حذّرت مجموعة استخبارات التهديدات في شركة جوجل (GTIG) من تصعيد خطير في أنشطة جماعة القرصنة الإلكترونية المعروفة باسم Scattered Spider (المعروفة أيضاً باسم UNC3944)، والتي بدأت مؤخراً في استهداف شركات التأمين الكبرى في الولايات المتحدة، بعد موجة هجمات طالت قطاعات البيع بالتجزئة في كلّ من الولايات المتحدة والمملكة المتحدة.
وقال جون هالتكويست، كبير المحللين في GTIG، في بيان عبر البريد الإلكتروني يوم الاثنين:
“نحن الآن على دراية بعدة اختراقات وقعت في الولايات المتحدة تحمل بصمات Scattered Spider بوضوح. وتشير المؤشرات إلى أن قطاع التأمين بات الهدف الجديد للجماعة، مما يستدعي حالة تأهّب قصوى، لا سيما من محاولات الهندسة الاجتماعية التي تستهدف مكاتب الدعم الفني ومراكز الاتصال.”
أساليب خبيثة وخبرة اجتماعية عالية
تُعد Scattered Spider جماعة غير متجانسة ومعروفة بقدراتها العالية في الهندسة الاجتماعية المتقدمة، مثل انتحال هوية الموظفين، وخداع فرق الدعم الفني، وتجاوز أنظمة المصادقة متعددة العوامل (MFA) باستخدام تكتيكات نفسية مدروسة بدقة.
وأشارت شركة SOS Intelligence إلى أن الجماعة:
“تُعرف بأنها تضم متحدثين أصليين باللغة الإنجليزية، ويُعتقد أن لهم صلات بدول غربية، ما يمنحهم ميزة ثقافية تجعل هجماتهم عبر التصيّد الهاتفي والبريد الإلكتروني فعّالة بشكل مقلق.”
تحالفات محتملة.. ولكن دون دلائل مؤكدة
خلال الأشهر الأخيرة، ترددت أنباء عن تحالف بين Scattered Spider وكارتل الفدية DragonForce، وذلك بعد تقارير عن سيطرة الأخير على بنية RansomHub التحتية. ومع ذلك، أكدت مجموعة GTIG لـ The Hacker News أنها لم ترَ أي أدلة مباشرة على هذا التعاون حتى الآن.
شركات الخدمة المُدارة تحت المجهر
بحسب تقرير حديث صادر عن ReliaQuest، فإن الجماعتين – Scattered Spider وDragonForce – تتجهان بشكل متزايد نحو استهداف مزودي الخدمات المدارة (MSPs) والمقاولين التقنيين، بهدف الوصول إلى العديد من العملاء من خلال اختراق نقطة واحدة فقط.
وفي السياق ذاته، أوضحت شركة Mandiant المملوكة لجوجل أن الجماعة تميل إلى استهداف المؤسسات الضخمة التي تملك مكاتب دعم فني كبيرة ووظائف تقنية معلومات خارجية، نظرًا لكون هذه البيئات أكثر عرضة للهندسة الاجتماعية، وبالتالي توفر فرصًا لتحقيق مكاسب مادية ضخمة.
التوصيات الأمنية:
لمواجهة هذه التهديدات المتزايدة، يُوصى باتخاذ الإجراءات التالية:
-
تعزيز أساليب المصادقة، خصوصًا على الحسابات الحساسة.
-
فرض سياسات صارمة لإدارة الهوية والصلاحيات.
-
تقسيم الشبكة والتحكم في الوصول لمنع التصعيد الأفقي أو الرأسي للامتيازات.
-
تدريب موظفي الدعم الفني على التحقق الإيجابي من هوية المستخدمين قبل تنفيذ أي تغييرات في الحسابات.
