Что мы знаем о киберпреступной группировке Scattered Spider

Печально известный хакерский коллектив привлек внимание государственных органов нескольких стран по всему миру.

Scattered Spider, также известная как Muddled Libra, Octo Tempest, Scatter Swine и UNC3944, — это группа киберпреступников, которые специализируются на использовании приемов социальной инженерии, чтобы обманным путем заставить компании передать учетные данные пользователей и обойти многофакторную аутентификацию, что позволяет группе закрепиться, украсть данные компании и потребовать выкуп.

ФБР и Агентство кибербезопасности и безопасности инфраструктуры (CISA) во вторник предупредили, что Scattered Spider применяет новые методы для осуществления атак на различные отрасли.

Группа традиционно фокусируется на секторах гостиничного бизнеса, телекоммуникаций и розничной торговли, ориентируясь на несколько организаций в каждом секторе, прежде чем переходить к следующему.

«Scattered Spider представляет собой серьёзную и постоянную угрозу для американских организаций, используя изощрённую социальную инженерию и тактику вторжения для срыва работы и вымогательства средств у жертв», — заявил Крис Бутера, исполняющий обязанности исполнительного помощника директора по кибербезопасности CISA, в заявлении, связанном с рекомендациями. «Их деятельность затронула множество секторов и подчёркивает сохраняющийся риск, который программы-вымогатели представляют для национальной безопасности и экономической стабильности».

Исследователи считают Scattered Spider уникальной группой в киберпреступном мире. Группировка состоит преимущественно из англоговорящих молодых людей, в том числе многих подростков, из США и Великобритании. По оценкам властей, численность её участников может достигать 1000 человек.

Группа связана с подпольным коллективом, известным как The Com , который эксперты связывают с различными преступлениями — от вымогательства и отмывания денег до хищнического поведения в отношении несовершеннолетних, кражи криптовалюты и подмены SIM-карт.

По данным Palo Alto Networks, Scattered Spider не действует как единое централизованное подразделение, а скорее в составе нескольких подгрупп, каждая из которых может иметь собственный набор целей и набор предпочтительных методов.

Хакерская группировка дебютировала в сентябре 2023 года, совершив нашумевшую атаку с использованием вируса-вымогателя на гиганта гостиничного и казино MGM Resorts . Хакеры на несколько дней нарушили работу отеля, заблокировав номера гостей, отключив лифты и выведя из строя игровые автоматы и банкоматы. Атака обошлась компании более чем в 100 миллионов долларов.

Исследователи также связали Scattered Spider со взломом компании Clorox, производителя бытовой техники, произошедшим в 2023 году. В результате компания была вынуждена закрыть многие свои системы и столкнулась с многомесячным дефицитом продукции. В иске на 380 миллионов долларов, поданном ранее в этом месяце, Clorox утверждала, что её поставщик IT-решений, Cognizant, не выполнил свои обязательства, передав хакерам учётные данные без их аутентификации.

Всегда в бегах

В ноябре 2024 года Министерство юстиции США предъявило обвинения пяти лицам в краже миллионов долларов путем сбора учетных данных сотрудников с помощью фишинговых SMS-сообщений. Эксперты по безопасности описали эту деятельность, включавшую взломы 45 компаний с сентября 2021 года по апрель 2023 года, как первую волну преступлений Scattered Spider.

В апреле испанские власти арестовали одного из обвиняемых, 23-летнего британца Тайлера Бьюкенена , и экстрадировали его в США. Предъявление обвинения и экстрадиция дали некоторым экспертам по безопасности основания полагать, что властям удалось успешно нейтрализовать «Scattered Spider».

Однако в апреле группа запустила серию атак с использованием социальной инженерии против трёх крупных британских розничных компаний: Marks & Spencer, Harrods и Co-op. Две другие крупные британские компании, возможно, также подверглись взлому, но пока не признали этого, сообщил председатель Marks & Spencer британским законодателям ранее в этом месяце.

По данным британского Центра кибермониторинга, последняя серия атак Scattered Spider, начавшаяся в апреле, обошлась примерно в 440 миллионов британских фунтов стерлингов.

Ранее в этом месяце британские власти арестовали четырёх человек в связи с атаками Scattered Spider. Полиция также изъяла большое количество компьютерного оборудования и изучает его на предмет улик, которые могут привести к новым арестам.

Тем временем в мае Scattered Spider обратила свое внимание на США, начав серию атак на крупных ритейлеров и их поставщиков, включая Victoria’s Secret, базирующийся в Северной Каролине Belk и дистрибьютора Whole Foods United Natural Foods.

Ранее в этом месяце UNFI предупредил, что утечка информации может стоить компании до 400 миллионов долларов потерянных продаж.

С июня Scattered Spider переключился на новые отрасли, атакуя крупные страховые компании, авиакомпании и другие транспортные компании. Среди недавних жертв были Aflac , Allianz Life и Philadelphia Indemnity Insurance . Scattered Spider также мог быть причастен к недавним взломам Hawaiian Airlines и Qantas .