Sojusz hakerski atakuje globalne marki

Trzy wpływowe grupy hakerskie zapowiedziały przerwę w działalności, jednak wciąż przeprowadzają ataki i stanowią poważne zagrożenie dla wielu firm. Współpracują, dzieląc się technologiami i know‑how, łącząc zasoby oraz synchronizując operacje. Pojawia się także możliwość rotacji członków w celu tworzenia zespołów do konkretnych zadań.
Temat połączonej grupy Scattered Lapsus$ Hunters wrócił ze względu na nową DLS (stronę do wyłudzenia okupu którą opublikowała grupa). Na tejże opublikowano szantaż skierowany do firmy Salesforce i organizacji, które były poszkodowane w wyniku incydentów bezpieczeństwa w systemach Salesloft i Drift.
Pojawiała się również informacja, że dane zaatakowanych firm mają zostać opublikowane 10 października br. – jak wskazuje CERT ORANGE POLSKA.
O grupach Scattered Spider oraz Lapsus$, które wchodzą w skład sojuszu, informowaliśmy w ostatnim artykule poświęconym nowym technologiom w walce z przestępczością. Ciekawym aspektem wyróżniającym te dwie organizacje jest fakt, że w dużej mierze ich członkami są nastolatkowie.
Sojusz hakerski uderza w globalne marki i kluczowe sektory
Na celowniku sojuszu grup cyberprzestępczych są firmy z branży technologicznej, handlu detalicznego, lotnictwa, ubezpieczeń a nawet mody luksusowej.
Jak wskazuje Socradar.io, do najbardziej znanych ofiar należą Tiffany & Co, Allianz, Cisco, Qantas, Google, Cartier czy Pandora. O kilku innych przedsiębiorstwach, które również padły ofiarą ataków, pisaliśmy na naszych łamach, w tym o Air France, Dior i Adidas oraz Chanel.

Autor. CERT Orange Polska
Cyberprzestępcy przechwytują dane klientów, listy kontaktów, dane dotyczące programów lojalnościowych, płatności, a także wewnętrzne dokumenty firmowe. Uzyskanymi danymi grupa może szantażować, grozić ujawnieniem poufnych informacji czy przeprowadzać ataki na łańcuchy dostaw. Jak informuje Socradar.io, grupa posuwa się nawet do zakłócania codziennej działalności firm, podważania ich reputacji lub sprzedaży dostępu innym grupom.
Skoordynowane ataki phishingowe
ShinyHunters najprawdopobniej prawdopodobnie zleca członkom Scattered Spider przeprowadzanie głosowych ataków phishingowych. Grupa podszywa się pod pracowników wsparcia IT i kontaktuje się z pracownikami danej firmy lub jej kontrahentami.
„Połączenia te często rozpoczynają się spokojnym tonem i fałszywym zgłoszeniem problemu IT – dzwoniący następnie przekonuje ofiarę do zresetowania tokenów uwierzytelniania wieloskładnikowego (MFA), zainstalowania narzędzi do zdalnego zarządzania lub przejścia do strony /setup/connect w Salesforce w celu autoryzacji złośliwej aplikacji” – wskazuje SOCRADAR.io.
Grupa wykorzystuje również sztuczną inteligencję, która pozwala im automatyzować ataki za pomocą asystentów głosowych. Z każdym dniem AI zyskuje nowe możliwości, a rozróżnienie obrazu czy głosu sztucznie wygenerowanego jest coraz trudniejsze.
Złośliwa aplikacja OAuth zawiera trojana Data Loader, który daje hakerom dostęp do systemu ofiary i pozwala im pobierać dane.
W analizie Socradar.io wskazano, że cyberprzestępcy wykorzystują pliki cookies zbierane przez złośliwe oprogramowanie typu infostealer, aby przejmować uwierzytelnione sesje. Z przejętych pulpitów CRM wykradają takie dane jak rekordy klientów, logi lotów, a nawet transkrypcje czatów.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?