A Mandiant, de propriedade do Google, afirma que o ator de ameaça com motivação financeira responsável pelo recente Hack do MGM Resorts vem ampliando suas metas, bem como suas estratégias de monetização.
Rastreado como UNC3944 e também conhecido como 0ktapus, Scatter Swine e Scattered Spider, o grupo de hackers tem como alvo pelo menos 100 organizações, principalmente nos Estados Unidos e no Canadá. O grupo normalmente se envolve em campanhas de phishing por SMS (smishing), mas vem ampliando suas habilidades e seu arsenal de ferramentas e espera-se que comece a atingir mais setores.
A Mandiant também percebeu que o grupo mudou para a implantação de ransomware em meados de 2023, o que pode ser altamente lucrativo. Em alguns ataques, eles foram vistos usando o ransomware ALPHV (BlackCat), mas a Mandiant acredita que eles também poderiam usar outro ransomware e podem “incorporar estratégias de monetização adicionais para maximizar seus lucros no futuro”.
O ator da ameaça está ativo desde o final de 2021, normalmente empregando smishing para obter credenciais válidas de funcionários e entrando em contato com o suporte técnico da organização vítima para obter códigos de autenticação multifator (MFA) ou redefinir senhas de contas, fazendo-se passar pelos funcionários visados.
Durante essas chamadas, o grupo de hackers foi observado fornecendo vários tipos de informações de verificação solicitadas pelo suporte técnico, incluindo informações de identificação pessoal (PII), ID do funcionário e nome de usuário.
O UNC3944 usa páginas de phishing de aparência legítima que frequentemente usam service desk ou iscas de logon único (SSO), provavelmente aproveitando informações coletadas usando o acesso existente à rede da vítima para tornar o phishing mais confiável.
Desde 2021, o grupo usou pelo menos três kits de phishing, incluindo EightBait (que pode implantar AnyDesk nos sistemas das vítimas) e dois kits de phishing construídos usando a página da web de uma organização visada, com poucas alterações de código entre eles.
Além de smishing e engenharia social, o grupo também foi observado usando uma ferramenta de coleta de credenciais, pesquisando minuciosamente os sistemas internos da vítima para identificar informações de login válidas, usando ferramentas disponíveis publicamente para coletar credenciais de repositórios internos do GitHub e a ferramenta de código aberto MicroBurst. para identificar credenciais e segredos do Azure.
De acordo com Mandiant, UNC3944 também parece estar usando ladrões de informações para coletar credenciais, incluindo Ultraknot (também conhecido como ladrão de Meduza), Vidar e Atomic.
“Uma marca comum das invasões UNC3944 tem sido o direcionamento criativo, persistente e cada vez mais eficaz dos recursos de nuvem das vítimas. Essa estratégia permite que os atores da ameaça estabeleçam uma base para suas operações posteriores, realizem reconhecimento de rede e diretório e acessem muitos sistemas confidenciais e armazenamentos de dados”, afirma Mandiant.
A Mandiant também observou o UNC3944 abusando de ambientes Microsoft Entra para acessar recursos restritos, criando máquinas virtuais para acesso não monitorado, abusando do Azure Data Factory para roubar dados e aproveitando o acesso aos ambientes de nuvem das vítimas para hospedar ferramentas maliciosas e mover-se lateralmente.
“UNC3944 é uma ameaça em evolução que continuou a ampliar as suas competências e táticas para diversificar com sucesso as suas estratégias de monetização. Esperamos que esses atores de ameaças continuem a melhorar suas habilidades comerciais ao longo do tempo e possam aproveitar as comunidades subterrâneas para obter apoio para aumentar a eficácia de suas operações”, observa Mandiant.