ClickCease Microsoft Scattered Spider Warnung: Ransomware-Warnung

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Microsoft Scattered Spider Warnung: Ransomware-Warnung

Wajahat Raja

6. November 2023. TuxCare-Expertenteam

In der sich ständig weiterentwickelnden Welt der Cyberkriminalität ist ein furchterregender Gegner auf dem Vormarsch - Octo Tempest, eine Gruppe englischsprachiger Hacker, die von SIM-Tausch und Kryptowährungsbetrug zu einem noch unheimlicheren Spiel übergegangen ist: Cyber-Erpressung. Ihr rasanter Aufstieg hat die Aufmerksamkeit von Cybersecurity-Experten auf sich gezogen, darunter auch die von Microsoft, die ihre Aktivitäten genau beobachten. In diesem Blog befassen wir uns mit dem Auftauchen der Microsoft Scattered Spider-Warnung und die Entwicklung von Octo Tempest, ihre Partnerschaft mit der ALPHV/BlackCat-Ransomware-Operation, ihre ausgefeilten Taktiken und die Branchen, auf die sie abzielen.

 

Die Entstehungsgeschichte von Octo Tempest


Vor etwa 18 Monaten machte sich Octo Tempest erstmals einen Namen in der Cyber-Unterwelt. Zunächst konzentrierten sich ihre Angriffe auf SIM-Swapping und
Entführung von Kryptowährungskonten Konten. Anfang 2023 hatten sie ihren Horizont erweitert und größere Organisationen ins Visier genommen, darunter auch bekannte Technologieunternehmen. Ihr Modus Operandi war einfach, aber verheerend: Sie stahlen Daten und forderten Lösegeld.


Microsoft Warnung vor verstreuten Spinnen: Eine gefährliche Verbindung


Der Wendepunkt kam Mitte 2023, als Octo Tempest eine unheilige Allianz mit dem berüchtigten Ransomware-as-a-Service-Unternehmen ALPHV/BlackCat einging. Diese Partnerschaft ermöglichte es ihnen, die von der Ransomware-Crew betriebene Dark-Web-Leak-Site anzuzapfen. Laut der
Microsoft Scattered Spider-Warnungmarkierte diese Zusammenarbeit eine bedeutende Veränderung in der Geschichte von Octo Tempest.


Eine breite Palette von Zielen


Octo Tempest beschränkte sich nicht darauf, nur Technologieunternehmen ins Visier zu nehmen. Nach und nach haben sie ihren Aktionsradius auf verschiedene Branchen ausgeweitet, z. B. natürliche Ressourcen, Glücksspiel, Gastgewerbe, Konsumgüter, Einzelhandel, Anbieter von verwalteten Dienstleistungen, Fertigung, Recht, Technologie und Finanzdienstleistungen. Ihre Reichweite kennt keine Grenzen.


Unsichere Verbindungen


Spider-Warnung von Microsoft
deutet darauf hin, dass Octo Tempest möglicherweise Verbindungen mit dem UNC3944 (auch bekannt als Scattered Spider oder 0ktapus) haben könnte. Angesichts ihrer Zugehörigkeit zu ALPHV/BlackCat liegt der Verdacht nahe, dass sie eine Rolle bei den Casinoüberfällen vom September 2023 in Las Vegas und anderen Angriffen auf den Spezialisten für Identitäts- und Zugangsmanagement (IAM) Okta gespielt haben könnten. Es gibt jedoch keine konkreten Beweise, die sie mit laufenden Angriffen auf Cybersicherheitsunternehmen wie 1Password, BeyondTrust und Cloudflare in Verbindung bringen.


Octo Tempest's Technische Fähigkeiten


Octo Tempest ist keine Hacker-Gruppe von der Stange. Die Nachforschungen von Microsoft zeigen ihre technischen Fähigkeiten und ihr organisiertes Vorgehen. Sie verwenden eine breite Palette von Taktiken, Techniken und Verfahren (TTPs), um ihre Ziele zu erreichen.


Social Engineering an vorderster Front


Eine der herausragenden Techniken von Octo Tempest ist das Social Engineering, das insbesondere auf IT-Support- und Helpdesk-Mitarbeiter abzielt. Sie dringen tief in die Hintergründe ihrer Opfer ein und passen ihre Angriffe so an, dass sie persönliche Informationen ausnutzen. In einigen Fällen sind sie so weit gegangen, den Sprachstil des Opfers bei Telefonanrufen zu imitieren.


Taktiken der Angstmacherei


Octo Tempest zögert nicht, Angstmacherei zu betreiben. Microsoft teilte Screenshots eines Bandenmitglieds, das die Familie eines Opfers bedroht, was die Ernsthaftigkeit ihrer Drohungen unterstreicht.


Privilegieneskalation


Häufig erweitern sie ihre Privilegien durch SIM-Tausch oder durch die Übernahme der Telefonnummern von Mitarbeitern, um die Zurücksetzung von Passwörtern im Selbstbedienungsbereich zu veranlassen. Ein anderer Weg ist das Social Engineering des Helpdesks, um Admin-Passwörter zurückzusetzen.


Aktionen im Umfeld des Opfers


Sobald er in die Umgebung eines Opfers eingedrungen ist, ist Octo Tempest unerbittlich. Er führt Aktionen wie den Massenexport von Benutzer-, Gruppen- und Geräteinformationen durch. Sie zählen die Daten und Ressourcen auf, die für das Profil des kompromittierten Benutzers verfügbar sind. 

Ihre Neugierde erstreckt sich auf die Netzwerkarchitektur, das Onboarding von Mitarbeitern, Fernzugriffsmethoden, Richtlinien für Anmeldeinformationen und Tresore. Multi-Cloud-Umgebungen, Code-Repositories, Server- und Backup-Management-Infrastruktur sind ebenfalls auf ihrem Radar.


Sich der Entdeckung entziehen


Octo Tempest umgeht die Entdeckung geschickt, indem er Sicherheitsprodukte und -funktionen deaktiviert und öffentlich verfügbare Sicherheitstools nutzt. Mit Hilfe von Tools für die Fernüberwachung und -verwaltung (Remote Monitoring and Management, RMM) sorgen sie dafür, dass der Virus auf den Endgeräten bestehen bleibt.

Letztendlich ist es das Ziel von Octo Tempest, Daten zu stehlen und Ransomwarezu stehlen, wobei in der Regel eine Variante des ALPHV/BlackCat-Schließfachs verwendet wird. Die Daten, die sie stehlen, hängen von ihrer Zugriffsebene und ihren Fähigkeiten ab.

 

Verstehen der Microsoft Scattered Spider-Techniken


Einer der faszinierendsten Aspekte der Operationen von Octo Tempest ist die Nutzung der Azure Data Factory-Plattform und automatisierter Prozesse für die Exfiltration von Daten auf ihre eigenen Secure File Transfer Protocol (SFTP)-Server. Dieser Ansatz ermöglicht es ihnen, ihre Aktivitäten als legitime Big-Data-Aktivitäten zu tarnen. Sie wurden auch dabei beobachtet, wie sie legitime Microsoft 365-Backup-Lösungen wie CommVault und Veeam registrierten, um die Exfiltration von SharePoint-Dokumentenbibliotheken zu beschleunigen.


So gehen Sie mit der Spider-Warnung von Microsoft um


Die Enttarnung von Octo Tempest ist eine gewaltige Herausforderung für Cybersecurity-Verteidiger. Ihr Einsatz von Social-Engineering, Techniken, die sich von der Außenwelt abheben, und eine Reihe von verschiedenen Tools machen sie zu schwer fassbaren Gegnern. Während
detaillierte technische Informationen über diese Techniken bei Microsoft erhältlich sind, finden Sie hier einige allgemeine Richtlinien für Verteidiger:

  1. Aufmerksame Überwachung: Kontinuierliche Überwachung des Netzwerkverkehrs, des Benutzerverhaltens und der Systemaktivitäten, um ungewöhnliche Muster und Anomalien zu erkennen.
  2. Benutzer-Authentifizierung: Implementieren Sie eine Multi-Faktor-Authentifizierung, um Benutzerkonten zu sichern und unbefugten Zugriff zu verhindern.
  3. Sicherheitsschulung: Schulen Sie Ihre Mitarbeiter darin, Social-Engineering-Versuche und Phishing-Angriffe zu erkennen, damit sie weniger anfällig für Manipulationen sind.
  4. Patch-Verwaltung: Halten Sie Software und Systeme mit den neuesten Sicherheits-Patches auf dem neuesten Stand, um Schwachstellen zu schließen.
  5. Plan zur Reaktion auf Zwischenfälle: Entwickeln Sie einen robusten Reaktionsplan, um im Falle eines Verstoßes schnell zu reagieren und den potenziellen Schaden zu minimieren.
  6. Kollaborative Aufklärung: Zusammenarbeit mit Strafverfolgungsbehörden, Organisationen für Bedrohungsaufklärung und Cybersicherheitsgemeinschaften, um Informationen auszutauschen und das Bewusstsein für Bedrohungen zu verbessern.
  7. Kontinuierliche Verbesserung: Regelmäßige Bewertung und Verbesserung der Sicherheitsmaßnahmen, um den sich entwickelnden Bedrohungen einen Schritt voraus zu sein.


Schlussfolgerung


Zusammenfassend lässt sich sagen, dass der rasche Aufstieg von Octo Tempest und seine ausgefeilten Taktiken eine große Herausforderung für Unternehmen und Cybersicherheitsexperten darstellen. Da sie sich ständig weiterentwickeln, ist es wichtig, informiert und wachsam zu bleiben und proaktiv gegen
Microsoft Spider Warnung Auswirkungen ist von entscheidender Bedeutung, um sich gegen ihre Bedrohungen zu verteidigen. Durch die Einhaltung dieser Grundsätze und die Zusammenarbeit beim Austausch von Wissen und Fachkenntnissen kann die Cybersicherheits-Community gemeinsam die von dieser gefährlichen Gruppe von Cyberkriminellen ausgehenden Risiken mindern.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Computer Weekly.

 

Zusammenfassung
Microsoft Scattered Spider Warnung: Ransomware-Warnung
Artikel Name
Microsoft Scattered Spider Warnung: Ransomware-Warnung
Beschreibung
Bleiben Sie informiert über die Microsoft Scattered Spider-Warnung und die aufkommende Ransomware-Bedrohung. Schützen Sie Ihr Unternehmen mit unseren Erkenntnissen.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter