Group-IB tarafından 7 Haziran'da yayınlanan bir analiz, Scattered Spider olarak bilinen siber suç faaliyetinin aslında tek ve organize bir grup tarafından değil, bağımsız kümelerden oluşan merkezi olmayan bir kolektif tarafından yürütüldüğünü ortaya koyuyor. Bu bulgu, daha önce bu faaliyetleri koordineli tek bir operasyon olarak gören geleneksel görüşe meydan okuyor. Analize göre, farklı aktörler aynı taktikleri, araçları ve toplulukları paylaşırken birbirlerinden ayrı olarak hareket ediyor. Bu model, Scattered Spider'a atfedilen faaliyetlerin, bazı iddia edilen üyelere yönelik tutuklamalara ve engelleme çabalarına rağmen neden devam ettiğini açıklıyor.
0ktapus, Muddled Libra, Octo Tempest ve UNC3944 gibi farklı güvenlik satıcıları tarafından da takip edilen grup, 2022'den bu yana birçok yüksek profilli olayla ilişkilendiriliyor. Group-IB'in araştırması, Scattered Spider'ın merkezi bir hiyerarşi veya ortak liderlik yapısıyla çalışmadığını, bunun yerine ortak teknikler, araçlar ve çevrimiçi topluluklar aracılığıyla birbirine bağlı daha küçük kümelerden oluştuğunu savunuyor. Analiz, bu yapıyı, ayrı grupların mutlaka doğrudan koordinasyon olmaksızın ortak bir kimlik altında faaliyet gösterdiği Anonymous hacktivist kolektifine benzetiyor.
Group-IB, gözlemlenen kümeler arasında birkaç yinelenen hedefleme modeli tespit etti. Bunlar arasında teknoloji ve iletişim şirketlerindeki çalışanların erişim noktası olarak kullanılması, SIM takas operasyonları için mobil operatör personelinin hedef alınması, dolandırıcılık kampanyaları yoluyla kripto para kullanıcılarının hedef alınması ve gasp ve fidye yazılımı faaliyetleri için işletmelerin tehlikeye atılması yer alıyor. Sosyal mühendislik, faaliyetlerin merkezinde yer almaya devam ediyor; saldırganlar sık sık BT, güvenlik veya insan kaynakları ekiplerini taklit ederek çalışanları kimlik bilgilerini veya erişim izinlerini vermeye ikna ediyor.
Detaylar ve Etkileri
Group-IB, Scattered Spider'ın merkezi olmayan doğasının, bireysel üyeleri hedef alan tutuklamaların daha geniş tehdidi ortadan kaldırmasının pek olası olmadığı sonucuna vardı. Bunun yerine, kuruluşların kümeler arasında paylaşılan taktiklere, özellikle de kimlik tabanlı saldırılara ve sosyal mühendislik girişimlerine karşı savunmaya odaklanması gerekiyor. Rapor ayrıca, daha önce Scattered Spider'a atfedilen bazı faaliyetlerin ilgisiz aktörler tarafından gerçekleştirilmiş olabileceğini de belirtiyor.