Cyberthreat.id - Scattered Spider, kru di balik setidaknya satu dari pelanggaran keamanan TI kasino Las Vegas baru-baru ini, telah menyerang sekitar 100 organisasi selama masa reputasinya dalam kancah kejahatan dunia maya.

Demikian laporan The Register yang mengutip Mandiant, perusahaan keamanan siber Amerika milik Google. Perusahaan ini menjadi terkenal pada Februari 2013 ketika merilis laporan yang secara langsung melibatkan Tiongkok dalam spionase dunia maya.

Lebih lanjut dilaporkan, seperti yang juga terlihat dalam pemadaman jaringan MGM Resorts yang sedang berlangsung, geng tersebut, yang terkenal dengan serangan berbasis rekayasa sosial, kini juga melemparkan ransomware pencuri data kepada para korbannya.

Dalam analisis minggu ini mengenai perkembangan taktik Scattered Spider, Mandiant mengatakan “perluasan strategi monetisasi grup” dimulai pada pertengahan tahun 2023.

Tulisan tersebut harus bermanfaat bagi para punggawa TI: berisi rincian mitigasi, saran, dan indikator kompromi yang harus diwaspadai.

Perusahaan intel ancaman milik Google tersebut melacak Scattered Spider sebagai UNC3944. Komentar-komentarnya terhadap geng kejahatan ini sangat penting karena Mandiant adalah salah satu tim tanggap insiden terkemuka yang dipanggil untuk membereskan kekacauan yang dibuat oleh para penyusup terkenal tersebut.

“Perubahan tujuan akhir ini menandakan bahwa industri yang menjadi target UNC3944 akan terus berkembang,” kata analisis tersebut.

“Mandiant telah mengamati secara langsung bahwa penargetan mereka melampaui perusahaan-perusahaan outsourcing telekomunikasi dan proses bisnis (BPO) hingga berbagai industri termasuk perhotelan, ritel, media dan hiburan, serta jasa keuangan.”

Scattered Spider, yang telah ada selama sekitar dua tahun, adalah geng mirip Lapsus$ yang berbasis di AS-Inggris yang berspesialisasi dalam phishing SMS dan rekayasa sosial berbasis telepon yang digunakan untuk mencuri kredensial login milik karyawan organisasi yang ditargetkan atau lainnya. Pada akhirnya menyelinap ke jaringan TI targetnya tanpa izin.

Dalam salah satu kampanye phishing besar pertama yang dilakukan grup tersebut pada tahun 2022, yang dijuluki Oktapus, para penjahat awalnya mengejar karyawan pelanggan Okta, menargetkan sebanyak 135 organisasi – penyedia TI, pengembangan perangkat lunak, dan layanan cloud yang berbasis di AS.

Pertama, Scattered Spider mengirim pesan teks ke karyawan dengan link jahat ke situs yang memalsukan halaman otentikasi perusahaan mereka.

Hal itu memungkinkan geng tersebut mencuri sekitar 9.931 kredensial pengguna dan 5.441 kode otentikasi multi-faktor.

Bulan lalu, kru tersebut menargetkan lebih banyak pelanggan Okta, kali ini melakukan panggilan telepon ke meja layanan TI korban untuk mengelabui pekerja pendukung agar mengubah kata sandi dan/atau mendapatkan atau mengatur ulang kode otentikasi multi-faktor (MFA) untuk karyawan dengan tingkat tinggi hak istimewa, memungkinkan penjahat mendapatkan akses ke akun berharga orang-orang tersebut.

Hilangnya Phishing

Mandiant mengatakan telah mengidentifikasi tiga perangkat phishing berbeda yang digunakan oleh Scattered Spider.

Salah satunya, bernama "Eightbait" yang banyak digunakan antara akhir tahun 2021 dan pertengahan tahun 2022, dapat mengirimkan kredensial yang dikumpulkan ke saluran Telegram yang dikendalikan penyerang dan menyebarkan alat desktop jarak jauh AnyDesk ke sistem korban.

Kemudian, mulai kuartal ketiga tahun 2022, Mandiant mengatakan Scattered Spider mulai menggunakan kit baru yang dibuat menggunakan salinan halaman otentikasi perusahaan target.

“Khususnya, perangkat ini telah digunakan dalam beberapa intrusi baru-baru ini yang mengarah pada upaya pemerasan,” kata tim intel ancaman tersebut.

Akhirnya, pada pertengahan tahun 2023, kit phishing ketiga muncul yang menurut Mandiant digunakan oleh kru secara paralel dengan iterasi kedua.

Keduanya serupa, namun "perubahan kecil pada kode kit menunjukkan bahwa tema yang digunakan pada kit kedua mungkin disesuaikan dengan alat baru," menurut Mandiant.

Setelah geng tersebut berhasil masuk, Scatter Spider menggunakan perangkat lunak sehari-hari yang sah untuk menjelajahi dan memantau jaringan, dan menghabiskan banyak waktu mencari apa pun untuk membantu meningkatkan hak istimewa dan mempertahankan kegigihan dalam lingkungan TI korbannya. Mandiant merinci dua contoh dalam tulisannya:

Dalam satu insiden UNC3944 dapat mengekspor data dari HashiCorp Vault korban dengan menggunakan salinan klien Vault, yang diunduh oleh pelaku ancaman dari situs resmi HashiCorp.

Mereka berhasil mengekspor kredensial dari HashiCorp Vault dan mengautentikasi ke server file dengan akun admin domain.

Dalam insiden lain, UNC3944 memasang modul PowerShell untuk CyberArk API, yang memungkinkan mereka membuang kredensial dari server vault.

Para kru juga telah mencoba menyedot kredensial yang disimpan di repositori GitHub pribadi menggunakan alat yang tersedia untuk umum, seperti Trufflehog dan GitGuardian, dan setidaknya dalam satu kasus menggunakan alat pengujian penetrasi Azure open source MicroBurst untuk mencuri kredensial dari penyewa Azure .

Scattered Spider juga menggunakan infostealer seperti Ultraknot dan penambang data lainnya termasuk Vidar dan Atomoic untuk mencuri kredensial.

Pindah ke Ransomware

Awal tahun ini, kru mulai menyebarkan ransomware di lingkungan korban, menandakan adanya pergeseran dalam serangan pemerasan mereka. Scattered Spider dilaporkan menggunakan taktik ini dalam intrusi MGM Resorts baru-baru ini.

Geng tersebut mengklaim telah mengenkripsi lebih dari 100 hypervisor ESXi dalam serangan itu, dan menurut Mandiant, kru tersebut adalah afiliasi ALPHV.

ALPHV, juga dikenal sebagai BlackCat, adalah operasi ransomware-as-a-service (RaaS) yang menyewakan malware-nya kepada penjahat lain seperti Scattered Spider.

“ALPHV beroperasi sebagai RaaS dan kami telah mengamati UNC3944 menyebarkan ransomware ini,” kata tim intel ancaman Mandiant kepada The Register.

“Dalam kemitraan ini, operator ransomware biasanya akan menyediakan build kepada afiliasinya untuk didistribusikan bersama dengan layanan dukungan terkait lainnya seperti infrastruktur yang memungkinkan pengelolaan korban dengan mudah dan dukungan pemerasan (misalnya DDoS).”

Dan kami diberitahu bahwa kelompok phishing yang berubah menjadi ransomware tidak akan berhenti sampai disitu saja.

Seperti yang dikatakan Mandiant dalam blognya: "Kami mengantisipasi bahwa intrusi terkait UNC3944 akan terus melibatkan beragam alat, teknik, dan taktik monetisasi ketika para pelaku mengidentifikasi mitra baru dan beralih di antara komunitas yang berbeda."[]