Įsilaužėliai, susiję su „išsklaidytu voro“ taktika, išplėtė savo taikymą į aviacijos ir transporto pramonę po to
Šie grėsmės veikėjai taikė sektoriaus požiūrį į sektorių, iš pradžių nukreipiančias mažmeninės prekybos įmones, tokias kaip „M&S“ ir „Co-op“, Jungtinėje Karalystėje ir JAV, o vėliau nukreipdami dėmesį į draudimo bendroves.
Nors grėsmės veikėjai iš pradžių nebuvo oficialiai įvardyti kaip atsakingi už draudimo sektoriaus išpuolius, naujausi įvykiai paveikė AFLAC, Erie Insurance ir Filadelfijos draudimo bendroves.
Įsilaužėliai nukreipti į aviacijos pramonę
Birželio 12 d. Antroje pagal dydį Kanados oro linijų bendrovė „Westjet“ patyrė kibernetinį išpuolį, kuris trumpai sutrikdė įmonės vidines paslaugas ir programą mobiliesiems.
Netrukus po pažeidimo šaltiniai „Bleepingcomputer“ teigė, kad „Palo Alto Networks“ ir „Microsoft“ padeda reaguoti į išpuolį.
Išpuolis buvo priskirtas „Scatter Spider“, kuris tariamai pakenkė bendrovės duomenų centruose ir jos „Microsoft Cloud“ aplinkai.
„BleepingComputer“ buvo informuotas, kad grėsmės aktorius įgijo prieigą atlikdamas darbuotojo savitarnos slaptažodį, kuris leido jiems užregistruoti savo URM ir gauti nuotolinę prieigą prie tinklo per „Citrix“.
Nors kiti grėsmės veikėjai vykdo tapatybės išpuolius, išsibarstęs voras tapo susijęs su šia taktika dėl reguliaraus pagalbos dėl pagalbos stalų ir slaptažodžio bei MFA infrastruktūros.
Šiandien Havajų oro linijos taip pat atskleidė, kad patyrė kibernetinį išpuolį, tačiau nepateikė jokios informacijos, kuri galėtų parodyti, kas buvo už išpuolio. Tačiau šaltinis „Bleepingcomputer“ teigė, kad manoma, jog tie patys grėsmės veikėjai yra atsakingi.
„Palo Alto Networks“ „Sam Rubin“, konsultacijų ir grėsmės žvalgybos SVP, dabar „LinkedIn“ patvirtino, kad išsibarstęs voras pradėjo nukreipti į aviacijos pramonę.
„42 skyrius pastebėjo sumišusią Svarstyklę (dar vadinamą išsklaidytu voru), nukreiptą į aviacijos pramonę“, – perspėjo Rubinas.
„Organizacijos turėtų būti labai budrūs dėl sudėtingų ir tikslinių socialinių inžinerinių atakų ir įtartinų MFA atstatymo užklausų.”
Mandiantas Charlesas Carmakalas taip pat perspėjo, kad grėsmės veikėjai dabar pakeitė savo dėmesį tiek į aviacijos, tiek transporto sektorius.
„Įspėjimas:„ Scatter Spider “įtraukė„ North American Airline “ir transporto organizacijas į savo tikslinį sąrašą“, – „Carmakal“ paskelbė „LinkedIn“.
„Mandiant („ Google Cloud “dalis) žino apie daugybę incidentų oro linijų ir transporto sektoriuje, primenančiame UNC3944 ar išsklaidyto voro operacijas.
„Mes rekomenduojame pramonei nedelsdami imtis priemonių, kad sugriežtintų savo pagalbos tarnybos tapatybės patikrinimo procesus, prieš pridedant naujus telefono numerius prie darbuotojo/rangovo sąskaitų (kurias grėsmės aktorius gali naudoti savitarnos slaptažodžių atstatymui atlikti), iš naujo nustatyti slaptažodžius, pridėti įrenginius į MFA sprendimus arba pateikti informaciją darbuotojams (pvz.
Šiuo metu „American Airlines“ taip pat kenčia nuo IT nutraukimo, tačiau neaišku, ar tai yra saugumo incidentas. „Bleepingcomputer“ susisiekė su oro linijomis, tačiau negavo atsakymo.
Kas yra išsibarstęs voras
Išsklaidytas voras, dar žinomas kaip 0ktapus, žvaigždė, UNC3944, „Scatter“ kiaulės, Octo Tempest ir sumušta Svarstyklės, yra grėsmės veikėjų, kurie yra įgudę naudoti socialines inžinerijos išpuolius, sukčiavimu, sukčiavimu, daugiafaktorui, įgyjant pradinę tinklą didelėms organizacijoms.
Šie grėsmės aktoriai apima jaunus angliškai kalbančius žmones, turinčius įvairių įgūdžių rinkinių, kurie dažnai lankosi tie patys įsilaužėlių forumai, telegramų kanalai ir nesantaikos serveriai. Tada šios terpės naudojamos išpuoliams planuoti ir vykdyti realiuoju laiku.
Manoma, kad kai kurie yra „com“ – laisvos grėsmės veikėjų bendruomenė, žinoma dėl finansinio sukčiavimo, kriptovaliutų vagysčių, duomenų pažeidimų ir turto prievartavimo atakų.
Nors išsklaidytas voras paprastai vadinamas darnia gauja, ji iš tikrųjų naudojama žymėti grėsmės veikėjus, kurie naudojasi konkrečia taktika vykdant išpuolius. Kadangi išpuoliai, susiję su išsklaidyta vorų taktika, taip pat dažniausiai naudoja skirtingų asmenų iš laisvų grėsmių aktorių tinklo, todėl sunku juos sekti.
Skirtingai nuo daugelio kitų anglakalbių grėsmės veikėjų, buvo žinoma, kad tie, kurie buvo susiję su „išsibarsčiusiam voras“, bendradarbiauja su rusų kalbančiomis ransomware gaujomis, tokiomis kaip „Blackcat“, „Ransomhub“, „Qilin“ ir „Dragonforce“.
Kiti su išsibarsčiusiais voras susijusios išpuoliai yra tie, kurie yra „MGM“, „Marks & Spencer“, „Co-op“, „Twilio“, „Coinbase“, „Doordash“, „Caesars“, „Mailchimp“, „Riot Games“ ir „Reddit“.
Organizacijos, ginančios nuo tokio tipo grėsmės veikėjų, turėtų pradėti nuo visiško matomumo visoje infrastruktūroje, tapatybės sistemose ir kritinėje valdymo paslaugose.
Tai apima savitarnos slaptažodžių iš naujo nustatymo platformų ir pagalbinių stalų apsaugą, bendrus šių grėsmės veikėjų taikinius.
Tiek „Google“ grėsmės žvalgybos grupė (GTIG), tiek „Palo Alto Networks“ išleido vadovus apie grūdinimo gynybą nuo žinomos „išsibarsčiusios voro“ taktikos, kurią naudoja šie grėsmės veikėjai.
Visiems administratoriams patariama susipažinti su šiais patarimais ir sukietėti savo tapatybės platformas bei procesus.
Atnaujinimas 6/27/25: pridūrė, kad „American Airlines“ šiuo metu kenčia nuo IT nutraukimo.
Pataisymas reiškė sudėtingus scenarijus, ilgas valandas ir nesibaigiančius gaisro grąžtus. Nebe.
Šiame naujame vadove „Tines“ suskaido, kaip modernūs IT orgai yra lygūs automatizavimui. Greičiau pataisykite, sumažinkite pridėtines išlaidas ir sutelkite dėmesį į strateginį darbą – nereikia jokių sudėtingų scenarijų.
