Directoratul Național de Securitate Cibernetică (DNSC) avertizează cu privire la activitățile recente ale grupării Scattered Spider, cunoscută pentru atacuri sofisticate asupra infrastructurilor critice și a organizațiilor din sectorul public și privat.
Gruparea utilizează tactici avansate de inginerie socială, exploatează relațiile cu furnizorii IT și urmărește obținerea accesului la date sensibile, inclusiv prin acțiuni de tip ransomware.
Prin această informare, DNSC își propune să sprijine eforturile de prevenire și să contribuie la dezvoltarea unei culturi organizaționale orientate spre reziliență digitală și conștientizare continuă.
Recomandări esențiale pentru reducerea riscurilor:
- Asigurați menținerea unor copii de siguranță (backup-uri) offline, stocate fizic separat de sistemele sursă și testate periodic pentru a garanta integritatea și capacitatea de restaurare în caz de incident cibernetic;
- Activați și aplicați autentificarea multifactorială (MFA) rezistentă la phishing, utilizând metode avansate (ex. chei de securitate hardware sau autentificare bazată pe certificate), în special pentru conturile privilegiate și accesul la resurse critice;
- Implementați politici stricte de control al aplicațiilor (application control), pentru a gestiona, valida și restricționa rularea software-ului doar la nivelul aplicațiilor aprobate, reducând astfel suprafața de atac.
Ce este scattered spider?
Scattered Spider este o grupare cibernetică cu activitate confirmată la nivel internațional, implicată în atacuri care vizează companii de mari dimensiuni, în special prin exploatarea relațiilor cu furnizorii de servicii IT externalizate.
Activitatea acestei grupări este caracterizată de o capacitate ridicată de adaptare și de modificare constantă a tacticilor, tehnicilor și procedurilor (TTP), în scopul evitării detecției și maximizării impactului operațional.
Actorii acestei amenințări utilizează o gamă largă de tehnici de inginerie socială – precum „push bombing” (bombardament MFA) – și atacuri de tip SIM swap, pentru a obține credențiale, a instala instrumente de acces de la distanță sau a ocoli mecanismele de autentificare multifactorială (MFA).
Conform rapoartelor publice, tacticile folosite de gruparea Scattered Spider includ:
- Asumarea identității personalului IT sau a echipelor de tip helpdeskale companiei, prin apeluri telefonice sau mesaje SMS, pentru a obține credențiale de acces de la angajați și a accesa rețelele interne;
- Instrucțiuni false către angajați, sub pretextul suportului IT, de a rula aplicații comerciale de acces de la distanță, ceea ce permite atacatorilor să obțină acces inițial în sistemele organizației;
- Obținerea codurilor MFA(OTP) de unică folosință, convingând angajații să le divulge sau cerând departamentelor IT să reseteze parolele și să redirecționeze autentificarea multifactorială către dispozitivele controlate de atacatori;
- Exploatarea notificărilor excesive de autentificare (MFA fatigue), prin trimiterea repetată a notificărilor de autentificare, determinând utilizatorii să accepte solicitările;
- Atacuri de tip SIM swap, prin care conving operatorii de telefonie să transfere numărul de telefon al victimei pe o cartelă SIM controlată de atacatori, obținând astfel acces la notificările MFA;
- Monetizarea accesului în rețelele compromiseprin furt de date și campanii de extorcare, adesea în combinație cu atacuri de tip ransomware.
Organizațiile sunt încurajate să-și revizuiască periodic măsurile de securitate și să colaboreze activ cu partenerii relevanți pentru a preveni, detecta și răspunde eficient la astfel de amenințări.
