Klaim kelompok peretas Scattered Spider yang menyatakan "pensiun" dari dunia kejahatan siber kini diragukan. Investigasi terbaru para peneliti keamanan siber mengungkap bahwa kelompok ini kembali aktif dengan serangkaian serangan siber baru yang secara khusus menargetkan sektor layanan finansial.

Perusahaan intelijen ancaman ReliaQuest menyebutkan adanya indikasi kuat bahwa aktor ancaman ini telah menggeser fokusnya. Hal ini diperkuat dengan munculnya banyak domain palsu yang mirip dengan milik grup tersebut, yang kini secara spesifik ditujukan untuk industri keuangan. Salah satu serangan yang baru-baru ini teridentifikasi adalah intrusi yang menyasar sebuah organisasi perbankan besar di AS.

ReliaQuest menjelaskan bahwa Scattered Spider mendapatkan akses awal ke jaringan target dengan menggunakan taktik social engineering canggih. Mereka berhasil mengakali akun eksekutif dan mengatur ulang kata sandi melalui layanan Azure Active Directory Self-Service Password Management.

Setelah berhasil masuk, mereka dengan cepat mengakses dokumen-dokumen IT dan keamanan yang sensitif. Para peretas kemudian bergerak secara lateral melalui lingkungan Citrix dan VPN, serta mengkompromikan infrastruktur VMware ESXi untuk mencuri kredensial dan melakukan infiltrasi lebih dalam. Untuk meningkatkan hak akses, mereka bahkan mengatur ulang kata sandi akun layanan Veeam, menetapkan izin Azure Global Administrator, dan memindahkan mesin virtual agar tidak terdeteksi. Ada juga indikasi bahwa grup ini berusaha mengekspor data dari layanan cloud seperti Snowflake dan Amazon Web Services (AWS).

Aktivitas terbaru ini secara langsung membantah klaim Scattered Spider yang sebelumnya menyatakan akan menghentikan operasi, bersama 14 kelompok kriminal lainnya seperti LAPSUS$. Scattered Spider sendiri merupakan julukan untuk kolektif peretas yang longgar, bagian dari entitas yang lebih besar bernama The Com.

Baca Juga: Serangan Siber Lumpuhkan Bandara Eropa, Ratusan Penerbangan Ditunda dan Dibatalkan

Menurut Karl Sigler, manajer riset keamanan di Trustwave, klaim pensiun tersebut seharusnya disikapi dengan skeptisisme tinggi. "Alih-alih pembubaran sejati, pengumuman ini kemungkinan besar menandakan langkah strategis untuk menjauhkan grup dari tekanan penegakan hukum yang semakin meningkat," jelasnya.

Sikap "menghilang" ini adalah taktik yang sering digunakan oleh kelompok kriminal siber. Tujuannya adalah untuk menilai kembali praktik mereka, menyempurnakan strategi serangan, dan menghindari upaya penegakan hukum. Dengan menghilang, mereka mempersulit upaya atribusi yang mencoba menghubungkan insiden di masa depan dengan pelaku inti yang sama.

Dalam analisis terbaru yang diterbitkan oleh EclecticIQ, grup ShinyHunters, yang memiliki kedekatan dengan Scattered Spider, kini mengandalkan anggota Scattered Spider dan The Com untuk memfasilitasi serangan voice phishing (vishing). Mereka menggunakan platform AI seperti Vapi dan Bland AI untuk mendapatkan akses tidak sah ke platform single sign-on (SSO) milik perusahaan ritel, maskapai, dan telekomunikasi.

Anggota ShinyHunters ditemukan menyalahgunakan Bland AI untuk mengotomatisasi panggilan social engineering dalam skala besar. Model AI ini dapat secara dinamis menghasilkan suara, menyesuaikan nada, dan merespons reaksi korban secara real-time, membuat percakapan terdengar sangat meyakinkan.

Akses yang diperoleh kemudian dimanfaatkan untuk mencuri data pelanggan dalam jumlah besar dari aplikasi Salesforce. Menurut laporan, ShinyHunters mengklaim telah mencuri lebih dari 1,5 miliar data dari 760 perusahaan, menunjukkan luasnya cakupan dan bahaya dari metode serangan terbaru ini. Selain itu, mereka juga memanfaatkan celah keamanan di Oracle Access Manager untuk menyerang bank dan produsen mobil besar.

"ShinyHunters sedang memperluas operasinya dengan menggabungkan vishing berbasis AI, kompromi rantai pasokan, dan memanfaatkan orang dalam yang berbahaya, seperti karyawan atau kontraktor, yang dapat memberikan akses langsung ke jaringan perusahaan," kata peneliti keamanan Arda Büyükkaya.