Wat is Scattered Spider?
“Scattered Spider, ook bekend als Octo Tempest of Muddled Libra, is een geavanceerde cybercrime groepering. Hoewel ze bekend staan om ransomware-aanvallen waarbij ze gegevens versleutelen en losgeld eisen, opereren ze steeds vaker als initial access broker. Dat houdt in dat ze organisaties binnendringen en de toegang tot bedrijfsnetwerken vervolgens verkopen of doorgeven aan andere dreigingsactoren. Deze werkwijze onderstreept het steeds complexer wordende cybercrime-ecosysteem. Groepen wisselen hun expertise en diensten uit via fora en platformen, en werken dus steeds vaker samen.”
Uit jullie Scattered Spider Update blijkt dat de groep sluwe tactieken heeft. Hoe gaan deze criminelen te werk?
“Het zijn ware psychologie-experts en gebruiken social engineering om mensen te misleiden. Via e-mail phishing en inmiddels ook voice phishing bemachtigen ze wachtwoorden en multi-factor authenticatie-codes. Maar voordat ze aanvallen, doen ze een uitgebreide verkenning. Ze brengen werknemers, IT-dienstverleners en hun rollen binnen een organisatie gedetailleerd in kaart.”
“Die verkenning gaat veel verder dan het opstellen van professionele profielen. Ze duiken ook in persoonlijke levens om zoveel mogelijk informatie te verzamelen voor misbruik. Vervolgens doen ze zich voor als bijvoorbeeld een werknemer van een bedrijf die de helpdesk belt met een acuut verzoek om hun wachtwoord of multi factor authenticatie (MFA) te resetten. Ze weten als geen ander hoe ze vertrouwen moeten winnen en iemand onder druk kunnen zetten zodat diegene gevoelige informatie deelt. De uitgebreide voorbereiding maakt hun social engineering-tactiek effectief en moeilijk te detecteren.”
Scattered Spider Update
Dillon Ashmore onderzoekt de werkwijze van cybercriminelen. Wie zijn ze? En wat zijn hun tactieken en patronen? Daarmee helpt hij collega’s en klanten bij een adequate verdediging. Hij werkte mee aan de recent gepubliceerde Scattered Spider Update van Fox-IT en NCC Group. Na publicatie heeft het Centrum Bestrijding Verzekeringscriminaliteit (CBV) van het Verbond de update direct gedeeld met alle leden van de i-CERT Community.
De Google Threat Intelligence Group gaf onlangs een waarschuwing af na meerdere incidenten bij Amerikaanse verzekeraars die lijken op Scattered Spider-activiteiten. Waarom is de verzekeringssector nu het doelwit?
“Ze werken heel gericht. Eerder waren retailers doelwit. En nu bestoken ze vliegmaatschappijen en verzekeraars. De reden voor de luchtvaart is simpel. Het is hoogseizoen en dat betekent een hoge werkdruk voor onder andere de helpdesk. Verzekeraars zijn interessant omdat ze grote hoeveelheden persoonlijke data bewaren. Daarnaast neemt de adoptie van clouddiensten en AI toe. En is er vaak sprake van een complex IT-landschap met verschillende IT-leveranciers. Die combinatie maakt verzekeraars aantrekkelijk.”
Ashmore vervolgt: “En het feit dat deze groep bestaat uit Engelstaligen die zijn gevestigd in Westerse landen, neemt niet weg dat Nederlandse verzekeraars zich geen zorgen hoeven maken. Met AI is een Nederlandse e-mail zo geschreven. Ook schuwen ze het gebruik van deep fakes op basis van opnames van bijvoorbeeld directieleden niet. De ontwikkelingen gaan razendsnel en zij maken daar dankbaar gebruik van. Kostte het binnendringen van een bedrijf eerst een paar dagen? Nu soms minder dan 24 uur.”
Waar moeten security-specialisten van verzekeraars op letten?
“Evalueer het verificatie- en toegangsbeleid. Wat is het beleid? En is dat voldoende? Let daarbij goed op gebruikers met speciale rechten als admins en helpdeskmedewerkers. Zet bij hen in op dynamic conditional access policies met meerdere beveiligingslagen. Zo zagen we recent dat Scattered Spider een helpdeskmedewerker belt en zich voordoet als collega. Door social enigneering overtuigen ze de helpdesk om een wachtwoord te resetten of een MFA-code opnieuw te versturen. In zo’n geval is het belangrijk om een twee personen-regel te implementeren waarbij de helpdeskmedewerker de betreffende collega terugbelt. Of hanteer een extra verificatie via een teammanager. Dat is meer werk. Maar als je het niet doet, kan dat leiden tot een succesvolle ransomware-aanval.”
Tot slot; jullie stellen dat alle medewerkers verantwoordelijk zijn voor het buiten de deur houden van cybercriminelen. Hoe kunnen bedrijven die bewustwording intern vergroten?
“Omdat de tactieken van cybercriminelen zo snel veranderen, is een uitleg of waarschuwing tijdens een onboarding niet genoeg. Organiseer regelmatig awareness trainingen voor alle medewerkers. De dreiging van vandaag is namelijk niet hetzelfde als die van over 6 maanden of een jaar. Leg uit wat social engineering is, hoe informatie wordt misbruikt en hoe medewerkers ermee te maken kunnen krijgen. En ja, iedereen kan bijdragen aan het veilig houden van de digitale omgeving. Van directielid en salesmanager tot helpdeskmedewerker. Door social engineering te snappen en aanvallen te herkennen, versterk je samen de verdediging.”
Het Centrum Bestrijding Verzekeringscriminaliteit helpt verzekeraars bij het aanpakken en voorkomen van verzekeringscriminaliteit.
Over het CBV