Как действует группа Scattered Spider, связанная с атакой на M\&S 🕵️‍♂️💻

Группа киберпреступников Scattered Spider стала известна после атаки на британскую сеть магазинов Marks & Spencer. В отличие от большинства групп, использующих программы-вымогатели, её участники, по всей видимости, являются носителями английского языка, а не из России или стран бывшего СССР. Это даёт им преимущество в одной из тактик — звонки в IT-отделы компаний с целью получить доступ к системам, выдавая себя за сотрудников или специалистов IT.

«Носитель языка создаёт ощущение доверия. Иногда персонал и IT-команды могут чуть снизить бдительность», — отмечает Натаниэль Джонс, вице-президент по исследованию угроз в компании Darktrace.

В ноябре прошлого года Министерство юстиции США предъявило обвинения пяти лицам, связанным с рассылкой фишинговых сообщений сотрудникам американских компаний. Сообщения вводили сотрудников в заблуждение, заставляя раскрывать конфиденциальную информацию, включая логины. В результате были похищены данные и средства из цифровых кошельков. Все обвиняемые тогда были в возрасте 20–25 лет.

Scattered Spider также причастна к атакам на казино MGM Resorts и Caesars Entertainment в 2023 году. Для взлома они использовали программу-вымогатель DragonForce, которая блокировала части IT-сети компаний. Такие атаки называются ransomware, поскольку злоумышленники требуют выкуп, чаще всего в цифровой валюте, за восстановление доступа к системам. Использование чужого программного обеспечения — обычная практика в модели «ransomware-as-a-service», когда доход делится между двумя сторонами.

Аналитики Recorded Future называют Scattered Spider «объединяющим термином», а не централизованной группой. Она возникла из сообщества The Com, объединяющего участников, занимающихся различными преступными действиями, включая мошенничество и киберпреследование. Участники общаются через закрытые каналы Discord и Telegram.

Киаран Мартин, бывший глава Национального центра кибербезопасности Великобритании, отметил необычность группы: «Большинство программ-вымогателей связано с Россией. Эта группа не из России, хотя для атаки использовала российский код DragonForce. Их местоположение — здесь и в США, что облегчает возможность ареста».

Мартин добавил, что юный возраст участников не снижает опасность: «Это необычная, но потенциально опасная группа».

Scattered Spider остаётся примером того, как современные киберугрозы используют социальную инженерию и технологические инструменты для получения доступа к корпоративным системам, подчеркивая необходимость бдительности и защиты данных.