Spider yang tersebar terus mendominasi berita utama, dengan berita terbaru yang menghubungkan para peretas dengan serangan terhadap raksasa asuransi AS Aflac, Perusahaan Asuransi PhiladelphiaDan Asuransi Eriediungkapkan melalui pengajuan Formulir 8-K SEC yang menunjukkan pencurian data pelanggan yang sensitif dan gangguan operasional.
Ini datang pada saat yang sama ketika Google Ancaman Intelijen berbagi bahwa “sekarang menyadari beberapa intrusi di AS yang menanggung ciri khas aktivitas laba -laba yang tersebar”, secara khusus berdampak pada industri asuransi.
Tapi apa sebenarnya artinya ini? Untuk menjawab ini, mari kita rekap dengan cepat bagaimana kita sampai di sini dan seperti apa serangan laba -laba yang tersebar.
Bagaimana kita bisa sampai di sini?
Kolektif kriminal yang dilacak oleh analis sebagai laba-laba yang tersebar telah aktif sejak tahun 2022 dan telah dikaitkan dengan berbagai pelanggaran profil tinggi, misalnya serangan terhadap resor Caesars dan MGM pada tahun 2023, dan transportasi untuk London pada tahun 2024.
-
Caesars: Peretas menyamar sebagai pengguna TI dan meyakinkan meja bantuan outsourcing untuk mengatur ulang kredensial, setelah itu penyerang mencuri basis data program loyalitas pelanggan dan mendapatkan pembayaran tebusan $ 15 juta.
-
MGM Resorts: Peretas menggunakan informasi LinkedIn untuk menyamar sebagai karyawan dan mengatur ulang kredensial karyawan, menghasilkan pencurian data 6TB. Setelah MGM menolak untuk membayar, serangan itu akhirnya menghasilkan pemadaman 36 jam, hit $ 100 juta, dan gugatan class action diselesaikan untuk $ 45 juta.
-
Transportasi untuk London: mengakibatkan 5.000 detail bank pengguna diekspos, 30.000 staf diharuskan menghadiri janji temu secara langsung untuk memverifikasi identitas mereka dan mengatur ulang kata sandi, dan gangguan signifikan terhadap layanan online yang berlangsung selama berbulan-bulan.
Kartu panggilan dalam serangan ini adalah penyalahgunaan proses Help Desk untuk mengatur ulang kata sandi dan/atau faktor MFA yang digunakan untuk mengakses akun.
Penyerang hanya memanggil meja bantuan dengan informasi yang cukup untuk menyamar sebagai karyawan, meminta mereka untuk mengirim tautan pendaftaran MFA untuk perangkat seluler baru mereka, dan kemudian dapat menggunakan fungsi reset kata sandi swalayan untuk mengendalikan akun. Sederhana sederhana.
Kebangkitan Laba -Laba yang Tersebar di tahun 2025
Teknik ini diulang kembali dalam serangkaian serangan profil tinggi pada tahun 2025, dengan pelanggaran besar pengecer Inggris Tanda dan Spencer Dan Mengurung mendominasi berita utama.
Keduanya mengakibatkan hilangnya data sensitif dan gangguan yang berkepanjangan pada layanan di dalam toko dan digital, dengan M&S merasakan rasa sakit sebesar £ 300 juta dalam laba yang hilang dan nilai saham yang mendekati £ 1 miliar, dan gugatan aksi kelas jutaan pon dan kemungkinan denda ICO yang menjulang.
Serangkaian serangan terhadap pengecer di seluruh dunia segera menyusul, pada tingkat yang belum pernah terjadi sebelumnya. Dior, Wajah utara, Cartier, Rahasia Victoria, Adidas, Coca-ColaDan Bersatu Makanan Alami termasuk di antara pengecer yang menderita pelanggaran antara Mei-Juni 2025.
Tidak seperti Pelanggaran kepingan salju massal pada tahun 2024 (yang menargetkan satu platform yang digunakan oleh banyak organisasi), serangan ini terkenal karena mereka tampaknya tidak terkait – mereka hanya mewakili upaya bersama oleh penyerang untuk menargetkan sektor ritel.
Rincian yang lebih sedikit telah diberikan tentang serangan ini dibandingkan dengan pelanggaran M&S dan co-op, tetapi beberapa dari mereka secara khusus menunjukkan penggunaan teknik berbasis identitas Berbeda dengan eksploitasi perangkat lunak yang lebih tradisional – ciri khas lain dari Spider yang tersebar.
Ini menuntun kita ke pengambilan kunci pertama kita…
Takeaway #1: TTP berbasis identitas adalah normal baru
Serangan Spider yang tersebar adalah yang terbaru dalam semakin banyaknya pelanggaran berbasis identitas. Ketika kita melihat kembali evolusi TTP Spider yang tersebar, kita dapat melihat bahwa mereka secara konsisten mengeksploitasi kelemahan berbasis identitas untuk mendapatkan akses ke lingkungan korban.
Sumber: Dorong keamanan.
Mengambil langkah mundur, ada baiknya memikirkan bagaimana bantuan penipuan meja cocok dengan toolkit taktik, teknik, dan prosedur (TTP) yang lebih luas yang digunakan oleh aktor ancaman seperti Spider yang tersebar.
Laba-laba yang tersebar sangat mengandalkan TTP berbasis identitas sejak pertama kali muncul pada tahun 2022, mengikuti jalur berulang yang melewati MFA, mencapai pengambilalihan akun pada akun istimewa, mencuri data dari layanan cloud, dan menggantikan ransomware (terutama di lingkungan VMware). TTP yang digunakan oleh Spider yang tersebar meliputi:
-
Phishing kredensial melalui email dan sms (smishing) untuk memanen kata sandi secara massal
-
Menggunakan Sim Swapping (tempat Anda mendapatkan operator untuk mentransfer nomor ke kartu SIM yang dikendalikan penyerang) ke Bypass SMS MFA berbasis SMS
-
Menggunakan Kelelahan MFA (alias. Push Bombing) untuk memotong otentikasi dorong berbasis aplikasi
-
Menggunakan Vishing (yaitu secara langsung memanggil korban untuk insinyur sosial kode MFA mereka, sebagai lawan dari serangan meja bantuan)
-
Pendaftaran Domain Rekayasa Sosial Untuk Mengendalikan DNS Organisasi Target, Membajak Catatan MX dan Mail Inbound, dan Menggunakan Ini Untuk Mengambil alih Lingkungan Aplikasi Bisnis Perusahaan
-
Dan terakhir, menggunakan Kit phishing AITM MFA-Bypass seperti Evilginx untuk mencuri sesi pengguna langsung
Jadi, bantuan penipuan meja adalah bagian penting dari toolkit mereka, tetapi itu bukan keseluruhan gambaran. Metode seperti phishing AITM khususnya telah melonjak dalam popularitas tahun ini sebagai cara yang dapat diandalkan dan dapat diskalakan untuk melewati MFA dan mencapai pengambilalihan akun.
Penting untuk tidak memikirkan teknik -teknik ini hanya sebagai sifat laba -laba yang tersebar. Lagi pula, Spider yang tersebar bukanlah kelompok yang diidentifikasi sendiri-itu nama yang diberikan oleh analis untuk pola aktivitas. Mengingat serangkaian penangkapan pada tahun 2024, tidak mungkin bahwa inkarnasi laba-laba yang tersebar saat ini adalah individu yang sama di balik serangan pada tahun 2022-2024.
Dan pola serangan berbasis identitas ini dibagikan di berbagai kelompok kriminal yang disebutkan sendiri, Lapsus $, Yanluowang, KarakurtDan Shinyhunters. Bahkan aktor yang disponsori negara Rusia semakin menggunakan jenis teknik yang dipopulerkan oleh kelompok kriminal.
Sederhananya, teknik berbasis identitas adalah normal baru bagi penyerang pada tahun 2025.
Takeaway #2: Penipuan Bantuan Meja bukanlah hal baru, tetapi mereka di sini untuk tinggal
Seperti yang kami tetapkan sebelumnya, penipuan Bantuan Meja bukanlah hal yang baru (kami melihatnya di Caesars, MGM Resorts, dan Transport for London pelanggaran untuk beberapa nama). Tetapi mereka cenderung menjadi semakin lazim karena laba -laba yang tersebar terus menunjukkan betapa efektifnya penipuan meja bantuan.
Salah satu alasan mereka sangat efektif adalah karena sebagian besar meja bantuan memiliki proses yang sama untuk setiap akun – tidak masalah siapa yang Anda nyatakan atau akun mana yang Anda coba ulangi.
Jadi, penyerang secara khusus menargetkan akun yang cenderung memiliki hak istimewa admin tingkat atas – artinya begitu mereka masuk, memajukan serangan itu sepele dan banyak eskalasi hak istimewa yang khas dan gerakan lateral dikeluarkan dari jalur serangan.
Meja bantuan adalah target karena suatu alasan. Mereka “membantu” secara alami. Ini biasanya tercermin dalam cara mereka dioperasikan dan kinerja diukur – penundaan tidak akan membantu Anda mencapai SLA itu!
Pada akhirnya, suatu proses hanya berfungsi jika karyawan bersedia mematuhinya – dan tidak dapat direkayasa secara sosial untuk memecahkannya. Meja bantuan yang dihapus dari operasi sehari-hari (terutama ketika di-outsourcing atau offshored) juga secara inheren rentan terhadap serangan di mana karyawan disamar.
Tetapi, serangan yang dialami organisasi saat ini harus memberi banyak amunisi kepada para pemangku kepentingan keamanan mengapa bantuan reformasi meja sangat penting untuk mengamankan bisnis (dan apa yang bisa terjadi jika Anda tidak melakukan perubahan).
Takeaway #3: Laba -laba yang tersebar secara sadar menghindari kontrol keamanan yang mapan
Jadi, ada lebih banyak toolkit Spider yang tersebar daripada hanya membantu penipuan meja. Faktanya, pendekatan mereka dapat diklasifikasikan secara luas sebagai secara sadar menghindari kontrol yang mapan di titik akhir dan lapisan jaringan dengan menargetkan identitas.
Dari titik pengambilalihan akun, mereka juga mengikuti pola yang dapat diulang:
-
Data memanen dan mengekspiltrasi dari layanan cloud dan SaaS, di mana pemantauan biasanya kurang konsisten daripada lingkungan tradisional di tempat, dan exfiltrasi sering menyatu dengan aktivitas normal. Banyak organisasi tidak memiliki log atau visibilitas untuk mendeteksi aktivitas jahat di awan, dan laba -laba yang tersebar juga terlihat merusak log cloud (misalnya penyaringan berisiko AWS cloudtrail log, tetapi tidak menonaktifkannya sepenuhnya agar tidak menimbulkan kecurigaan).
-
Menargetkan lingkungan VMware untuk penyebaran ransomware. Mereka melakukan ini dengan menambahkan akun pengguna yang dikompromikan ke grup admin VMware di vcentre (jika diperlukan – mereka mengejar akun dengan hak istimewa tingkat atas secara default). Dari sini, mereka dapat mengakses lingkungan VMware melalui lapisan Hypervisor ESXI, di mana perangkat lunak keamanan tidak ada – dengan demikian melewati EDR dan titik akhir khas dan kontrol berbasis host lainnya yang Anda andalkan untuk mencegah eksekusi ransomware.
Tema utama? Berkeliling dengan kontrol keamanan Anda yang sudah mapan.
Hentikan serangan identitas dengan keamanan dorong
Serangan modern tidak lagi terjadi pada titik akhir atau jaringan – mereka menargetkan identitas yang dibuat dan digunakan melalui browser web. Ini berarti bahwa serangan semakin terjadi di browser (atau lebih tepatnya, pada sumber daya yang diakses karyawan Anda melalui browser).
Platform keamanan berbasis browser Push Security menyediakan deteksi serangan identitas yang komprehensif dan kemampuan respons terhadap teknik seperti phishing AITM, isian kredensial, penyemprotan kata sandi dan pembajakan sesi menggunakan token sesi curian.
Anda juga dapat menggunakan dorongan untuk menemukan dan memperbaiki kerentanan identitas di setiap aplikasi yang digunakan karyawan Anda, seperti: Ghost Login; Kesenjangan cakupan SSO; Kesenjangan MFA; kata sandi yang lemah, dilanggar dan digunakan kembali; integrasi oauth yang berisiko; dan lebih banyak lagi.
Sumber: Dorong
Untuk membantu memerangi bantuan penipuan meja, dorong baru -baru ini dirilis Kode Verifikasi Identitas Karyawan -Pemeriksaan identitas berbasis browser yang sederhana yang memberi meja bantuan Anda cara yang dapat diandalkan untuk mengonfirmasi bahwa mereka berbicara dengan seseorang dari organisasi Anda.
Push menyediakan fitur verifikasi yang ringan di setiap browser pengguna – tidak diperlukan aplikasi atau perangkat tambahan.
Ini memungkinkan penelepon meja bantuan yang sah untuk dengan cepat memverifikasi bahwa mereka memiliki perangkat utama mereka (yaitu laptop) dengan menyampaikan kode verifikasi 6 digit yang berputar di browser mereka melalui ekstensi push.
Ini adalah cara yang bagus untuk mengkonfirmasi identitas penelepon dengan aman dan mengendus penelepon yang curang, dan dapat digunakan sebagai bagian dari proses desk bantuan yang tahan phishing.
Eric Rubin – seorang manajer senior di tim keamanan perusahaan Gitlab – telah meluncurkan kode verifikasi identitas karyawan di seluruh tenaga kerjanya. Inilah yang dia katakan:
Mulailah hari ini!
Anda dapat menggunakan kode verifikasi karyawan sebagai alat gratis dengan memasang ekstensi Push Browser. Hanya Daftar untuk akun uji coba dan Anda dapat menggunakan ekstensi organisasi di seluruh untuk memanfaatkan fitur ini.
Saat Anda melakukannya, Anda dapat menguji coba fitur lengkap Push untuk hingga 10 pengguna secara gratis.
Atau jika Anda ingin mempelajari lebih lanjut tentang bagaimana p USH membantu Anda mendeteksi dan mengalahkan teknik serangan identitas umum, Pesan waktu dengan salah satu tim kami untuk demo langsung.
Disponsori dan ditulis oleh Dorong keamanan.
