Departament Sprawiedliwości Stanów Zjednoczonych (DoJ) ujawnił wczoraj zarzuty karne postawione pięciu osobom, w tym 22-letniemu obywatelowi Wielkiej Brytanii nazwiskiem Tyler Robert Buchanan, w związku z ich rzekomym udziałem w Cyberataki rozproszonego pająka.
Podczas szaleństwa przestępczego gang wykorzystywał techniki socjotechniki, aby oszukać swoje ofiary, aby podały ważne dane uwierzytelniające, często odnoszące się do punktów pomocy technicznej IT. Najbardziej znany jest atak na dwa filary przemysłu rozrywkowego w Las Vegas: Caesars Entertainment i MGM Resorts.
Buchanana, aresztowany w czerwcu 2024 r. w Hiszpaniizostaje oskarżony o spisek mający na celu oszustwo drogą elektroniczną, spisek, oszustwo drogą elektroniczną i kwalifikowaną kradzież tożsamości. Władze wykazywały go już na radarze po nalocie na jego dom w Szkocji w 2023 r., podczas którego policja znalazła dowody wskazujące, iż jest on kluczowym członkiem gangu.
Wymienieni czterej obywatele USA to: Ahmed Hossam Edin Elbadaway, znany również jako AD, lat 23; Noah Michael Urban, vel Sosa i Elijah, lat 20; Evans Onyeaka Osiebo, lat 20; i Joel Martin Evans, znany również jako joeleoli, lat 25.
Evans został aresztowany we wtorek 19 listopada w Karolinie Północnej, natomiast Urban, który został aresztowany w osobnej sprawie na początku tego roku, również przebywa w areszcie.
Łącznie mężczyźni zostali oskarżeni o jeden przypadek spisku mającego na celu popełnienie oszustwa drogą elektroniczną, jeden przypadek spisku i jeden przypadek kwalifikowanej kradzieży tożsamości.
„Zarzucamy, iż ta grupa cyberprzestępców przeprowadziła wyrafinowany plan kradzieży własności intelektualnej i informacji zastrzeżonych o wartości dziesiątek milionów dolarów oraz danych osobowych należących do setek tysięcy osób” – powiedział amerykański prawnik Martin Estrada.
„Jak pokazuje ten przypadek, phishing i hakowanie stają się coraz bardziej wyrafinowane i mogą skutkować ogromnymi stratami. jeżeli coś w otrzymanym SMS-ie, e-mailu lub przeglądanej witrynie wydaje się nieprawidłowe, prawdopodobnie tak jest.”
Akil Davis, zastępca dyrektora odpowiedzialny za biuro terenowe FBI w Los Angeles, dodał: „Oskarżeni rzekomo żerowali na niczego niepodejrzewających ofiarach w tym schemacie phishingowym i wykorzystywali ich dane osobowe jako bramę do kradzieży milionów z ich kont kryptowalutowych.
„Tego rodzaju oszukańcze oferty są wszechobecne i jednym kliknięciem myszki okradają amerykańskie ofiary z ich ciężko zarobionych pieniędzy. Jestem dumny z naszych znakomitych cyberagentów, których praca doprowadziła do zidentyfikowania rzekomych intrygantów, którym w przypadku skazania grozi wysoka kara więzienia”.
Każdemu oskarżonemu grozi ustawowa maksymalna kara więzienia wynosząca 27 lat, natomiast Buchananowi grozi dodatkowe 20 lat więzienia za oszustwa drogą elektroniczną.
Wewnątrz rozproszonego pająka
Dokumenty odtajnione w tym tygodniu ujawniają szeroko zakrojoną kampanię szkodliwej aktywności począwszy od końca 2021 r. i kończąc na 2023 r., chociaż gang przez cały czas działał według zmienionego podręcznika do niedawna.
Oskarżeni są oskarżeni o przeprowadzanie szeroko zakrojonych ataków phishingowych z wykorzystaniem masowych wiadomości SMS wysyłanych do pracowników docelowych ofiar, rzekomo pochodzących od firmy będącej ofiarą lub zakontraktowanego dostawcy usług IT – często Okty, którą gang również bezlitośnie ofiarąi przez jakiś czas tak było również oznaczony jako 0ktapus.
Często w tych wiadomościach SMS znajdowała się informacja, iż konto pracownika niedługo zostanie zablokowane lub dezaktywowane, i „w wygodny sposób” zawierały link umożliwiający rozwiązanie tej sytuacji. Naturalnie link ten w rzeczywistości prowadził do fałszywej witryny internetowej, na której nieświadome ofiary z łatwością wprowadzały swoje dane logowania, a wiele z nich uwierzytelniało także swoją tożsamość dzięki uwierzytelniania wieloczynnikowego (MFA).
Dzięki zdobytym poświadczeniom Scattered Spider był w stanie uzyskać dostęp do kont pracowników firm będących ofiarami, a stamtąd uzyskać głębszy dostęp do systemów informatycznych ofiar, kradnąc poufne dane i dane osobowe.
Czasami gang używał także systemu ransomware na swoich ofiarach, działając jako podmiot stowarzyszony z operacją ALPHV/BlackCat.
Władze uważają, iż Scattered Spider często wykorzystywał uzyskane dane do uzyskania nieautoryzowanego dostępu do licznych kont i portfeli kryptowalutowych i mógł ukraść wirtualną walutę o wartości milionów dolarów.
Scattered Spider był szczególnie skuteczny wobec ofiar w Wielkiej Brytanii i USA, ponieważ jego głównymi członkami byli rodzimi użytkownicy języka angielskiego. Dzięki temu mogli wydawać się bardziej przekonujący w przekazach i interakcjach – w porównaniu z osobami rosyjskojęzycznymi, których często można zdemaskować dzięki różne dziwactwa językowew szczególności niewłaściwe użycie lub pominięcie przedimka określonego w mowie po angielsku.
Gang był również znany z groźby odwetu w świecie rzeczywistym wobec ofiar, które nie przestrzegają zasad, a ludzie zgłaszali, iż powiedziano im, iż stracą pracę lub spotkają się z brutalną zemstą na nich samych i swoich rodzinach.
„Zamiast używać zwykłego phishingu za pośrednictwem poczty e-mail, napastnicy poszli o krok dalej, aby uczynić swój atak bardziej przekonującym” – powiedział William Wright, dyrektor generalny szkockiej firmy Bezpieczeństwo zamkniętych drzwi.
„Śledzili pracownika na LinkedIn, a następnie skontaktowali się z pracownikiem pomocy technicznej IT, prosząc o zresetowanie hasła. Po zabezpieczeniu nowego hasła przeprowadzili atak zmęczeniowy MFA, który wystarczył, aby zapewnić im dostęp do systemu. Pojedynczy atak był wysoce ukierunkowany, ale jego skutki były ogromne.
„Atak uwydatnił, iż jeżeli chodzi o inżynierię społeczną, przestępcy mają wiele asów w rękawie. Aby przeciwdziałać tym zagrożeniom, organizacje muszą przeprowadzać testy bezpieczeństwa w swoich sieciach, aby zidentyfikować słabe punkty zarówno wśród pracowników, jak i w architekturze cyfrowej” – powiedział.
Konsekwencje
„Te osoby i inne podmioty, z którymi współpracowały, spowodowały wiele bólu i szkód finansowych organizacjom… poprzez swoje destrukcyjne włamania” – powiedział Charles Carmakal, dyrektor ds. technologii w firmie należącej do Google Cloud Mandant.
„To miłe zwycięstwo organów ścigania, które z biegiem czasu znacznie utrudniło szybkie tempo pracy grupy w tym roku. Mamy nadzieję, iż wysyła to sygnał do innych podmiotów, z którymi współpracują, iż nie są odporni na konsekwencje”.
English (US) · 
Polish (PL) · 
Russian (RU) ·