In oktober 2024 onderzocht ReliaQuest een inbraak bij een klant in de productiesector. Een Engelstalig collectief bestaande uit zeker duizend cybercriminelen, genaamd “Scattered Spider”, bleek verantwoordelijk. Dit collectief richt zich op grote organisaties en gebruikt RansomHub-malware om social engineering-aanvallen zoals sim-swapping, swatting, carding en identiteitsfraude uit te voeren voor financieel gewin. Wat is hun werkwijze? En hoe kun je jouw organisatie ertegen beschermen?
Samenwerking met RansomHub
Eerder was Scattered Spider aangesloten bij ransomware-groep ALPHV en verwierven ze bekendheid door aanvallen op meerdere Amerikaanse casino’s. Sinds juni 2024 werkt Scattered Spider samen met RansomHub. RansomHub biedt groepen een aantrekkelijke deal: zo houden zij slechts 10% van de winst, de affiliates krijgen 90%. Een tactiek die zijn vruchten afwerpt, want uit ons Q3 ransomware rapport blijkt dat RansomHub nu de meest gebruikte ransomware is.
Tactieken, technieken en procedures van Scattered Spider
Scattered Spider richtte zich eerder op telecommunicatiebedrijven omdat de focus lag op SIM-swapping activiteiten, waarmee ze accounts over konden nemen. Die focus is nu verschoven naar het afpersen van grote organisaties in samenwerking met ransomware-groepen, omdat ze hier een hoger financieel gewin uit kunnen halen.
Ons onderzoek bracht de tactieken, technieken en procedures (TTP’s) van Scattered Spider aan het licht. Ze gebruiken social engineering voor de eerste toegang en maken hierbij gebruik van hun kennis van de Engelse taal. Zo overtuigde de aanvaller de helpdesk van de organisatie om de accountgegevens van de Chief Financial Officer (CFO) opnieuw in te stellen. Toen de aanvaller ontdekte dat het account van de CFO niet over de benodigde machtigingen beschikte, herhaalde Scattered Spider de social engineering-tactiek om een account van een domeinbeheerder te compromitteren. Nu hadden ze toegang én allerlei privileges en ze creëerden een virtuele machine binnen de ESXi-omgeving, waarbij ze beveiligingstools zoals EDR (Endpoint Detection and Response) omzeilden. Vervolgens zette ze een RansomHub-encryptor in om een belangrijke ESXi-omgeving aan te vallen. Dit alles gebeurde in een tijdspanne van slechts zes uur. Ze hadden ongeveer tien uur lang toegang door de identity- en cloudoplossingen van de organisatie te verlaten en naar hun eigen on-premises omgeving te gaan.
Nieuwe techniek
Daarnaast gebruikte Scattered Spider een nieuwe techniek voor de losgeldbrief. Normaal gesproken laten cybercriminelen een bericht met de naam ‘README’ achter op elke host na een succesvolle versleuteling. Na het versleutelen van hosts en het exfiltreren van gegevens, stuurde Scattered Spider een Microsoft Teams-bericht vanaf het gecompromitteerde domein admin account, met daarin een Onion link voor de losgeld eis.
Praktische tips om dit soort dreigingen te begrijpen, onderzoeken en beperken
Organisaties in alle sectoren kunnen de volgende tips meenemen om hun beveiliging te versterken tegen deze technieken, die waarschijnlijk veel zullen blijven voorkomen. Allereerst: scherm je netwerk af van initial access threats.
- Vermijd SMS-berichten voor MFA. Deze methode is kwetsbaar voor SIM-swapping aanvallen, waarmee tegenstanders eenmalige wachtwoordcodes kunnen onderscheppen en onbevoegde toegang tot accounts kunnen krijgen. Kies voor veiligere MFA-methoden zoals authenticatie-apps of hardwaretokens.
- Beperk social engineering-aanvallen door een robuust verficatieproces. Aanvallers gebruiken vaak openbaar beschikbare informatie of informatie verkregen via een datalek om verificatieprocessen te misleiden. Implementeer dus videogesprekken met ID-verificatie en terugbellen naar geverifieerde telefoonnummers uit het medewerkersregister. Onthoud dat terugbellen niet bestand is tegen SIM-swapping aanvallen.
- Voer social engineering-assessments uit. Focus op het testen van helpdeskbeleid, het trainen van medewerkers in het herkennen van social engineering-aanvallen en op het evalueren van procedures.
- Implementeer beleid voor voorwaardelijke toegang op basis van clients. Een certificaat op de hostmachine die de VPN-verificatie uitvoert, moet een vereiste zijn. Door deze controle is het lastiger voor een aanvaller om zich te verifiëren op het netwerk, zelfs als inloggegevens gecompromitteerd zijn.
- Beperk SharePoint-machtigingen. In dit geval gebruikten de aanvallers het account van de CFO om toegang te krijgen tot gevoelige resources op SharePoint. Deze informatie zouden ze kunnen gebruiken voor toekomstige aanvallen. Beperk daarom de machtigingen van gevoelige bestanden in SharePoint zodat alleen medewerkers die toegang echt nodig hebben erbij kunnen.
Naast het afschermen van het netwerk is het slim om de VMware ESXi-defensie te versterken:
- Zorg ervoor dat virtualisatiesystemen up-to-date zijn. Kwetsbare systemen kunnen worden misbruikt, waardoor aanvallers schadelijke software zoals ransomware kunnen implementeren.
- Implementeer vCenter netwerk toegangscontrole. Maak een toestemmingslijst voor het netwerk met de vCenter Server Appliance Firewall. De toestemmingslijst geeft alleen vertrouwd verkeer toegang tot de VSphere-omgeving, waardoor verkeer afkomstig van een niet-vertrouwde host geen toegang krijgt.
- Implementeer ESXi Smart-Card Authentication. Deze authenticatiecontrole beperkt de toegang tot de ESXi-omgeving, zelfs als de inloggegevens van een beheerder en MFA gecompromitteerd zijn. Ook wordt het vSphere-authenticatieproces vervangen door een smartcard en PIN. Dit voorkomt dat aanvallers een gecompromitteerd geprivilegieerd account gebruiken om ESXi-hosts aan te maken, te wijzigen of uit de lucht te halen.
Een laatste tip: minimaliseer je mean time to contain (MTTC) tijdens de respons op incidenten. Dit is essentieel om een volledige aanval te voorkomen, omdat het de verblijftijd verkort en de aanval stopt voordat er verdere schade kan optreden.
Door Hayden Evans, Cyber Threat Intelligence Analyst, ReliaQuest