima istoriju fokusiranja svojih napora na jedinstvenom sektoru, a mi pretpostavljamo da će i dalje ciljati na sektor u blizinu”, rekao je. “Američki trgovci trebaju uzeti u obzir.”
Hultquist je opisao raštrkanog pauka kao agresivnog, kreativnog i visokog vještog u zaobilaznima čak i najzreliju sigurnosne programe i odbranu.
“Imali su puno uspeha sa socijalnim inženjerstvom i iskorištavajući treće strane kako bi stekli ulazak u svoje ciljeve”, rekao je.
“Mandiant je pružio potvrdni vodič zasnovan na našem iskustvu s više detalja o njihovoj taktici i stepenicama koje mogu poduzeti da se odbrane.”
Identitet, autentifikacija Prva linija odbrane
Kada se brane protiv raštrkanog pauka, stvrdnjavanje provjere identiteta i provjere autentičnosti su od najveće važnosti, rekao je Mandiant.
Banda se pokazala vrlo efikasnim tehnikama socijalnog inženjeringa da se olakšaju korisnici koji kontaktiraju na IT pomoći, tako da će osoblje Helpdesk trebati dodatna obuka, kao što su provjera na kameri ili osobinu, potvrdu ili pitanja o vlastitom stanju ili pitanja izazova i odgovora.
Sigurnosni timovi također mogu poželjeti da pogledaju privremeno onesposobljavanje ili poboljšanje validacije, za samoposluživanje lozinke resetira i usmjeravanje ove i više faktorske provjere identiteta resetira kroz ručni pogon za vrijeme. Zaposleni se također trebaju biti napravljeni za autentifikaciju prije promjene metoda provjere autentičnosti, poput dodavanja novog telefonskog broja.
Sigurnosni timovi također mogu implementirati dodatne mjere zaštite kao što su potrebne promjene koje će se izvršiti sa pouzdanih uredskih lokacija ili korištenjem provjere van benda, poput poziva na registrovanu mobilni broj zaposlenika, prije nego što nastavi osjetljiv zahtjev.
Također može biti vrijedno razmatranja koraka kao što su zabrani SMS, telefonski poziv ili e-poštu kao kontrola autentičnosti, koristeći MFA aplikacije otpornu na phishing i koristeći FIDO2 sigurnosne tipke za privilegirane identitete. Konačno, rekao je mandiant, cilj bi trebao biti prijelaz na provjeru autentičnosti bez lozinke ako je moguće.
Širočije, ne-IT osoblje treba naučiti kako bi se izbjeglo oslanjanje na javno dostupne podatke za provjeru, poput datuma rođenja ili posljednje četiri znamenke američkih brojeva socijalnog osiguranja.
Identiteti žrtava irelevantnih
Bez američkih trgovaca, a još uvijek javno imenovali kao žrtve raštrkane paukove kampanje, Nic Adams, suosnivač i izvršni direktor na 0RCus, sigurnosni automatizacijski platforma, rekao je da su identiteti žrtava u velikoj mjeri irelevantni dali komoditizaciju lanca prijetnje.
“Da li je Dragonforce, raštrkani pauk ili zajednički pridruženi prsten izveden, upad je nebitan”, rekao je. “Koga se dođavola brine? Preklapanje u TTPS-u dokazuje industrijalizacija kompromisa. Ne trebaju napredni eksploziji.
“Phishing, zloupotrešavanje, kobaltni štrajk, lotl pokret, sistemske tunele, ekstrakcije mimikatz-a, adame za megu je sada lanac za ubijanje podataka”, rekao je lanac za ubijanje robe “, rekao je Adams. “Ono što je nakon bilo je orkestracija: potpuni pristup, bočno širenje, exfiltracija podataka, selektivna enkripcija, otkupnina upotreba. Korisničko korištenje bilo je samo saopštenje za javnost, jer je kampanja već bila da je već dugo bila uspjela.”
Pozvao je organizacije da počnu razmišljati kao da su prijetnji akteri. “Sljedeće kršenje slijedit će isti put”, rekao je Adams. “Jedan klik, vjerodajni, odsutni odbrambeni sloj. Još jedna milijarda u tržišnoj kapi isparila je.
“Organizacije koje su preživele ono što će ugraditi logiku prijetnji na nivou protokola, dodijelići korijenski pristup operaterima koji se ne mogu zabluditi u suprotnosti s tim da to ne možeš automatizirati. Ili gradiš s crnim šeširima ili ostaju ciljana praksa za one koji uzimaju nagovještaj.”
M & S osiguranje tvrdi da je verovatno do vrha £ 100m
Povratak u Velikoj Britaniji, izvještaji danas (14. maja) sugeriraju da se osiguravatelji M & S mogu naći na udici za čak 100m od 100 mil. Napadač za otkupnaca, a Allianz i Beazley posebno izloženi.
PremaFinancial Times,Zahtjev bi vjerovatno pokrovao izgubljenu internetsku prodaju i gubitke odgovornosti za kršenje podataka nakon krađe podataka o klijentima iz sistema trgovca. M & S je već izgubio desetine miliona funti kao rezultat cyber napada, koji je napustio svoje lance opskrbe hranom u neredu.
Pročitajte više o prekršajnom menadžmentu i oporavku
-
InfoSecurity 2025: NCA Cyber Intelligence Head uroni trendovi
Napisao: Brian McKenna
-
M & S Cyber Attack poremećaji su vjerovatno trajali do jula
Napisao: Alex Scroxton
-
Trgovinski cyber napadi pogodili su distribuciju hrane Peter Green Ohlađeno
Napisao: Alex Scroxton
-
M & S forsira lozinku kupca resetira nakon kršenja podataka
Napisao: Alex Scroxton