Thông thường, nhóm đe dọa Scattered Spider tập trung vào từng lĩnh vực. Trước đây, chúng nhắm mục tiêu vào các tổ chức bán lẻ tại Vương quốc Anh rồi chuyển sang các mục tiêu trong cùng lĩnh vực tại Hoa Kỳ.

Theo chia sẻ của người đứng đầu của nhóm chuyên về giải pháp bảo mật toàn diện của Google (Google Threat Intelligence Group, được viết tắt là GTIG), công ty hiện đã nhận thức được nhiều vụ xâm nhập tại Hoa Kỳ mang tất cả các dấu hiệu gắn liền với hoạt động của nhóm Scattered Spider. Cùng với đó, các chuyên gia cũng đang chứng kiến ​​các sự cố trong ngành bảo hiểm. Điều đáng nói, nhóm tin tặc này tiếp cận từng lĩnh vực một, nên "ngành bảo hiểm cần phải cảnh giác cao độ".

Nhà nghiên cứu chính của GTIG cũng cho biết thêm, các công ty nên đặc biệt chú ý đến các nỗ lực tấn công phi kỹ thuật tiềm ẩn vào bộ phận trợ giúp khách hàng và các tổng đài.

Chiến thuật Scattered Spider

Scattered Spider là tên gọi của một liên minh linh hoạt gồm các tác nhân đe dọa, sử dụng các cuộc tấn công phi kỹ thuật tinh vi để vượt qua các chương trình bảo mật đã hoàn thiện.

Liên minh của Scattered Spider gồm 0ktapus, UNC3944, Scatter Swine, Starfraud và Muddled Libra. Các thành viên này được cho là có liên quan đến vụ vi phạm tại nhiều tổ chức cấp cao kết hợp lừa đảo, hoán đổi SIM và làm yếu khả năng xác đa yếu tố (MFA).

Trong giai đoạn sau của cuộc tấn công, nhóm này đã được phát hiện thả các phần mềm tống tiền như RansomHub, Qilin và DragonForce.

Phòng chống lại các cuộc tấn công của tin tặc

Các chuyên gia của GTIG khuyến nghị, các tổ chức, doanh nghiệp nên phân tách danh tính và sử dụng tiêu chí xác thực mạnh, cùng với các biện pháp kiểm soát danh tính nghiêm ngặt để đặt lại mật khẩu và đăng ký MFA.

Vì Scattered Spider dựa vào phương pháp tấn công phi kỹ thuật, nên các tổ chức cần phải giáo dục nhân viên và nhóm bảo mật nội bộ về các nỗ lực mạo danh thông qua nhiều kênh khác nhau (SMS, cuộc gọi điện thoại, nền tảng nhắn tin), đôi khi tin tặc có thể sử dụng những ngôn ngữ đe dọa để nhắm vào mục tiêu, buộc họ phải làm theo chúng.

Sau khi tin tặc xâm nhập vào các nhà bán lẻ Marks & Spencer, Co-op và Harrods tại Vương quốc Anh trong năm nay, Trung tâm An ninh mạng Quốc gia (NCSC) của quốc gia này đã chia sẻ các mẹo để các tổ chức cải thiện khả năng phòng thủ an ninh mạng của mình.

Trong cả ba cuộc tấn công, tác nhân đe dọa đã sử dụng cùng một chiến thuật kỹ thuật liên quan đến Scattered Spired và thả phần mềm tống tiền DragonForce ở giai đoạn cuối.

Các khuyến nghị của NCSC bao gồm, kích hoạt xác thực hai yếu tố hoặc đa yếu tố, giám sát các lần đăng nhập trái phép và kiểm tra xem quyền truy cập vào tài khoản Quản trị viên miền, Quản trị viên doanh nghiệp và Quản trị viên đám mây có hợp lệ hay không.

Ngoài ra, cơ quan của Vương quốc Anh khuyên các tổ chức nên xem xét cách dịch vụ trợ giúp xác thực thông tin đăng nhập trước khi đặt lại thông tin, đặc biệt là đối với những nhân viên có đặc quyền cao.

Khả năng xác định thông tin đăng nhập từ các nguồn bất thường (ví dụ: dịch vụ mạng riêng ảo (VPN) từ phạm vi dân cư) cũng có thể giúp xác định một cuộc tấn công tiềm ẩn.