AVERTIZARE: Amenințările cibernetice asociate grupării Scattered Spider – InfoCons te informeaza securitate cibernetica – cybersecurity
Directoratul Național de Securitate Cibernetică (DNSC) transmite o avertizare privind activitățile recente ale grupării Scattered Spider, care vizează infrastructuri critice și organizații din sectorul public.
Această inițiativă are ca obiectiv nu doar sprijinirea eforturilor de prevenire, detectare și răspuns la amenințările cibernetice, ci și creșterea gradului de conștientizare în rândul instituțiilor și personalului cu roluri operaționale sau decizionale, cu privire la complexitatea și adaptabilitatea metodelor utilizate de actorii cibernetici.
Prin diseminarea de recomandări și bune practici de securitate, autoritățile urmăresc consolidarea unei culturi organizaționale orientate spre reziliență digitală, capabilă să răspundă eficient atacurilor sofisticate și să reducă impactul potențial asupra serviciilor esențiale și a funcționării instituționale.
Această informare evidențiază activitățile cibernetice recente desfășurate de Scattered Spider împotriva sectorului facilităților comerciale și a sub sectoarelor aferente, precum și tacticile, tehnicile și procedurile utilizate.
Organizațiile care fac parte din infrastructurile critice, precum și entitățile din sectorul comercial, sunt încurajate să testeze periodic procesele de securitate cibernetică, inclusiv cele gestionate de furnizorii de servicii. Aplicarea acestor măsuri contribuie la reducerea probabilității și a impactului unui atac cibernetic lansat de actorii grupării Scattered Spider.
ACȚIUNI ESENȚIALE PENTRU ORGANIZAȚII ÎN VEDEREA REDUCERII RISCURILOR CIBERNETICE ACTUALE
- Asigurați menținerea unor copii de siguranță (backup-uri) offline, stocate fizic separat de sistemele sursă și testate periodic pentru a garanta integritatea și capacitatea de restaurare în caz de incident cibernetic;
- Activați și aplicați autentificarea multifactorială (MFA) rezistentă la phishing, utilizând metode avansate (ex. chei de securitate hardware sau autentificare bazată pe certificate), în special pentru conturile privilegiate și accesul la resurse critice;
- Implementați politici stricte de control al aplicațiilor (application control), pentru a gestiona, valida și restricționa rularea software-ului doar la nivelul aplicațiilor aprobate, reducând astfel suprafața de atac.
CE ESTE SCATTERED SPIDER?
Scattered Spider este o grupare cibernetică cu activitate confirmată la nivel internațional, implicată în atacuri care vizează companii de mari dimensiuni, în special prin exploatarea relațiilor cu furnizorii de servicii IT externalizate.
Gruparea utilizează frecvent tactici de inginerie socială pentru a obține acces inițial în rețelele organizațiilor, urmat de acțiuni care includ escaladarea privilegiilor, exfiltrarea de date și, în unele cazuri, utilizarea de malware de tip ransomware.
Activitatea acestei grupări este caracterizată de o capacitate ridicată de adaptare și de modificare constantă a tacticilor, tehnicilor și procedurilor (TTP), în scopul evitării detecției și maximizării impactului operațional.
Citeste si : Cum îți poți recupera contul de Instagram ?! InfoCons protectia consumatorilor de securitate cibernetica cybersecurity
DETALII TEHNICE
Scattered Spider (cunoscută și sub denumirile UNC3944, Scatter Swine, Oktapus, Octo Tempest, Storm-0875 și Muddled Libra) este o grupare de atacatori implicată în activități infracționale multiple, inclusiv extorcarea datelor.
Actorii acestei amenințări utilizează o gamă largă de tehnici de inginerie socială – precum „push bombing” (bombardament MFA) – și atacuri de tip SIM swap, pentru a obține credențiale, a instala instrumente de acces de la distanță sau a ocoli mecanismele de autentificare multifactorială (MFA).
Conform rapoartelor publice, tacticile folosite de gruparea Scattered Spider includ:
- Asumarea identității personalului IT sau a echipelor de tip helpdesk ale companiei, prin apeluri telefonice sau mesaje SMS, pentru a obține credențiale de acces de la angajați și a accesa rețelele interne;
- Instrucțiuni false către angajați, sub pretextul suportului IT, de a rula aplicații comerciale de acces de la distanță, ceea ce permite atacatorilor să obțină acces inițial în sistemele organizației;
- Obținerea codurilor MFA (OTP) de unică folosință, convingând angajații să le divulge sau cerând departamentelor IT să reseteze parolele și să redirecționeze autentificarea multifactorială către dispozitivele controlate de atacatori;
- Exploatarea notificărilor excesive de autentificare (MFA fatigue), prin trimiterea repetată a notificărilor de autentificare, determinând utilizatorii să accepte solicitările;
- Atacuri de tip SIM swap, prin care conving operatorii de telefonie să transfere numărul de telefon al victimei pe o cartelă SIM controlată de atacatori, obținând astfel acces la notificările MFA;
- Monetizarea accesului în rețelele compromise prin furt de date și campanii de extorcare, adesea în combinație cu atacuri de tip ransomware.
Aceste metode evidențiază complexitatea și nivelul de sofisticare operațională al actorilor Scattered Spider, precum și necesitatea implementării unor măsuri proactive și multilaterale de apărare cibernetică.
După compromiterea inițială a rețelelor, actorii grupării Scattered Spider au fost observați utilizând instrumente legitime, disponibile public, pentru a menține accesul de la distanță în infrastructura organizațiilor vizate.
Instrumente legitime utilizate de gruparea Scattered Spider
- io – Monitorizare și administrare de la distanță a sistemelor
- io – Monitorizare și administrare de la distanță a sistemelor
- Mimikatz – Extrage date de autentificare din sistem (utilizat frecvent în teste de penetrare)
- Ngrok – Oferă acces de la distanță la un server local prin tunelare peste internet
- Pulseway – Monitorizare și administrare de la distanță a sistemelor
- Screenconnect – Permite conexiuni la distanță pentru administrarea dispozitivelor din rețea
- Splashtop – Permite conexiuni la distanță pentru administrarea dispozitivelor din rețea
- RMM – Monitorizare și administrare de la distanță a sistemelor
- Tailscale – Creează rețele virtuale private (VPN) pentru securizarea comunicațiilor de rețea
- TeamViewer – Permite conexiuni la distanță pentru administrarea dispozitivelor din rețea
- AnyDesk – Oferă acces de la distanță la dispozitive din rețea, adesea fără declanșarea alertelor de securitate, fiind o aplicație legitimă
- sh – Permite acces de la distanță la un sistem local prin tunelare peste internet
Este important de menționat că utilizarea acestor aplicații legitime, în sine, nu constituie un indiciu concludent de comportament cibernetic neautorizat sau dăunător.
Pe lângă utilizarea unor instrumente legitime, gruparea Scattered Spider folosește și diverse tipuri de malware ca parte a tacticilor, tehnicilor și procedurilor (TTP) adoptate. Aceste componente dăunătoare le permit atacatorilor să obțină acces de la distanță, să extragă informații sensibile și să compromită integritatea sistemelor vizate.
Exemple de malware utilizat de gruparea Scattered Spider
- AveMaria (cunoscut și ca WarZone) – Permite accesul de la distanță în sistemele organizației țintite;
- Raccoon Stealer – Fură informații precum date de autentificare, istoricul de navigare, cookie-uri și alte date;
- VIDAR Stealer – Colectează date sensibile, inclusiv parole, istoricul browser-ului, cookie-uri și alte informații personale;
- RattyRAT – Troian de acces la distanță scris în Java, utilizat pentru acces persistent, nedetectabil și recunoaștere internă;
- DragonForce Ransomware – Infiltrează rețele, criptează datele și solicită o răscumpărare.
Actorii din gruparea Scattered Spider utilizează, în mod recurent, tehnici de tip living off the land (LOTL) și aplicații permise (allowlisted) pentru a se deplasa lateral în rețeaua organizației țintă, evitând astfel detecția. Gruparea este cunoscută și pentru modificarea frecventă a tacticilor, tehnicilor și procedurilor (TTP) utilizate, adaptându-și comportamentul pentru a rămâne nedetectată.
Citeste si : Cum îți poți recupera contul de Facebook ?! InfoCons protectia consumatorilor de cybersecurity
TTP-URI RECENTE ALE GRUPĂRII SCATTERED SPIDER
(Tactici, tehnici și proceduri)
Criptarea fișierelor
A fost identificat faptul că actorii grupării Scattered Spider pot exfiltra date din sistemele organizațiilor țintite în scop de extorcare, iar ulterior pot cripta datele la nivel local pentru a solicita o răscumpărare.
După exfiltrarea și/sau criptarea datelor, aceștia inițiază comunicarea cu organizațiile compromise prin intermediul rețelei TOR, aplicației Tox, e-mail sau aplicații de mesagerie criptată, pentru a transmite cererile de răscumpărare și condițiile asociate.
Recunoaștere, dezvoltare de resurse și acces inițial
Intrările în rețea realizate de gruparea Scattered Spider au început, în mod tradițional, prin campanii ample de phishing și smishing, direcționate împotriva unor organizații specifice.
Pentru a crește credibilitatea, actorii din gruparea Scattered Spider au utilizat domenii create special pentru a imita organizațiile țintite.
Aceste domenii false sunt concepute pentru a convinge utilizatorii să divulge date de autentificare sau să instaleze aplicații de acces de la distanță.
Domenii utilizate de actorii din gruparea Scattered Spider
- domeniulegitim-sso[.]com
- domeniulegitim-servicedesk[.]com
- domeniulegitim-okta[.]com
Update domenii utilizate (29 iulie 2025)
- domeniulegitim-cms[.]com
- domeniulegitim-helpdesk[.]com
- oktalogin- domeniulegitim[.]com
*domeniulegitim = domeniul web al companiei
Gruparea Scattered Spider utilizează tehnici avansate pentru a obține acces inițial în rețelele organizațiilor vizate, inclusiv domenii frauduloase care imită denumiri legitime (ex. „-helpdesk” sau termeni SSO). Deși aceste metode nu au fost observate recent, ele pot fi reutilizate.
Actorii din gruparea Scattered Spider obțin frecvent credențiale de acces de pe piețe ilicite precum Russia Market sau prin compromiterea unor furnizori terți, și colectează informații personale din surse publice pentru a identifica ținte cu acces extins.
În prezent, atacurile sunt tot mai bine direcționate și implică spearphishing, vishing și inginerie socială, desfășurată în mai multe apeluri. Scopul este obținerea de parole resetate sau token-uri MFA, prin convingerea personalului IT sau de helpdesk.
Execuție, persistență și escaladare a privilegiilor
După compromiterea conturilor utilizatorilor, actorii din gruparea Scattered Spider înregistrează propriile token-uri MFA și implementează instrumente de monitorizare și administrare de la distanță, pentru a asigura persistența în infrastructura organizației vizate.
Istoric, aceștia au adăugat un furnizor de identitate (federated identity provider) în cadrul sistemului SSO al organizației și au activat opțiunea de asociere automată a conturilor (automatic account linking). Deși această tehnică nu a fost observată recent, ea rămâne relevantă ca metodă utilizată anterior pentru menținerea accesului și extinderea controlului în rețea.
Prin controlul furnizorului de identitate și atribuirea arbitrară a valorilor pentru atributele conturilor, actorii au reușit să se autentifice în orice cont compatibil cu sistemul SSO al organizației, chiar și după resetarea parolelor. Această tehnică le-a permis escaladarea privilegiilor și menținerea accesului persistent. Pentru a obține privilegii ridicate, aceștia au recurs și la inginerie socială, contactând angajații prin intermediul instrumentelor interne de comunicare și exploatând încrederea și lipsa de vigilență a utilizatorilor legitimi.
Explorare, deplasare laterală și exfiltrare de date
După ce obțin persistență într-o rețea țintă, actorii Scattered Spider desfășoară activități extinse de recunoaștere, căutând în mod specific site-uri SharePoint, documentație cu parole, infrastructură VMware vCenter, copii de siguranță și instrucțiuni de configurare a accesului VPN.
Ulterior, aceștia enumeră Active Directory, identifică și exfiltrează depozite de cod sursă, certificate de semnare a codului și alte resurse sensibile. Pentru a facilita deplasarea laterală, actorii activează AWS Systems Manager Inventory, se deplasează între instanțe EC2 existente sau create de ei și folosesc instrumente ETL instalate pentru a centraliza și extrage date din surse multiple.
Actualizare – 29 iulie 2025
Actorii Scattered Spider au fost observați căutând acces la platforma Snowflake pentru a exfiltra volume mari de date în timp scurt, rulând mii de interogări imediat după accesare. De asemenea, în incidente recente, aceștia au livrat ransomware-ul DragonForce, criptând inclusiv servere VMware ESXi.
Pentru a verifica dacă au fost detectați și pentru a-și menține persistența, actorii monitorizează conversațiile din Slack, Microsoft Teams și Microsoft Exchange Online, căutând discuții legate de compromitere. În unele cazuri, aceștia se infiltrează în apeluri de răspuns la incidente, pentru a anticipa acțiunile echipelor de securitate și a adapta în timp real metodele de atac.
RECOMANDĂRI GENERALE
- Implementați politici stricte de control al aplicațiilor, care să includă allowlisting pentru programele de acces de la distanță. Aceste politici ar trebui să prevină instalarea și execuția versiunilor portabile ale aplicațiilor neautorizate;
- Asigurați-vă că soluția de allowlisting blochează execuția tuturor aplicațiilor care nu sunt expres aprobate. Aceasta este esențială, deoarece soluțiile antivirus pot eșua în detectarea fișierelor malițioase portabile dacă acestea sunt comprimate, criptate sau obfuscate;
- Auditați toate instrumentele de acces de la distanță utilizate în rețea pentru a identifica aplicațiile autorizate și cele active;
- Revizuiți jurnalele de sistem pentru a detecta execuția neobișnuită a aplicațiilor de acces de la distanță, în special cele rulate ca executabile portabile;
- Utilizați soluții de securitate care pot detecta aplicații de acces de la distanță încărcate doar în memorie, fără fișiere pe disc;
- Restricționați utilizarea soluțiilor de acces de la distanță autorizate doar din interiorul rețelei, prin VPN sau interfețe virtuale de desktop (VDI);
- Blocați conexiunile de intrare și ieșire pe porturile și protocoalele comune asociate aplicațiilor de acces de la distanță, la nivelul perimetrului rețelei;
- Elaborați și testați un plan de recuperare care să includă copii multiple ale datelor sensibile sau critice, stocate în locații fizic separate, segmentate și securizate (ex. dispozitive externe, medii cloud);
- Mențineți backup-uri offline, verificați periodic integritatea acestora și efectuați teste de restaurare cel puțin anual;
- Asigurați-vă că toate copiile de rezervă sunt criptate și stocate separat de fișierele sursă și acoperă întreaga infrastructură de date a organizației;
- Utilizați parole puternice, unice și aleatorii, cu minimum 15 caractere;
- Evitați reutilizarea parolelor și luați în considerare implementarea unui manager de parole;
- Implementați politici de blocare a contului după un număr limitat de autentificări eșuate și dezactivați indiciile de parolă;
- Nu impuneți modificări frecvente și periodice ale parolei; în schimb, încurajați parole mai lungi, unice. Schimbările frecvente pot duce la apariția unor modele ușor de intuit de către atacatori;
- Impuneți utilizarea autentificării multifactorială rezistente la phishing (MFA);
- Limitați instalarea de software doar la utilizatori cu drepturi administrative și doar în condiții controlate;
- Mențineți toate sistemele de operare, aplicațiile și firmware-ul actualizate. Prioritizați remedierea vulnerabilităților cunoscute și exploatate, în special cele din sistemele expuse public;
- Îmbunătățiți monitorizarea pentru detectarea autentificărilor suspecte sau riscante, asociate cu comportamente anormale (ex. acces din locații neobișnuite);
- Utilizați instrumente EDR/XDR pentru a detecta activități laterale și comportamente neobișnuite;
- Aplicați recomandările din „Ghidul pentru securizarea aplicațiilor de acces de la distanță”, disponibil pe site-ul DNSC: https://www.dnsc.ro/vezi/document/ghid-bune-practici-aplicatii-acces-la-distanta.
Raportare incidente cibernetice
Este recomandat ca organizațiile să raporteze voluntar incidentele de securitate cibernetică, întrucât acest demers sprijină eforturile de prevenire, investigare și gestionare eficientă a amenințărilor cibernetice, contribuind totodată la protejarea ecosistemului digital extins.
Se recomandă transmiterea, acolo unde este posibil, a informațiilor relevante precum: jurnale de rețea, note de răscumpărare, fișiere criptate, date despre impactul operațional și vectorul de atac, precum și indicatori de compromitere.
Plata unei răscumpărări nu oferă garanția recuperării datelor compromise și poate stimula desfășurarea unor atacuri suplimentare din partea actorilor cibernetici.
Incidentele pot fi raportate către DNSC prin:
- Apel la 1911 (call center DNSC);
- Completarea formularului online pe pnrisc.dnsc.ro.
CONCLUZII
În contextul unui peisaj cibernetic tot mai complex și agresiv, implementarea proactivă a măsurilor de securitate recomandate reprezintă un pas esențial pentru consolidarea rezilienței operaționale.
Monitorizarea continuă, testarea periodică a proceselor și colaborarea cu autoritățile competente pot face diferența între un incident izolat și un atac cu impact major.
Prevenția rămâne cel mai eficient instrument de apărare în fața actorilor cibernetici sofisticați.
Sursa : Directoratul Național de Securitate Cibernetică (DNSC)
Semnat : Departamentul InfoCons securitate cibernetica – cybersecurity
InfoCons – Organizație Europeană pentru Protecția Consumatorului și Promovarea Programelor și Strategiilor membră cu drepturi depline în Organizația Mondială Consumers International , membra fondatoare a Federației Asociațiilor de Consumatori , având Secretariatul General în București, Bd. Mărășești , nr. 127-129 , sector 4, tel: 021/319.32.66 , mail : secretariat@infocons.ro , Protecția Consumatorului , Protecția Consumatorilor , Proprietate Intelectuală , Consumers Protection , Consumer Protection , Fii Un Exemplu , Dezvoltare Durabilă , Smart Deal , Green Deal , Alertă , Alerte , Telefonul Consumatorului , Telefonul Consumatorilor , Protecția Mediului , Alege Bine , Citește Eticheta , Ia Atitudine , Sănătate , Incredere , Trust , Sorin Mierlea , Cybersecurity , Securitate Cibernetică , Asigurare , Asigurat , cibernetic , incident cibernetic , VPN
