- 19,423
- 40
- 8 Ноя 2022
ФБР официально признало: авиационная отрасль находится в шаге от киберкатастрофы.
Федеральное бюро расследований США Для просмотра ссылки Войдиили Зарегистрируйся о расширении масштабов атак кибергруппировки Scattered Spider, которая теперь активно нацеливается на авиационную отрасль. По данным ведомства, злоумышленники используют социальную инженерию, чтобы проникать в инфраструктуру авиакомпаний и их подрядчиков.
Представители ФБР пояснили, что злоумышленники мастерски выдают себя за сотрудников или подрядчиков, обманывая специалистов технической поддержки и убеждая их предоставить доступ к учётным записям. Чаще всего это приводит к тому, что в систему добавляются несанкционированные устройства для Для просмотра ссылки Войдиили Зарегистрируйся (MFA), что позволяет преступникам обойти стандартные механизмы защиты.
Особую опасность представляют атаки Scattered Spider через подрядчиков и внешние IT-компании. Используя доверительные отношения с такими организациями, кибергруппировка получает доступ к системам крупных компаний, после чего начинается кража данных, вымогательство или внедрение программ-вымогателей.
Специалисты Palo Alto Networks из подразделения Unit 42 Для просмотра ссылки Войдиили Зарегистрируйся активность Scattered Spider против авиационного сектора и призвали компании быть особенно осторожными. Они рекомендуют проявлять бдительность к любым подозрительным запросам на сброс MFA и усилить проверки при восстановлении доступа к учётным записям.
Компания Mandiant недавно Для просмотра ссылки Войдиили Зарегистрируйся всплеск активности группы в сфере авиации и транспорта. По их наблюдениям, злоумышленники действуют по знакомому сценарию, комбинируя методы социальной инженерии и технические атаки.
Эксперты подчёркивают, что Scattered Spider делает ставку не столько на технологии, сколько на человеческий фактор. Группа прекрасно понимает, как устроены рабочие процессы в крупных компаниях, и умело эксплуатирует слабости сотрудников техподдержки, особенно в ситуациях давления и дефицита времени.
Группировка действует под различными именами, включая Muddled Libra, Octo Tempest, Oktapus, Scatter Swine, Star Fraud и UNC3944. Первоначально она прославилась атаками с подменой SIM-карт, но со временем её арсенал пополнился Для просмотра ссылки Войдиили Зарегистрируйся , обманом служб поддержки и внедрением инсайдеров.
По данным компании Halcyon, Scattered Spider представляет собой серьёзную эволюцию угрозы программ-вымогателей. Они сочетают социальную инженерию, техническую изощрённость и быструю реализацию двойного шантажа — от проникновения до шифрования и кражи данных проходит всего несколько часов.
Уникальность группы заключается в сочетании тщательного планирования и резкой эскалации атак. Преступники тратят время на сбор информации о жертвах, используя соцсети и утечки данных, чтобы с пугающей точностью копировать поведение настоящих сотрудников.
Эта тактика позволяет им успешно внедряться в гибридные инфраструктуры, оставаясь незамеченными до самого критического момента. При этом Scattered Spider тесно связана с более широкой хакерской экосистемой под названием Com, включающей, среди прочих, известную группу LAPSUS$.
Истоки сообщества уходят к платформам Discord и Telegram, где участники объединились, несмотря на разные интересы и бэкграунд. Именно размытая структура и отсутствие строгой иерархии делают группу крайне трудноуязвимой для правоохранителей.
Один из последних инцидентов, Для просмотра ссылки Войдиили Зарегистрируйся аналитиками ReliaQuest, демонстрирует опасный уровень подготовки и изощрённости злоумышленников. В конце прошлого месяца они успешно проникли в инфраструктуру неназванной компании, выбрав своей целью финансового директора.
Преступники заранее собрали детальную информацию о топ-менеджере, включая дату рождения и последние цифры номера социального страхования, чтобы пройти многоступенчатую аутентификацию и убедительно выдать себя за него при обращении в службу поддержки.
С помощью этих данных они обманули IT-отдел, сбросили MFA и получили доступ к корпоративным системам. Далее группа провела масштабное исследование инфраструктуры, включая облачные сервисы Entra ID и SharePoint, чтобы выявить уязвимые участки.
Злоумышленники проникли в виртуальные рабочие столы компании, взломали VPN-систему и реанимировали отключённые виртуальные машины, чтобы получить доступ к критически важным серверам VMware vCenter и данным домен-контроллеров.
На этом этапе они извлекли конфиденциальные данные, включая содержимое базы NTDS.dit, и вскрыли хранилище паролей CyberArk, получив более 1 400 секретов. Используя легитимные инструменты вроде ngrok, преступники обеспечили себе постоянный доступ к системе.
Когда атака была обнаружена, Scattered Spider перешли к тактике Для просмотра ссылки Войдиили Зарегистрируйся , удаляя критические политики безопасности Azure и нарушая работу инфраструктуры. По словам ReliaQuest, борьба за контроль над учётными записями в Entra ID превратилась в настоящую схватку между группой реагирования и преступниками, закончившуюся только после вмешательства специалистов Microsoft.
Этот инцидент стал наглядным подтверждением того, насколько серьёзно эволюционировали методы социальной инженерии. Современные атаки уже не ограничиваются фишингом — это целенаправленные кампании, в которых злоумышленники следуют чётким пошаговым сценариям, чтобы обходить все уровни защиты.
По мнению специалистов, усиление внутренних процессов и проверок в службах поддержки стало первоочередной задачей для всех компаний. Чем больше решений по идентификации завязано на человеческий фактор, тем выше риск стать жертвой таких атак.
Федеральное бюро расследований США Для просмотра ссылки Войди
Представители ФБР пояснили, что злоумышленники мастерски выдают себя за сотрудников или подрядчиков, обманывая специалистов технической поддержки и убеждая их предоставить доступ к учётным записям. Чаще всего это приводит к тому, что в систему добавляются несанкционированные устройства для Для просмотра ссылки Войди
Особую опасность представляют атаки Scattered Spider через подрядчиков и внешние IT-компании. Используя доверительные отношения с такими организациями, кибергруппировка получает доступ к системам крупных компаний, после чего начинается кража данных, вымогательство или внедрение программ-вымогателей.
Специалисты Palo Alto Networks из подразделения Unit 42 Для просмотра ссылки Войди
Компания Mandiant недавно Для просмотра ссылки Войди
Эксперты подчёркивают, что Scattered Spider делает ставку не столько на технологии, сколько на человеческий фактор. Группа прекрасно понимает, как устроены рабочие процессы в крупных компаниях, и умело эксплуатирует слабости сотрудников техподдержки, особенно в ситуациях давления и дефицита времени.
Группировка действует под различными именами, включая Muddled Libra, Octo Tempest, Oktapus, Scatter Swine, Star Fraud и UNC3944. Первоначально она прославилась атаками с подменой SIM-карт, но со временем её арсенал пополнился Для просмотра ссылки Войди
По данным компании Halcyon, Scattered Spider представляет собой серьёзную эволюцию угрозы программ-вымогателей. Они сочетают социальную инженерию, техническую изощрённость и быструю реализацию двойного шантажа — от проникновения до шифрования и кражи данных проходит всего несколько часов.
Уникальность группы заключается в сочетании тщательного планирования и резкой эскалации атак. Преступники тратят время на сбор информации о жертвах, используя соцсети и утечки данных, чтобы с пугающей точностью копировать поведение настоящих сотрудников.
Эта тактика позволяет им успешно внедряться в гибридные инфраструктуры, оставаясь незамеченными до самого критического момента. При этом Scattered Spider тесно связана с более широкой хакерской экосистемой под названием Com, включающей, среди прочих, известную группу LAPSUS$.
Истоки сообщества уходят к платформам Discord и Telegram, где участники объединились, несмотря на разные интересы и бэкграунд. Именно размытая структура и отсутствие строгой иерархии делают группу крайне трудноуязвимой для правоохранителей.
Один из последних инцидентов, Для просмотра ссылки Войди
Преступники заранее собрали детальную информацию о топ-менеджере, включая дату рождения и последние цифры номера социального страхования, чтобы пройти многоступенчатую аутентификацию и убедительно выдать себя за него при обращении в службу поддержки.
С помощью этих данных они обманули IT-отдел, сбросили MFA и получили доступ к корпоративным системам. Далее группа провела масштабное исследование инфраструктуры, включая облачные сервисы Entra ID и SharePoint, чтобы выявить уязвимые участки.
Злоумышленники проникли в виртуальные рабочие столы компании, взломали VPN-систему и реанимировали отключённые виртуальные машины, чтобы получить доступ к критически важным серверам VMware vCenter и данным домен-контроллеров.
На этом этапе они извлекли конфиденциальные данные, включая содержимое базы NTDS.dit, и вскрыли хранилище паролей CyberArk, получив более 1 400 секретов. Используя легитимные инструменты вроде ngrok, преступники обеспечили себе постоянный доступ к системе.
Когда атака была обнаружена, Scattered Spider перешли к тактике Для просмотра ссылки Войди
Этот инцидент стал наглядным подтверждением того, насколько серьёзно эволюционировали методы социальной инженерии. Современные атаки уже не ограничиваются фишингом — это целенаправленные кампании, в которых злоумышленники следуют чётким пошаговым сценариям, чтобы обходить все уровни защиты.
По мнению специалистов, усиление внутренних процессов и проверок в службах поддержки стало первоочередной задачей для всех компаний. Чем больше решений по идентификации завязано на человеческий фактор, тем выше риск стать жертвой таких атак.
- Источник новости
- www.securitylab.ru
