Nhóm đe dọa này thường tập trung vào từng ngành một. Trước đây, họ đã nhắm vào các tổ chức bán lẻ tại Vương quốc Anh, sau đó chuyển sang các mục tiêu cùng ngành tại Mỹ.

“Nhóm Tình báo Mối đe dọa của Google hiện đã ghi nhận nhiều vụ xâm nhập tại Mỹ có đầy đủ dấu hiệu đặc trưng của nhóm Scattered Spider. Chúng tôi hiện đang chứng kiến các sự cố xảy ra trong ngành bảo hiểm,” John Hultquist - nhà phân tích trưởng tại Nhóm Tình báo Mối đe dọa của Google (GTIG) đã nói như vậy với BleepingComputer.

Ảnh minh họa

Ông Hultquist cảnh báo rằng vì nhóm này hoạt động theo từng ngành, “ngành bảo hiểm cần phải cảnh giác cao độ.”

Nhà nghiên cứu trưởng của GTIG cũng lưu ý rằng các công ty nên đặc biệt chú ý đến các nỗ lực tấn công lừa đảo xã hội (social engineering), đặc biệt là nhằm vào bộ phận hỗ trợ kỹ thuật và tổng đài chăm sóc khách hàng.

Chiến thuật của nhóm Scattered Spider

Scattered Spider là tên gọi dành cho một liên minh linh hoạt gồm các tác nhân đe dọa chuyên thực hiện các cuộc tấn công kỹ thuật xã hội tinh vi nhằm vượt qua các chương trình bảo mật đã phát triển vững chắc.

Nhóm này còn được theo dõi dưới các tên khác như 0ktapus, UNC3944, Scatter Swine, Starfraud và Muddled Libra. Họ có liên quan đến nhiều vụ xâm nhập vào các tổ chức nổi tiếng, trong đó kết hợp các phương thức như lừa đảo (phishing), hoán đổi SIM (SIM-swapping) và tấn công MFA fatigue/MFA bombing để giành quyền truy cập ban đầu. Tấn công MFA Fatigue xảy ra khi kẻ xấu có trong tay thông tin đăng nhập cơ bản (username và mật khẩu) và sử dụng chính cơ chế xác thực push của người dùng để gửi liên tục các yêu cầu xác thực đến thiết bị cá nhân. Mục tiêu là khiến người dùng nhầm lẫn, mất cảnh giác hoặc đơn giản là quá mệt mỏi để tiếp tục từ chối, và cuối cùng sẽ chấp nhận yêu cầu mà không kiểm tra kỹ.

Đây là một dạng tấn công khai thác tâm lý và hành vi, thay vì dựa vào lỗ hổng kỹ thuật. Trong môi trường doanh nghiệp, đặc biệt với lực lượng lao động từ xa hoặc thường xuyên di chuyển, việc xử lý nhanh các yêu cầu trên thiết bị di động có thể trở thành điểm yếu đáng kể.

Ở giai đoạn sau của cuộc tấn công, nhóm này thường triển khai các loại mã độc tống tiền (ransomware) như RansomHub, Qilin và DragonForce.

Phòng thủ trước các cuộc tấn công của Scattered Spider

Để đối phó với loại tác nhân đe dọa này, các tổ chức nên bắt đầu bằng cách đảm bảo khả năng quan sát toàn diện trên toàn bộ hạ tầng, hệ thống định danh và các dịch vụ quản lý trọng yếu.

Nhóm Tình báo Mối đe dọa của Google (GTIG) khuyến nghị cần tách biệt danh tính người dùng, sử dụng các tiêu chí xác thực mạnh, cùng với các biện pháp kiểm soát định danh nghiêm ngặt đối với việc đặt lại mật khẩu và đăng ký xác thực đa yếu tố (MFA).

Vì Scattered Spider chủ yếu dựa vào kỹ thuật lừa đảo xã hội, các tổ chức cũng nên đào tạo nhân viên và đội ngũ an ninh nội bộ về cách nhận diện các hành vi mạo danh qua nhiều kênh khác nhau (tin nhắn SMS, cuộc gọi điện thoại, nền tảng nhắn tin), trong đó đôi khi kẻ tấn công sử dụng ngôn từ mang tính đe dọa để ép nạn nhân tuân thủ yêu cầu.

Sau khi các hãng bán lẻ tại Vương quốc Anh như Marks & Spencer, Co-op và Harrods bị tin tặc tấn công trong năm nay, Trung tâm An ninh Mạng Quốc gia Anh (NCSC) đã chia sẻ các khuyến nghị nhằm giúp các tổ chức tăng cường phòng thủ an ninh mạng.

Trong cả ba vụ tấn công, các tác nhân đe dọa đã sử dụng cùng một chiến thuật lừa đảo xã hội từng được liên kết với nhóm Scattered Spider và triển khai mã độc tống tiền DragonForce ở giai đoạn cuối.

Các khuyến nghị từ Trung tâm An ninh Mạng Quốc gia Vương quốc Anh (NCSC) bao gồm: kích hoạt xác thực hai yếu tố (2FA) hoặc đa yếu tố (MFA), giám sát các đăng nhập trái phép và kiểm tra tính hợp lệ của quyền truy cập vào các tài khoản có đặc quyền cao như Domain Admin, Enterprise Admin và Cloud Admin.

Ngoài ra, NCSC cũng khuyến cáo các tổ chức nên rà soát quy trình xác thực danh tính của bộ phận hỗ trợ kỹ thuật (helpdesk) trước khi đặt lại mật khẩu, đặc biệt là đối với nhân viên có quyền truy cập nâng cao.

Khả năng phát hiện các lần đăng nhập đến từ nguồn bất thường (ví dụ: các dịch vụ VPN sử dụng địa chỉ IP dân cư) cũng có thể giúp nhận diện sớm một cuộc tấn công tiềm tàng. (theo BleepingComputer)