Группа молодых киберпреступников представляет собой «самую непосредственную угрозу» кибератак прямо сейчас

Пустые полки продуктовых магазинов и приземлившиеся самолеты, как правило, являются признаком кризиса, будь то экстремальное погодное явление , кризис в области общественного здравоохранения или чрезвычайная геополитическая ситуация . Но эти сцены хаоса последних недель в Великобритании, Соединенных Штатах и ​​Канаде были вызваны финансово мотивированными кибератаками, по-видимому, совершенными группой подростков-угонщиков.

Известная киберпреступная группа, часто называемая Scattered Spider, известна тем, что использует методы социальной инженерии для проникновения в целевые компании, обманывая сотрудников службы ИТ-поддержки, чтобы те предоставили им доступ к системе. Исследователи говорят, что группа, похоже, приобретает опыт в области бэкэнд-систем, обычно используемых предприятиями в определенной отрасли, а затем использует эти знания для поражения группы целей, прежде чем перейти к другому сектору. Группа часто использует программы-вымогатели или проводит атаки с целью вымогательства данных после того, как скомпрометирует своих жертв.

На фоне растущего давления со стороны правоохранительных органов в прошлом году, которое привело к обвинениям и арестам пяти подозреваемых, предположительно связанных с Scattered Spider, исследователи говорят, что группа была менее активна в 2024 году и, похоже, пыталась затаиться. Однако эскалация атак группы в последние недели показала, что Scattered Spider не только не побеждена, но и снова осмелела.

«В Scattered Spider есть несколько уникальных квалифицированных игроков, когда дело касается социальной инженерии, и они выявили серьезную брешь в наших системах безопасности, которой они успешно пользуются», — говорит Джон Халтквист, главный аналитик группы разведки угроз Google. «Эта группа осуществляет серьезные атаки на нашу критическую инфраструктуру, и я надеюсь, что мы не упускаем возможность устранить самую непосредственную угрозу».

Хотя ряд инцидентов не были публично приписаны, подавляющая волна недавних атак на сети продуктовых магазинов Великобритании, североамериканских страховщиков и международные авиалинии в целом была связана со Scattered Spider. В мае Национальное агентство по борьбе с преступностью Великобритании подтвердило, что изучает Scattered Spider в связи с атаками на британских ритейлеров. А ФБР предупредило в пятницу в своем предупреждении, что оно заметило, что «киберпреступная группа Scattered Spider расширяет свою деятельность, включив в нее сектор авиаперевозок». Предупреждение прозвучало после того, как североамериканские авиалинии Westjet и Hawaii Airlines заявили, что стали жертвами киберпреступных взломов. В среду австралийская авиакомпания Qantas также заявила, что подверглась кибератаке, хотя пока не ясно, была ли эта атака частью кампании группы.

«Они замедлились, и мы видели, как они рассеивались на некоторое время в течение 2024 года», — говорит Адам Мейерс, старший вице-президент по операциям по противодействию злоумышленникам в охранной компании CrowdStrike. «Затем они снова набрали обороты в последние пару месяцев, сначала ударив по розничной торговле, затем по страховым компаниям и совсем недавно нацелившись на авиакомпании».

Scattered Spider впервые появилась как известная группа к концу 2023 года, когда ее участники перешли от атак по подмене SIM-карт к запуску разрушительных атак с использованием программ-вымогателей на Caesar's Entertainment и MGM Resorts . Восстановление после последнего обошлось MGM примерно в 100 миллионов долларов . Исследователи подчеркивают, что коллектив финансово мотивирован и состоит в основном из англоговорящих подростков и молодых людей, которые часто находятся в США или Великобритании. Хакеры Scattered Spider считаются ответвлением Com , аморфной сети, состоящей из тысяч потенциально троллей и преступников, многие из которых занимаются преследованием, вымогательством и эксплуатацией детей.

Участники Scattered Spider все чаще объединяются вокруг тактики использования целенаправленной социальной инженерии для закрепления в корпоративных сетях. Злоумышленники могут выдавать себя за сотрудников, которым заблокирован доступ к учетной записи электронной почты компании, и связываться со службой технической поддержки компании, чтобы получить доступ, прежде чем сбросить учетные данные многофакторной аутентификации . Исследователи говорят, что группа также использовала тактику создания убедительных фишинговых веб-сайтов, URL-адреса которых часто включают название целевой организации вместе со словами вроде «okta», «vpn» или «helpdesk». Оказавшись внутри сетей, хакеры развертывают различные типы программ-вымогателей или крадут данные, которые используются для вымогательства у компаний.

Мейерс говорит, что Crowdstrike считает, что у Scattered Spider примерно четыре основных члена, которые управляют нацеливанием потенциальных жертв и «используют» ресурсы из более широкой экосистемы Com по мере необходимости. Точная структура и размер Scattered Spider неясны, но исследователи сходятся во мнении, что группа использует ряд сторонних сервисов для осуществления своих атак.

«Сдерживание чрезвычайно сложно, поскольку мы, по сути, боремся с рынком, где многие участники заменяемы», — говорит Халтквист из Google. «Например, Scattered Spider работал с несколькими сервисами вымогателей, так что если один из них выйдет из строя, всегда найдется кто-то, кто его заменит».

Эйден Синнотт, старший исследователь угроз в подразделении по борьбе с угрозами компании по кибербезопасности Sophos, говорит, что Scattered Spider и Com в более широком смысле связаны через отношения и сообщества на серверах Discord или в группах Telegram. «Это своего рода развивающаяся группа, в которую, возможно, приходят новые молодые участники угроз», — говорит Синнотт. «Вы можете видеть эту естественную прогрессию эскалации, поскольку они учатся навыкам друг друга, и они также очень любят делиться своими победами».

Некоторые участники Scattered Spider могут быть нацелены на крупные компании, в то время как другие вовлечены в менее громкую деятельность. «Есть группы или отдельные лица, которые действительно сосредоточены на взломе учетных записей Coinbase и краже криптовалюты и подобных вещах», — говорит Синнотт. «Так что они даже не сосредоточены на этих крупных корпоративных организациях».

Как говорит Халтквист, «эта деятельность чрезвычайно устойчива, потому что вместо того, чтобы бороться с отдельным субъектом, мы фактически боремся с рынком».