Microsoft koppelt Scattered Spider-hackers aan Qilin-ransomware-aanvallen
Microsoft zegt dat de cybercrimebende Scattered Spider Qilin ransomware heeft toegevoegd aan hun arsenaal en nu gebruikt in aanvallen.
“In het tweede kwartaal van 2024 heeft de financieel gemotiveerde dreigingsactor Octo Tempest, onze meest nauwlettend gevolgde ransomware-dreigingsactor, RansomHub en Qilin toegevoegd aan zijn ransomware-payloads in campagnes,” zei Microsoft maandag.
Na hun opkomst in begin 2022, verwierf deze dreigingsgroep (ook gevolgd als Octo Tempest, UNC3944, en 0ktapus) bekendheid na hun 0ktapus-campagne die meer dan 130 organisaties van hoog niveau doelwit maakte, waaronder Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games, en Best Buy.
De Engelssprekende bende heeft ook de systemen van MGM Resorts versleuteld nadat ze zich halverwege 2023 hadden aangesloten bij BlackCat/ALPHV ransomware als een affiliate en werd door Symantec in verband gebracht met de RansomHub ransomware-as-a-service.
In november gaven de FBI en CISA een waarschuwing uit waarin de tactieken, technieken en procedures (TTP’s) van Scattered Spider werden belicht. Deze omvatten het imiteren van IT-medewerkers om klantenservicemedewerkers te misleiden om hen inloggegevens te verschaffen of persistentie op doelwitten hun netwerken te verkrijgen met behulp van hulpmiddelen voor externe toegang.
Andere tactieken waarvan bekend is dat ze worden gebruikt voor initiële netwerktoegang zijn bijvoorbeeld phishing, MFA-aanvallen (ook bekend als MFA-moeheid) en SIM-swapping.
Scattered Spider’s overgang naar ransomware-aanvallen (Microsoft)
De Qilin ransomware-operatie waar Scattered Spider zich net bij heeft aangesloten, verscheen in augustus 2022 onder de naam “Agenda” maar werd slechts een maand later omgedoopt tot Qilin.
In de afgelopen twee jaar heeft de Qilin-bende meer dan 130 bedrijven geclaimd op hun dark web-leksite; echter, hun operators waren niet actief totdat aanvallen toenamen tegen het einde van 2023.
Sinds december 2023 ontwikkelt Qilin ook een van de meest geavanceerde en aanpasbare Linux-encryptors om VMware ESXi-virtuele machines te targeten, die door ondernemingen worden geprefereerd vanwege hun lichte resourcebehoeften.
Zoals veel andere ransomwaregroepen die bedrijven als doelwit hebben, infiltreren Qilin-operators de netwerken van een bedrijf en halen gegevens op terwijl ze zich door de systemen van het slachtoffer bewegen.
Na het verkrijgen van beheerdersreferenties en het verzamelen van alle gevoelige gegevens, implementeren ze de ransomware-payloads om alle netwerkapparaten te versleutelen en gebruiken ze de gestolen gegevens om dubbele afpersingsaanvallen uit te voeren.
Tot nu toe heeft BleepingComputer Qilin losgeldeisen gezien variërend van slechts $25,000 tot miljoenen dollars, afhankelijk van de grootte van het slachtoffer.
Vorige maand verbond de CEO van het National Cyber Security Centre (NCSC) van het VK Qilin aan een ransomware-aanval die begin juni de pathologiedienstenleverancier Synnovis trof en verschillende belangrijke NHS-ziekenhuizen in Londen beïnvloedde, waardoor zij honderden operaties en afspraken moesten annuleren.
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----