Название взято прямо из видеоигры, но “Octo Tempest” – серьезная и зарождающаяся угроза, которая примечательна тем, что, по-видимому, базируется в США или ЕС и ей удается наладить связи в основном с российскими поставщиками программ-вымогателей, которые ранее отказывались работать с киберпреступниками из англоязычных стран.
Microsoft документирует эту группу, которую другие службы безопасности ранее называли “0ktapus” или “Рассеянный паук”, в новом отчете, в котором освещаются ее известные методы и инструменты. Киберпреступники получили свое имя благодаря масштабной кампании социальной инженерии против логинов Okta, но также несут ответственность за недавние взломы Caesars и MGM, а также за забастовки в 2022 году против Mailchimp и Twilio.
Киберпреступники, говорящие на английском языке, лидируют благодаря изощренной атаке на службы поддержки
Миллионы и миллионы долларов, текущие через экосистему программ-вымогателей в последние годы, несомненно, привлекли внимание потенциальных западных киберпреступников, но существовали некоторые традиционные барьеры, которые не позволяют никому, кроме относительно небольшой группы, прорваться. One – это инструмент-вымогатель, в экосистеме которого почти полностью доминируют россияне, что, как правило, замораживает англоговорящие страны. Другая угроза – это действия правоохранительных органов; Российские группы угроз действуют безнаказанно, потому что правительству в основном все равно, пока они оставляют в покое внутренние цели, в то время как США и страны ЕС будут настойчиво следить за всеми видами незаконного взлома (и самые прибыльные цели находятся в пределах их юрисдикции).
Octo Tempest – это новая порода киберпреступников, которые не только не заботятся о внутренних правоохранительных органах, но и, похоже, смогли наладить отношения с российскими группами. Группа использует свободное владение английским языком, понимание корпоративной культуры и структуры целей, придумывая для себя убедительные роли, с помощью которых можно обмануть сотрудников при телефонных звонках.- Реклама –
Впервые за деятельностью группы было замечено в 2022 году, и этим летом она постепенно перешла от кражи данных к вымогательству, а теперь и к программ-вымогателей (став филиалом ALPHV / BlackCat group). Это полностью финансово мотивировано и почти всегда заканчивается либо фишинговым электронным письмом / сообщением, либо вызовом социальной инженерии. Он также нацелен на атаки по обмену SIM-картами, и фактически это была первая серия действий, предпринятых им в начале 2022 года, которые привлекли внимание исследователей безопасности (сначала он выступал в качестве посредника по передаче украденных телефонных номеров с SIM-картами другим киберпреступникам, а также нацеливался на номера, которые, как известно, содержат криптокошельки для рейдов).
Считается, что группа начала нападать на крупные организации и заниматься вымогательством данных в конце 2022 года, тогда как ранее (например, при атаке MailChimp) она либо сама использовала украденные логины, либо тайно продавала украденную информацию частным покупателям. Киберпреступники, очевидно, решили, что это самый прибыльный путь продвижения вперед, став филиалом BlackCat в середине 2023 года, как раз перед новостными атаками на MGM и Caesars.
Теперь Microsoft называет эту группу одной из крупнейших угроз для финансовых преступлений в мире, отмечая, что она использует передовые возможности, которыми не обладают большинство подобных групп (такие как передовые навыки социальной инженерии, подмена SIM-карт и методы фишинга SMS).
Келли Гюнтер, старший менеджер и киберугроз исследований в критическом, излагаются некоторые мысли о защите конкретных активов, их больше всего интересует: “на страже против октябристов буря финансовых занятия включает в себя ряд упреждающих и ответных мер. Например, криптовалюты следует хранить в офлайн-кошельках, чтобы свести к минимуму воздействие в Интернете. Постоянные обновления системы и решения против вымогателей могут помешать большинству программ-вымогателей. Расширенный мониторинг сети позволяет обнаруживать аномальные потоки данных, указывающие на потенциальные попытки утечки данных. В случае взломов или атак разработанная стратегия реагирования на инциденты может направлять немедленные действия. Совместный обмен информацией об угрозах с коллегами по отрасли также может держать организации в курсе возникающих угроз и контрмер.
Octo Tempest – аномалия или будущее киберпреступников?
Octo Tempest в первую очередь нацелен на сотрудников службы поддержки, будь то с помощью поддельного запроса на вход в Okta или телефонного звонка, выдаваемого за какого-либо другого сотрудника организации, нуждающегося в ИТ-поддержке. Киберпреступники проводят множество исследований, чтобы понять внутреннюю структуру и жаргон компании, и иногда притворяются новичками, чтобы скрыть возникшую путаницу. Первоначально они могут проникать фишингом с учетными данными сотрудников более низкого уровня, чтобы получить общую внутреннюю информацию, такую как политики удаленного доступа и шаги по адаптации сотрудников, а затем использовать это в своих более целенаправленных атаках социальной инженерии на учетные записи уровня администратора.- Реклама –
Злоумышленники также гибки в своих методах социальной инженерии, применяя разные подходы для разных целей. Однако в нескольких других случаях они также использовали альтернативные тактики. По крайней мере, однажды он просто купил рабочий набор учетных данных сотрудника у других киберпреступников, чтобы проникнуть в систему, а также просто пытался угрожать сотруднику (посредством текстовых сообщений), чтобы тот отказался от своего логина.
Оказавшись внутри, группа настраивает правила почтовых ящиков сотрудников службы безопасности для автоматического удаления любых электронных писем от поставщиков, которые могут предупреждать о вторжении. И хотя группа не известна использованием уязвимостей или каким-либо необычным взломом, чтобы проникнуть на первый план, как только она получает доступ, она развертывает широкий спектр инструментов с открытым исходным кодом для поиска по сетям учетных данных и файлов, представляющих интерес, добивается устойчивости путем подделки и объединения новых доменов, а также внедряет обратные оболочки для поддержания доступа к конечным точкам. Одним из уникальных методов является эксфильтрация украденных данных, поскольку компания использует конвейеры фабрики данных Azure для перемещения файлов на подконтрольные ей серверы SFTP (в попытке избежать срабатывания автоматических средств защиты).
Киберпреступники могут атаковать как среды Windows, так и Unix / Linux и, как известно, оттачивают навыки на серверах VMware ESXi с тех пор, как начали использовать программу-вымогатель, что и вызвало общий хаос в MGM properties. Неясно, как хакеры одержали победу над группой ALPHV, но вполне может быть, что демонстрация достаточно больших возможностей (и готовности переступать границы дозволенного) теперь заставит группы “программы-вымогатели как услуга” рассматривать людей, которых они ранее исключили бы.
В отчете Microsoft содержится множество советов по поиску Octo Tempest в средах и блокировке от них. Роджер Граймс, евангелист по защите данных в KnowBe4, добавляет: “Это примеры очень сложных атак по всему спектру возможных атак и мотивов. Каждая организация должна разработать свой наилучший план защиты от киберзащиты, используя наилучшее сочетание политик, технических средств защиты и обучения, чтобы наилучшим образом снизить риск подобных атак. Методы и изощренность этих атак должны быть доведены до сведения сотрудников. Им нужно много примеров. Сотрудники должны уметь распознавать различные методы кибератак и быть обучены тому, как их распознавать, смягчать и надлежащим образом сообщать о них. Мы знаем, что от 50% до 90% используют социальную инженерию и от 20% до 40% – не исправленное программное обеспечение и прошивку, поэтому, что бы организация ни могла предпринять для наилучшего противодействия этим двум методам атаки, с них, скорее всего, и следует начинать ”.
Мелисса Бишопинг (Melissa Bischoping), директор по исследованиям безопасности конечных точек в Tanium, добавляет, что группа приводит веские доводы в пользу внедрения zero trust: “Вы всегда должны оценивать, как ваши инструменты и решения для обеспечения безопасности могут дополнять друг друга и способствовать вашей стратегии углубленной защиты. Следите за аномальными объемами доступа к данным на диске или большими объемами данных, перемещаемых во внешнее место назначения. Помните, что злоумышленники могут использовать сервисы, которые имеют “законное” деловое назначение, такие как службы обмена файлами, решения удаленного доступа или платформы для совместной работы. Если вы видите, что использование этих технологий в вашей среде не соответствует ожидаемому поведению пользователя, стоит провести расследование. Построение базовых моделей поведения и трафика является сложной задачей, но такая наглядность и понимание значительно улучшат ваш контекст при попытке эксфильтрации ”.
“Если вы еще не оценили, как перейти к архитектуре нулевого доверия в вашей организации, сейчас самое время! Дополнительные и текущие меры защиты и проверки, особенно в отношении ваших наиболее конфиденциальных данных, должны быть приоритетом для каждой команды по безопасности и технологиям. При проведении мероприятий по реагированию на инциденты и планировании следует тщательно учитывать объем доступа, который могут иметь учетные записи пользователей, и то, как вы можете ограничить этот доступ или развернуть дополнительные средства контроля, чтобы задержать или исключить расширенный доступ злоумышленника ”, – добавил Бишопинг.