Συλλήψη ύποπτου για παραβιάσεις στο Scattered Spider στις ΗΠΑ

Οι αρχές των ΗΠΑ συνέλαβαν έναν 19χρονο έφηβο που συνδέεται με τη διαβόητη συμμορία εγκλήματος στον κυβερνοχώρο Scattered Spider, ο οποίος τώρα κατηγορείται για παραβίαση ενός αμερικανικού χρηματοπιστωτικού ιδρύματος και δύο άγνωστων εταιρειών τηλεπικοινωνιών.

Η Remington Goy Ogletree (γνωστή και στο διαδίκτυο ως “remi”) παραβίασε τα δίκτυα των τριών εταιρειών χρησιμοποιώντας διαπιστευτήρια που είχαν κλαπεί σε μηνύματα ηλεκτρονικού ψαρέματος κειμένου και φωνής με στόχο τους υπαλλήλους τους.

Υποδύθηκε επίσης τα τμήματα υποστήριξης πληροφορικής των θυμάτων σε κλήσεις που είχαν σκοπό να πιέσουν τους υπαλλήλους να έχουν πρόσβαση σε ιστότοπους ηλεκτρονικού ψαρέματος όπου τους ζητήθηκε να εισάγουν τα ονόματα χρήστη και τους κωδικούς πρόσβασής τους.

Το αμερικανικό χρηματοπιστωτικό ίδρυμα που φέρεται να παραβιάστηκε από τον Ogletree είπε στο FBI ότι περίπου 149 από τους υπαλλήλους του στοχοποιήθηκαν σε μια εκστρατεία phishing (μεταξύ τέλη Οκτωβρίου 2023 και μέσα Νοεμβρίου 2023) που τους ανακατεύθυνε σε σελίδες προορισμού phishing που υποδύονταν την εταιρεία.

Αυτοί οι ιστότοποι ηλεκτρονικού ψαρέματος σχεδιάστηκαν για να ζητούν από τους στοχευόμενους υπαλλήλους να εισαγάγουν τα διαπιστευτήρια που χρησιμοποιούσαν για την πρόσβαση στα συστήματα του χρηματοπιστωτικού ιδρύματος.

«Μια ανασκόπηση των στιγμιότυπων οθόνης των μηνυμάτων ηλεκτρονικού ψαρέματος αποκάλυψε δηλώσεις που είχαν σκοπό να παραπλανήσουν τους υπαλλήλους να παράσχουν τα διαπιστευτήριά τους, συμπεριλαμβανομένων δόλιων μηνυμάτων που διεκδικούν το «πακέτο παροχών εργαζομένων» [was] ενημερώθηκε” και “το πρόγραμμα των εργαζομένων σας έχει τροποποιηθεί”” γράφει η καταγγελία.

“Μερικά από τα μηνύματα ηλεκτρονικού “ψαρέματος” είπαν στους υπαλλήλους ότι είχαν “ένα ερώτημα από το HR” ή ότι “το προφίλ VPN τους ενημερώθηκε”.

Επίσης, από τον Οκτώβριο του 2023 έως τον Μάιο του 2024, ο Ogletree χρησιμοποίησε την πρόσβασή του στα συστήματα των τηλεπικοινωνιών για να στείλει πάνω από 8,6 εκατομμύρια μηνύματα κειμένου ηλεκτρονικού ψαρέματος σε αριθμούς τηλεφώνου σε όλες τις Ηνωμένες Πολιτείες, σχεδιασμένα να βοηθούν στην κλοπή κρυπτονομισμάτων των παραληπτών.

Όπως ανέφερε η Trend Micro τον Οκτώβριο του 2023, ορισμένες από αυτές τις επιθέσεις στόχευαν τους πελάτες των νόμιμων πλατφορμών κρυπτογράφησης Gemini και KuCoin χρησιμοποιώντας τα yourgeminiclaims[.]net και kucoinclaims[.]com τομείς.

​Τον Φεβρουάριο, ενώ έψαχνε στην κατοικία του στο Forth Worth του Τέξας, το FBI βρήκε εκτενείς αποδείξεις για την εγκληματική δραστηριότητα του Ogletree στο iPhone που κατασχέθηκε, συμπεριλαμβανομένων στιγμιότυπων κειμένων ηλεκτρονικού ψαρέματος που υποδύονταν μια εταιρεία τεχνολογίας, στιγμιότυπα οθόνης σελίδων phishing συλλογής διαπιστευτηρίων και στιγμιότυπα οθόνης κρυπτογραφικών πορτοφολιών με δεκάδες χιλιάδες δολάρια σε κρυπτονομίσματα.

Κατά τη διάρκεια της συνέντευξής του στο FBI, ο Ogletree είπε ότι γνώριζε «άτομα που διαπράττουν κάθε είδους εγκλήματα» και «βασικά μέλη του Scattered Spider», προσθέτοντας ότι η ομάδα hacking στοχεύει εταιρείες outsourcing επιχειρηματικών διαδικασιών (BPO) επειδή «έχουν λιγότερη ασφάλεια» από τις εταιρείες στις οποίες εργάζονται.

Προηγούμενες συλλήψεις Scattered Spider

Τον περασμένο μήνα, το Υπουργείο Δικαιοσύνης των ΗΠΑ συνέλαβε και απήγγειλε κατηγορίες σε άλλους πέντε υπόπτους που συνδέονται με τη συμμορία του εγκλήματος στον κυβερνοχώρο που φέρεται να έκλεψε εκατομμύρια σε κρυπτονομίσματα χρησιμοποιώντας επιθέσεις phishing SMS με στόχο δεκάδες στόχους.

Αυτοί οι πέντε ύποπτοι αντιμετωπίζουν κατηγορίες για απάτη μέσω συρμάτων, συνωμοσία για απάτη μέσω συρμάτων και επιβαρυντική κλοπή ταυτότητας, ο καθένας αντιμετωπίζει τουλάχιστον 20 χρόνια φυλάκιση:

• Ahmed Hossam Eldin Elbadawy, 23, γνωστός και ως «AD,» από το College Station του Τέξας.
• Noah Michael Urban, 20, γνωστός και ως “Sosa” και “Elijah”, από το Palm Coast της Φλόριντα.
• Evans Onyeaka Osiebo, 20 ετών, από Dallas, Texas;
• Joel Martin Evans, 25, γνωστός και ως “joeleoli”, από το Jacksonville, στη Βόρεια Καρολίνα.
• Tyler Robert Buchanan, 22 ετών, από το Ηνωμένο Βασίλειο.

Η αστυνομία του Ηνωμένου Βασιλείου συνέλαβε επίσης έναν 17χρονο ύποπτο τον Ιούλιο, ο οποίος πιστεύεται ότι ήταν μέλος της συλλογικότητας hacking Scattered Spider που συμμετείχε στην επίθεση ransomware του MGM Resorts το 2023.

Άλλες επιθέσεις υψηλού προφίλ που συνδέονται με αυτήν την ομάδα hacking περιλαμβάνουν εκείνες στις Caesars, MailChimp, Twilio, DoorDash, Riot Games και Reddit.

Από τις αρχές του 2023, το Scattered Spider έχει επίσης συνεργαστεί με πολλές ρωσικές συμμορίες ransomware, όπως Qilin, BlackCat/AlphV και RansomHub.

Τι είναι το Scattered Spider;

Οι προμηθευτές ασφαλείας παρακολουθούν επίσης τη συμμορία εγκλήματος στον κυβερνοχώρο με οικονομικά κίνητρα Scattered Spider ως 0ktapus, UNC3944Scatter Swine, Octo Tempest και Μπερδεμένος Ζυγός.

Αυτή η ομάδα αγγλόφωνων παραγόντων απειλών, ορισμένοι ηλικίας 16 ετών, έχει ρευστή οργανωτική δομή και επικοινωνεί μέσω των ίδιων καναλιών Telegram, διακομιστών Discord και φόρουμ χάκερ για να συντονίζει και να ενορχηστρώνει διάφορες επιθέσεις.

Ορισμένα από τα μέλη του πιστεύεται επίσης ότι είναι μέρος του “The Com”, μιας άλλης συλλογικότητας hacking που προηγουμένως είχε συνδεθεί με βίαια περιστατικά και επιθέσεις στον κυβερνοχώρο.

Η χαλαρή οργάνωση των ομάδων καθιστά πιο δύσκολο για τις αρχές επιβολής του νόμου να παρακολουθούν την εγκληματική τους δραστηριότητα και να αποδίδουν συγκεκριμένες επιθέσεις σε ένα συγκεκριμένο μέλος συμμορίας.

Το FBI λέει ότι χρησιμοποιούν διάφορες τακτικές για να παραβιάσουν τα εταιρικά δίκτυα, συμπεριλαμβανομένου του phishing, της κοινωνικής μηχανικής, της ανταλλαγής SIM και του βομβαρδισμού πολλαπλών παραγόντων ελέγχου ταυτότητας (MFA) (στοχευμένη κόπωση MFA).