Avertissement de Microsoft Scattered Spider : Alerte au ransomware
Dans le monde en constante évolution de la cybercriminalité, un adversaire redoutable est en train de monter en puissance : Octo Tempest, un groupe de pirates informatiques de langue maternelle anglaise qui est passé de l'échange de cartes SIM et de la fraude aux crypto-monnaies à un jeu plus sinistre, la cyber-extorsion. Leur ascension rapide a attiré l'attention des experts en cybersécurité, notamment ceux de Microsoft, qui ont suivi de près leurs activités. Dans ce blog, nous allons nous pencher sur l'émergence des alerte Microsoft Scattered Spider et l'évolution d'Octo Tempest, son partenariat avec le ransomware ALPHV/BlackCat, ses tactiques sophistiquées et les secteurs qu'il cible.
La genèse d'Octo Tempest
Il y a environ 18 mois, Octo Tempest s'est fait connaître dans le cybermonde. Au départ, ses exploits étaient centrés sur l'échange de cartes SIM et le détournement de crypto-monnaies. détournement de crypto-monnaies crypto-monnaie. Au début de l'année 2023, ils ont élargi leurs horizons, jetant leur dévolu sur des organisations plus importantes, y compris des entreprises technologiques de premier plan. Leur mode opératoire était simple mais dévastateur : voler des données et demander une rançon.
Avertissement de Microsoft concernant les araignées dispersées : Une affiliation dangereuse
Le tournant s'est produit au milieu de l'année 2023, lorsque Octo Tempest a conclu une alliance impie avec le tristement célèbre ransomware-as-a-service ALPHV/BlackCat. Ce partenariat leur a permis d'accéder au site de fuites du dark web géré par l'équipe du ransomware. Selon l'alerte alerte Microsoft Scattered Spidercette collaboration a marqué un tournant dans l'histoire d'Octo Tempest.
Un large éventail de cibles
Octo Tempest ne s'est pas contenté de cibler les entreprises technologiques. Ils ont progressivement élargi leur champ d'action à divers secteurs tels que les ressources naturelles, les jeux, l'hôtellerie, les produits de consommation, la vente au détail, les fournisseurs de services gérés, la fabrication, le droit, la technologie et les services financiers. Leur portée ne connaît pas de limites.
Connexions incertaines
L'avertissement Spider de Microsoft suggère qu'Octo Tempest pourrait avoir des liens avec le programme UNC3944 (également connu sous le nom de Scattered Spider ou 0ktapus). Compte tenu de leur affiliation à ALPHV/BlackCat, on peut raisonnablement penser qu'ils ont joué un rôle dans les cambriolages de casinos de Las Vegas en septembre 2023 et dans d'autres attaques contre le spécialiste de la gestion des identités et des accès (IAM) Okta. Toutefois, il n'existe aucune preuve concrète les reliant aux attaques en cours contre des entreprises de cybersécurité telles que 1Password, BeyondTrust et Cloudflare.
Compétences techniques d'Octo Tempest
Octo Tempest n'est pas un groupe de pirates informatiques ordinaire. Les recherches de Microsoft mettent en évidence leurs prouesses techniques et leur approche organisée. Ils utilisent un large éventail de tactiques, de techniques et de procédures (TTP) pour atteindre leurs objectifs.
L'ingénierie sociale en première ligne
L'une des techniques phares d'Octo Tempest est l'ingénierie sociale, qui s'adresse en particulier au personnel de l'assistance informatique et du service d'assistance. Ils s'intéressent de près aux antécédents de leurs victimes et adaptent leurs attaques afin d'exploiter des informations personnelles. Dans certains cas, ils sont allés jusqu'à imiter la façon de parler de la victime lors d'appels téléphoniques.
Tactiques d'alarmisme
Octo Tempest n'hésite pas à utiliser des tactiques d'intimidation. Microsoft a partagé des captures d'écran montrant un membre de gang menaçant la famille d'une victime, soulignant ainsi la gravité de leurs menaces.
L'escalade des privilèges
Ils escaladent fréquemment leurs privilèges en échangeant des cartes SIM ou en s'emparant des numéros de téléphone des employés pour lancer des réinitialisations de mots de passe en libre-service. L'ingénierie sociale du service d'assistance pour réinitialiser les mots de passe des administrateurs est une autre voie qu'ils empruntent.
Actions dans l'environnement des victimes
Une fois dans l'environnement d'une victime, Octo Tempest est implacable. Il entreprend des actions telles que l'exportation en masse d'informations sur les utilisateurs, les groupes et les appareils. Il énumère les données et les ressources disponibles pour le profil de l'utilisateur compromis.
Leur curiosité s'étend à l'architecture du réseau, à l'intégration des employés, aux méthodes d'accès à distance, aux politiques d'identification et aux coffres-forts. Les environnements multi-cloud, les référentiels de code, les serveurs et l'infrastructure de gestion des sauvegardes sont également dans leur collimateur.
Échapper à la détection
Octo Tempest échappe habilement à la détection en désactivant des produits et des fonctions de sécurité et en exploitant des outils de sécurité accessibles au public. Ils assurent la persistance sur les terminaux grâce à des outils de surveillance et de gestion à distance (RMM).
En fin de compte, l'objectif d'Octo Tempest est de voler des données et de déployer des ransomwaregénéralement à l'aide d'une variante du casier ALPHV/BlackCat. Les données qu'ils volent dépendent de leur niveau d'accès et de leurs capacités.
Comprendre les techniques de Microsoft Scattered Spider
L'un des aspects les plus intrigants des opérations d'Octo Tempest est son utilisation de la plateforme Azure Data Factory et des processus automatisés d'exfiltration des données vers ses propres serveurs SFTP (Secure File Transfer Protocol). Cette approche leur permet de camoufler leurs activités en opérations légitimes de big data. Ils ont également été observés en train d'enregistrer des solutions de sauvegarde Microsoft 365 légitimes, telles que CommVault et Veeam, pour accélérer l'exfiltration des bibliothèques de documents SharePoint.
Comment faire face à l'avertissement de Microsoft concernant les araignées ?
Démasquer Octo Tempest s'avère être un formidable défi pour les défenseurs de la cybersécurité. L'utilisation de l'ingénierie sociale, de techniques de survie et d'une panoplie d'outils divers en font des adversaires insaisissables. Bien que des informations techniques détaillées détaillées sur ces techniques sont disponibles auprès de Microsoft, voici quelques lignes directrices générales pour les défenseurs :
- Surveillance vigilante : Surveillez en permanence le trafic réseau, le comportement des utilisateurs et l'activité du système afin de repérer les schémas inhabituels et les anomalies.
- Authentification des utilisateurs : Mettez en œuvre l'authentification multifactorielle pour renforcer les comptes d'utilisateurs et empêcher les accès non autorisés.
- Formation à la sécurité : Former les employés à reconnaître les tentatives d'ingénierie sociale et les attaques par hameçonnage, afin qu'ils soient moins susceptibles d'être manipulés.
- Gestion des correctifs : Maintenir les logiciels et les systèmes à jour avec les derniers correctifs de sécurité pour éliminer les vulnérabilités.
- Plan d'intervention en cas d'incident : Élaborer un solide plan d'intervention en cas d'incident afin de réagir rapidement en cas de violation et de minimiser les dommages potentiels.
- Renseignement collaboratif : Collaborer avec les services répressifs, les organisations de renseignement sur les menaces et les communautés de cybersécurité pour partager des informations et améliorer la connaissance des menaces.
- Amélioration continue : Évaluer et améliorer régulièrement les mesures de sécurité afin de garder une longueur d'avance sur l'évolution des menaces.
Conclusion
En conclusion, la progression rapide d'Octo Tempest et ses tactiques sophistiquées représentent un défi de taille pour les organisations et les experts en cybersécurité. Alors qu'elles continuent d'évoluer, il est essentiel de rester informé, vigilant et proactif face aux menaces de la cybercriminalité. les implications de l'avertissement Microsoft Spider est essentiel pour se défendre contre leurs menaces. En s'engageant à respecter ces principes et en collaborant au partage des connaissances et de l'expertise, la communauté de la cybersécurité peut travailler ensemble pour atténuer les risques posés par ce dangereux groupe de cybercriminels.
Les sources de cet article comprennent des articles dans The Hacker News et Computer Weekly.