Scattered Spider扩大攻击范围瞄准保险行业

根据谷歌威胁情报组（GTIG）的报告，Scattered Spider网络犯罪团伙在针对知名零售商和消费品牌发动一系列高调攻击后，似乎正在将目标扩展到保险行业。保险公司被警告要警惕该团伙策划的网络入侵活动，有证据表明这个青少年黑客团伙已经攻击了美国多家保险公司，其活动在数月内重新活跃。

几周前，GTIG首次警告称，Scattered Spider的春季攻势最初针对英国零售商玛莎百货（M&S）和Co-op，现已蔓延到美国及其他地区的零售商，全球知名品牌如阿迪达斯、卡地亚、迪奥、北面、蒂芙尼和维多利亚的秘密都卷入了该团伙重新开始的犯罪狂潮。然而，现在看来黑客在一定程度上改变了目标。

GTIG首席分析师John Hultquist表示：“谷歌威胁情报组现已发现多起美国入侵事件，这些事件都具有Scattered Spider活动的所有特征。我们现在看到保险行业的事件。鉴于该攻击者历史上一次专注于一个行业，保险行业应高度警惕，特别是针对其服务台和呼叫中心的社会工程学计划。”

新目标

关于Scattered Spider为何可能改变其攻击活动的问题，威胁狩猎专家Silent Push的情报总监Kasey Best告诉《计算机周刊》：“虽然我目前不能谈论最近的归因，但我可以说：Scattered Spider不在乎目标在哪个行业运营，除了简单的计算’他们能支付吗？‘和’我们能进入吗？’。”

“零售行业最近的变化增加了对该组织的’热度’和’意识’，从而扩大了培训以及该行业的防御支出，这可能影响了转向准备不足的行业的计算。”

行为分析专业公司Abnormal AI的EMEA副总裁Richard Orange表示，考虑到保险公司持有的敏感数据量，它们成为Scattered Spider等团体网络攻击的目标并不令人惊讶。

安全管理平台ThreatAware的首席执行官Jon Abbott进一步指出，没有行业真正免疫：“之前在零售和娱乐行业对M&S、Caesars和MGM等公司的成功攻击突显了一个关键事实：网络卫生比已经部署和工作的工具更重要。”

防御建议

Abbott继续表示：“他们（Scattered Spider）不依赖高级漏洞利用，而是使用快速移动的社会工程学策略来绕过薄弱的服务台协议和身份检查。”

“防御必须从基础开始。准确的资产清单、防篡改身份验证和强化的服务台流程都至关重要。安全团队还必须监控行为异常，如意外的访问请求或管理变更，而不仅仅依赖传统的恶意软件检测。”

Abnormal AI的Orange补充说：“保险提供商及其合作伙伴必须将身份系统和服务台程序视为关键资产。他们应实施防网络钓鱼的多因素身份验证并加强验证流程。这与培训员工严格质疑即使是熟悉的请求一起，对于防御不断演变的社会工程学威胁至关重要。”

最重要的是，Abbott表示，保险公司应努力在业务的所有层面和所有团队中培养适当的安全意识文化，特别是那些可能面临潜在社会工程学攻击的团队，如呼叫中心。

谷歌重申了其先前关于强化网络以抵抗Scattered Spider入侵的建议，该建议最后更新于5月。