Η Microsoft αποκάλυψε τις τελευταίες τακτικές της ομάδας κυβερνοεγκλήματος Scattered Spider, επισημαίνοντας την αυξανόμενη εστίαση στην εκμετάλλευση ταυτοτήτων και την χρήση εξελιγμένων τεχνικών κοινωνικής μηχανικής . Η ομάδα, γνωστή και ως Octo Tempest, έχει παρατηρηθεί να χρησιμοποιεί νέες τακτικές για να αποκτήσει πρόσβαση σε περιβάλλοντα cloud .
Συνήθως, η Scattered Spider χρησιμοποιεί δικαιώματα ταυτότητας cloud για να αποκτήσει πρόσβαση σε υποδομές εσωτερικού χώρου . Ωστόσο, η Microsoft ανέφερε ότι οι πρόσφατες δραστηριότητες περιλαμβάνουν την αρχική στόχευση λογαριασμών και υποδομών εσωτερικού χώρου πριν από τη μετάβαση στην πρόσβαση στο cloud . Η ομάδα έχει επίσης παρατηρηθεί να αναπτύσσει το ransomware DragonForce, με ιδιαίτερη έμφαση στα περιβάλλοντα υπερεπόπτη VMWare ESX .
Η ανάλυση της Microsoft δείχνει ότι η Scattered Spider συνεχίζει να χρησιμοποιεί επιθετικές τακτικές κοινωνικής μηχανικής για να αποκτήσει αρχική πρόσβαση, χειραγωγώντας το προσωπικό υποστήριξης . Η ομάδα έχει επίσης αναπτύξει SMS phishing χρησιμοποιώντας domains adversary-in-the-middle (AiTM) που μιμούνται νόμιμους οργανισμούς . Πιο πρόσφατα, η ομάδα έχει στοχεύσει ενεργά αεροπορικές εταιρείες με επιθέσεις ransomware και εκβίασης δεδομένων . Μεταξύ Απριλίου και Ιουλίου 2025, η δραστηριότητά της έχει στοχεύσει τους τομείς λιανικής, επισιτισμού, φιλοξενίας και ασφάλισης .
Για να αντιμετωπίσει αυτές τις εξελίξεις, η Microsoft ενημερώνει συνεχώς τα προϊόντα ασφαλείας της . Η εταιρεία τόνισε το οικοσύστημα ασφαλείας Microsoft Defender και Microsoft Sentinel, παρέχοντας ένα ευρύ φάσμα ανιχνεύσεων για τον εντοπισμό δραστηριοτήτων που σχετίζονται με την Scattered Spider . Αυτές οι ανιχνεύσεις καλύπτουν όλους τους τομείς του χαρτοφυλακίου ασφαλείας, συμπεριλαμβανομένων των endpoints, των ταυτοτήτων, των εφαρμογών software as a service (SaaS), των εργαλείων email και συνεργασίας, των φόρτων εργασίας cloud και άλλων, για την παροχή ολοκληρωμένης κάλυψης προστασίας .
Οι επιθέσεις μπορούν να διακοπούν χρησιμοποιώντας την ενσωματωμένη δυνατότητα αυτοάμυνας του Microsoft Defender . Αυτή η τεχνολογία χρησιμοποιεί πολλαπλούς πιθανούς δείκτες και συμπεριφορές, συσχετίζοντάς τους σε ένα περιστατικό υψηλής πιστότητας . Με βάση τις προηγούμενες γνώσεις από τις επιθέσεις της Scattered Spider, η διακοπή της επίθεσης θα απενεργοποιήσει αυτόματα τον λογαριασμό χρήστη που χρησιμοποιείται από την ομάδα και θα ανακαλέσει όλες τις υπάρχουσες ενεργές συνεδρίες .
Η Microsoft έχει επίσης ενισχύσει τις δυνατότητες advanced hunting στο Defender, βοηθώντας τους οργανισμούς να εντοπίζουν και να αποτρέπουν τις πιο επιθετικές επιθέσεις κοινωνικής μηχανικής της ομάδας σε προνομιούχα άτομα . Οι αναλυτές μπορούν να υποβάλλουν ερωτήματα σε πηγές δεδομένων πρώτου και τρίτου μέρους μέσω του Microsoft Defender XDR και του Microsoft Sentinel, καθώς και να αποκτήσουν πληροφορίες έκθεσης από το Microsoft Security Exposure Management .
Η Scattered Spider είναι γνωστή για την ικανότητά της να συνδυάζει την ανθρώπινη εξαπάτηση με την τεχνική ακρίβεια . Η ομάδα συχνά στοχεύει το προσωπικό IT help desk και τους προνομιούχους χρήστες μέσω εξελιγμένων τηλεφωνικών επιθέσεων και πλαστοπροσωπίας . Χρησιμοποιούν επίσης SIM swapping και τηλεφωνική κλοπή διαπιστευτηρίων για να παρακάμψουν το MFA . Παρά τις συλλήψεις, η ομάδα παραμένει ενεργή και προσαρμόσιμη, επεκτείνοντας τους στόχους και τις τακτικές της, διατηρώντας παράλληλα την βασική στρατηγική επίθεσης που επικεντρώνεται στην ταυτότητα .
Η Microsoft παρέχει καθοδήγηση για την αντιμετώπιση των τακτικών, τεχνικών και διαδικασιών (TTPs) της Scattered Spider, καθώς και μια ευρύτερη πρωτοβουλία ransomware που επικεντρώνεται στη μείωση της έκθεσης σε επιθέσεις εκβίασης . Αυτή η καθοδήγηση περιλαμβάνει βασικές συμβουλές για τη διαχείριση της ασφάλειας cloud, endpoint και ταυτότητας .