Los investigadores de inteligencia sobre amenazas advierten que los piratas informáticos violaron a varias compañías estadounidenses en el sector de seguros utilizando todas las tácticas observadas con una actividad de araña dispersa.
Como regla general, el grupo de amenazas tiene una orientación sectorial por sector. Anteriormente, se dirigieron a organizaciones minoristas en el Reino Unido, luego fueron a objetivos en el mismo sector en los Estados Unidos.
“El Grupo de Inteligencia de Amenazos de Google ahora es consciente de varias intrusiones en los Estados Unidos que llevan todas las características de la actividad de las arañas dispersas. Ahora estamos viendo incidentes en el sector de seguros”, dijo John Hultquist, analista jefe de Google Amenazing Intelligence Group (GTIG), a BleepingComuller.
Hultquist advierte que debido a que el grupo se acerca a un sector a la vez, “la industria de seguros debe estar en alerta”.
El investigador jefe de GTIG afirma que las empresas deben prestar especial atención a los posibles intentos de ingeniería social en servicios de asistencia y centros de llamadas.
Tácticas de araña dispersas
Sporsed Spider es el nombre dado a una coalición fluida de actores de amenaza que usan ataques sofisticados de ingeniería social para evitar programas de seguridad maduros.
El grupo también se sigue en 0ktapus, UNC3944, disperso porcino, estrella y equilibrio confuso, y se vinculó a violaciones en varias organizaciones de alto nivel que tienen phishing mixto, el intercambio de simulación y el bombardeo de la fatiga MFA / MFA para el acceso inicial.
En un estadio posterior del ataque, el grupo se observó abandonando el ransomware como RansomhubQilin y Dragonforce.
Defiende contra los ataques de las arañas dispersas
Las organizaciones que se defienden contra este tipo de actor de amenaza deben comenzar a obtener una visibilidad completa en toda la infraestructura, los sistemas de identidad y los servicios de gestión crítica.
Gtig recomendado Segregación de identidades y uso de criterios de autenticación sólidos, así como verificaciones de identidad rigurosas para reinicios de contraseña y grabación de MFA.
Dado que Sported Spider se basa en la ingeniería social, las organizaciones deben educar a los empleados y equipos de seguridad internos sobre intentos de identidad a través de varios canales (SMS, llamadas telefónicas, plataformas de mensajería) que a veces pueden incluir un lenguaje agresivo para asustar el objetivo.
Después de que los Piratas violaron a Marks & Spencer, Cooper y los minoristas de Harrods en el Reino Unido este año, el Centro Nacional de Seguridad Cibernética (NCSC) del país compartió consejos para que las organizaciones mejoren sus defensas de ciberseguridad.
En los tres ataques, el actor de amenazas utilizó las mismas tácticas de ingeniería social asociadas con la episte de ransomware disperso y la fuerza de Dragonforce abandonada en la última etapa.
Las recomendaciones de NCSC incluyen la activación de la autenticación de dos factores o multifactor, el monitoreo de conexiones y verificación no autorizadas si el acceso al administrador del dominio, el administrador de empresas y las cuentas de administración de la nube es legítimo.
Además, la agencia británica aconseja a las organizaciones que revisen cómo el servicio de asistencia autentica la información de identificación antes de restablecerla, en particular para los empleados con altos privilegios.
La capacidad de identificar conexiones de fuentes inusuales (por ejemplo, servicios VPN de rangos residenciales) también podría ayudar a identificar un ataque potencial.
El correctivo significaba scripts complejos, largas horas y ejercicios interminables de fuego. No más.
En esta nueva guía, los dientes descomponen la forma en que las organizaciones modernas de TI están ganando energía con la automatización. Parche más rápido, reduzca los costos generales y se centre en el trabajo estratégico, no se requiere un guión complejo.