卫生部门网络安全协调中心(HC3)发布了一项行业警报,建议采取措施以防御来自美国和英国的威胁行为者,这些行为者最初在2022年针对客户关系管理、业务流程外包和技术公司,随后转向了游戏、酒店、零售、制造和金融行业。Scattered Spider,也被称为Octo Tempest,因其先进的社会工程技巧而闻名,包括语音钓鱼和利用人工智能模拟受害者的声音以及SIM卡交换以获得对目标组织的初始访问权限。
为什么这很重要
根据HC3于10月24日发布的修订版威胁行为者档案,Scattered Spider的操作人员通过数据敲诈和逃避检测来实施攻击,通常利用现有的工具和技术修改其战术、技术和程序以逃避检测。这些威胁行为者利用了各种远程监控和管理工具,使用了多个信息窃取器,然后在受害环境中部署了多种勒索软件,主要目的是为了经济利益。HC3链接了具体的缓解和控制措施,建议医疗系统现在就熟悉这些措施。这些措施包括全球金融机构针对Scattered Spider活动实施的缓解措施,由金融服务信息共享和分析中心(FS-ISAC)编制,以及联邦调查局(FBI)和网络安全和基础设施安全局(CISA)去年联合提出的建议等。
更新的信息显示,Scattered Spider的武器库中列出了23种合法工具,如AnyDesk、ConnectWise Controller、LogMeIn、TeamViewer等,以及十多种恶意软件变体,Scattered Spider操作人员可能在准备部署恶意软件时使用。HC3在讨论的一项最近活动中提到:“他们后来使用了诸如Mimikatz和secret dump等恶意工具来提升权限。”
Scattered Spider威胁行为者试图通过受害者的网络横向移动,以“禁用安全和恢复服务、窃取数据并进行勒索软件操作”,因此检测和抑制控制措施以监测克隆登录门户至关重要。FS-ISAC建议参与或建立“品牌保护服务,实时监控假冒品牌的域名注册”。HC3还指出,据信这些威胁行为者主要年龄在19至22岁之间。被捕成员来自美国的肯塔基州和佛罗里达州,以及英国的西米德兰兹郡和邓迪。
更大的趋势
根据网络安全分析公司SpyCloud的数据,许多北美和欧洲的勒索软件受害公司在此之前都遭受了信息窃取器感染,该公司还在3月份报告称,去年61%的数据泄露事件涉及超过3.43亿被盗凭证,与信息窃取器恶意软件有关。今年4月,HC3警告行业防范利用员工语音模仿进行的鱼叉式语音诈骗,这些诈骗最终会攻击医疗系统的帮助台以盗取电子资金转账。
鱼叉式语音技术用于通过电话或其他语音通信操纵管理员提供系统访问权限,涉及社会工程学和人工智能技术,以提高攻击质量。“需要注意的是,威胁行为者也可能尝试利用AI语音模仿技术进行社会工程学攻击,使远程身份验证随着这些技术的发展越来越困难。”HC3表示。
HC3在警报中还提到,Scattered Spider(也称为UNC3944)去年通过鱼叉式语音诈骗袭击了酒店和娱乐行业,随后部署了ALPHV/BlackCat勒索软件。去年12月,美国司法部声称已查封了该勒索软件团伙的基础设施,但今年2月,BlackCat声称已从Change Healthcare的地震攻击中窃取了6TB的数据,该攻击中断了全国范围内的医疗运营。
引用
“在行动中,Scattered Spider利用了有针对性的社会工程学技术,试图绕过流行的端点安全工具,并部署了勒索软件以谋取经济利益。”HC3表示。
Andrea Fox是《医疗保健IT新闻》的高级编辑。邮箱:afox@himss.org
(全文结束)
