Впреступном мире, подпитываемом позором и деньгами, который оставляет за собой след из человеческих страданий, разрозненный коллектив, в просторечии известный как «Рассеянный паук», отклоняется от многих норм в киберпреступности.
Хитрая группа угроз, состоящая из молодых людей, для которых английский язык является родным, не имеет сплоченности, в ней процветает внутренняя борьба и у нее нет сайта для утечки данных, который многие финансово мотивированные киберпреступники используют, чтобы взять на себя ответственность за предполагаемых жертв и усилить давление с целью получения вымогательства.
Излюбленные методы Scattered Spider — социальная инженерия и фишинг — затрудняют для большинства специалистов по борьбе с киберпреступностью возможность с уверенностью приписывать атаки этой группе. Эта киберпреступная организация не оставляет после себя тех следов, которые обычно отслеживают исследователи, и в результате в отрасли существуют значительные разногласия и неопределенность относительно того, что такое Scattered Spider, как он определяет цели и какие компании он атаковал.
Поскольку Scattered Spider поднялся в рейтинге киберпреступников (последним подозреваемым было нападение на Marks & Spencer в Соединенном Королевстве, United Natural Foods , WestJet и Hawaiian Airlines ), исследователи собирали улики, указывающие на эту организацию и ее деятельность.
После короткого перерыва, начавшегося прошлым летом, Scattered Spider возобновила свою деятельность в начале этого года и атаковала десятки компаний в сфере розничной торговли, страхования и авиации. Группировка впервые приобрела известность благодаря атакам на MGM Resorts и Caesars Entertainment в 2023 году.
По данным исследователей, с 2022 года Scattered Spider проник более чем в 100 предприятий, поразив организации в сфере гостеприимства и игорного бизнеса, производства, технологий и облачных сервисов, телекоммуникаций, розничной торговли, производства, производства продуктов питания, страхования и финансовых услуг, средств массовой информации, одежды, аутсорсинга бизнес-процессов, здравоохранения, транспорта и авиации.
По данным CyberScoop, общая сумма вымогательства, полученная группировкой, превышает 66 миллионов долларов, но, вероятно, она собрала гораздо больше. «У меня были клиенты, которые платили им восьмизначные суммы», — сказал Чарльз Кармакал, технический директор Mandiant Consulting, которая отслеживает группировку под номером UNC3944.
Исследователи утверждают, что Scattered Spider не всегда шифрует данные или системы, но когда это происходит, группировка использует несколько вариантов программ-вымогателей, включая Akira, AlphV, Play, Qilin, RansomHub и совсем недавно DragonForce.
Синтия Кайзер, старший вице-президент центра исследований программ-вымогателей компании Halcyon, описывает Scattered Spider как «децентрализованную, но тесно сплоченную группу» с четким разделением ролей и обязанностей. В её состав входит небольшая группа из двух-четырех старших операторов и руководителей, которые выполняют функции менеджеров проектов, координируя действия с посредниками, предоставляющими первоначальный доступ, партнерами программ-вымогателей и переговорщиками.
«Тем временем у вас есть новички и младшие филиалы, и они проводят все эти операции более низкого уровня, чтобы проявить себя, пытаясь проверить пороги обнаружения», — сказал Кайзер , бывший заместитель помощника директора отдела киберполитики, разведки и взаимодействия ФБР.
Исследователи сомневаются в точном количестве участников Scattered Spider из-за многоуровневой структуры. Внутренний круг узкий, за ним следуют десятки других, а затем ещё более обширная группа людей, которые входят и выходят из группы для содействия операциям, сообщили CyberScoop специалисты по реагированию на инциденты.
Scattered Spider — это ответвление The Com , гораздо более крупной общественной сети, насчитывающей более 1000 человек, ответственных за широкий спектр преступлений, включая социальную инженерию, кражу криптовалют, фишинг, подмену SIM-карт, вымогательство, сексуальное вымогательство, сваттинг, похищение людей и убийства.
По словам Кармакала, хотя объем и интенсивность атак, связанных со Scattered Spider после его возрождения, могут показаться необычайными, в предыдущие годы темпы активности группировки были намного выше.
На протяжении многих лет жертвы Scattered Spider сообщали об атаках, однако формально они никогда не были приписаны этому киберпреступному сообществу.
«Это снова примечательно, потому что мы уделяем этой группе больше внимания, — сказал Кармакал. — Теперь мы говорим о них, и люди проявляют к ним интерес, потому что видели реальные последствия их кибератак. Вот в чём разница».
«В марте они фактически отказались от всех своих фишинговых страниц, отказались от всех своих прежних тактик и вернулись к своим первоначальным схемам», — сказал Зак Эдвардс, исследователь угроз в Silent Push.
В последние несколько месяцев Scattered Spider в основном проникал в сети компаний, используя методы социальной инженерии, применяемые сотрудниками службы поддержки. Это включает в себя запросы на сброс паролей, удаление номеров телефонов из систем многофакторной аутентификации для регистрации новых устройств или добавление номера телефона в учётную запись для самостоятельного сброса пароля.
«Как только Scattered Spider звонит в службу поддержки и дозванивается до них, начинается отсчет времени, и у службы поддержки остается лишь определенное количество времени на закрытие тикета, чтобы достичь своих показателей», — сказал Адам Мейерс, старший вице-президент по противодействию злоумышленникам в CrowdStrike.
«Они пользуются тем, что эти службы поддержки подтверждают подлинность человека, просто проверяя предоставленные ему критерии», — сказал он.
По словам Криса Юла, директора по исследованию угроз в подразделении Sophos Counter Threat Unit, эти звонящие добились большого успеха, не прилагая особых усилий. «В некоторых случаях, если не во многих, они вообще не встречают серьёзного сопротивления или какого-либо сопротивления, которое им приходится преодолевать».
Среди исследователей угроз ведутся споры о том, в какой степени Scattered Spider намеренно нацеливается на отдельные отрасли, прежде чем переключиться на новые секторы, или же он просто атакует аутсорсинговые компании, предоставляющие услуги службы поддержки, у которых, как ни странно, много клиентов в определенной отрасли.
Исследователи из Halcyon заявили, что недавние атаки на британских ритейлеров и американские страховые компании, вероятно, были вызваны, по крайней мере частично, взломом Scattered Spider поставщиков услуг аутсорсинга бизнес-процессов .
Кармакал не считает, что Scattered Spider методично атакует именно службы аутсорсинга ИТ-поддержки, и предостерегает людей от вывода о том, что какой-либо конкретный поставщик услуг службы технической поддержки является источником взлома.
Когда Mandiant заявляет, что Scattered Spider нацелен на определённый сектор, с точки зрения расследования, атаки следуют одной и той же схеме действий злоумышленников. «Всё дело в том, как они получают доступ к учётным данным. В том, что они делают сразу после получения учётных данных. В том, как они используют учётные данные на контроллерах домена совершенно уникальным образом. В том, какой инструментарий они используют. В том, что они повторно используют инфраструктуру», — сказал Кармакал.
«Существует множество закономерностей, которые позволяют нам предсказать их действия в ближайшие дни и недели, и эти закономерности и предсказуемость могут измениться в любой момент. Это очень мощная группа, — продолжил он. — Я вижу закономерности во всей совокупности инцидента. Это не может быть просто закономерностью в социальной инженерии и телефонном звонке».
Scattered Spider — не единственная киберпреступная группировка, использующая социальную инженерию или атакующая организации в секторах, известных своей деятельностью. Тем не менее, Scattered Spider часто получает необоснованные приписки за деятельность, выходящую за рамки его компетенции.
Другие группы угроз, такие как UNC6040 , также связанная с Com, атаковали компании в тех же секторах, используя социальную инженерию. Google Threat Intelligence Group приписала UNC6040 не менее 20 атак по состоянию на прошлый месяц.
«Деятельность, связанная с социальной инженерией службы поддержки, может выглядеть и ощущаться как Scattered Spider», но некоторые отраслевые обозреватели преждевременно делают выводы об атрибуции, сказал Кармакал.
«Они атакуют самое слабое звено в цепочке безопасности — человека», — сказал Мейерс. «Они очень быстры, и как только они получают доступ, у вас зачастую есть меньше 48, а то и 24 часов, чтобы найти их и уничтожить в вашей инфраструктуре, прежде чем они успеют запустить шифрование. Поэтому скорость — это убийственный фактор».
«Если кто-то не уберёт их с поля, они продолжат делать то, что делают», — добавил он. «Нет причин не делать этого».
Эдвардс отметил, что атаки с использованием социальной инженерии были успешными с момента появления телефона. «Голосовое подтверждение — отличный способ обойти систему безопасности. Если вы знаете ключевые фразы — сленг, жаргон — это голос доверия», — сказал он.
«Если вы звоните, вы знаете, что сказать, знаете, о чём вас спросят, и у вас уже готовы ответы», — добавил Эдвардс. «Это невероятно эффективный способ завоевать доверие человека, а затем заставить его сделать то, чего он обычно не делает».
Хитрая группа угроз, состоящая из молодых людей, для которых английский язык является родным, не имеет сплоченности, в ней процветает внутренняя борьба и у нее нет сайта для утечки данных, который многие финансово мотивированные киберпреступники используют, чтобы взять на себя ответственность за предполагаемых жертв и усилить давление с целью получения вымогательства.
Излюбленные методы Scattered Spider — социальная инженерия и фишинг — затрудняют для большинства специалистов по борьбе с киберпреступностью возможность с уверенностью приписывать атаки этой группе. Эта киберпреступная организация не оставляет после себя тех следов, которые обычно отслеживают исследователи, и в результате в отрасли существуют значительные разногласия и неопределенность относительно того, что такое Scattered Spider, как он определяет цели и какие компании он атаковал.
Поскольку Scattered Spider поднялся в рейтинге киберпреступников (последним подозреваемым было нападение на Marks & Spencer в Соединенном Королевстве, United Natural Foods , WestJet и Hawaiian Airlines ), исследователи собирали улики, указывающие на эту организацию и ее деятельность.
После короткого перерыва, начавшегося прошлым летом, Scattered Spider возобновила свою деятельность в начале этого года и атаковала десятки компаний в сфере розничной торговли, страхования и авиации. Группировка впервые приобрела известность благодаря атакам на MGM Resorts и Caesars Entertainment в 2023 году.
По данным исследователей, с 2022 года Scattered Spider проник более чем в 100 предприятий, поразив организации в сфере гостеприимства и игорного бизнеса, производства, технологий и облачных сервисов, телекоммуникаций, розничной торговли, производства, производства продуктов питания, страхования и финансовых услуг, средств массовой информации, одежды, аутсорсинга бизнес-процессов, здравоохранения, транспорта и авиации.
По данным CyberScoop, общая сумма вымогательства, полученная группировкой, превышает 66 миллионов долларов, но, вероятно, она собрала гораздо больше. «У меня были клиенты, которые платили им восьмизначные суммы», — сказал Чарльз Кармакал, технический директор Mandiant Consulting, которая отслеживает группировку под номером UNC3944.
Исследователи утверждают, что Scattered Spider не всегда шифрует данные или системы, но когда это происходит, группировка использует несколько вариантов программ-вымогателей, включая Akira, AlphV, Play, Qilin, RansomHub и совсем недавно DragonForce.
Синтия Кайзер, старший вице-президент центра исследований программ-вымогателей компании Halcyon, описывает Scattered Spider как «децентрализованную, но тесно сплоченную группу» с четким разделением ролей и обязанностей. В её состав входит небольшая группа из двух-четырех старших операторов и руководителей, которые выполняют функции менеджеров проектов, координируя действия с посредниками, предоставляющими первоначальный доступ, партнерами программ-вымогателей и переговорщиками.
«Тем временем у вас есть новички и младшие филиалы, и они проводят все эти операции более низкого уровня, чтобы проявить себя, пытаясь проверить пороги обнаружения», — сказал Кайзер , бывший заместитель помощника директора отдела киберполитики, разведки и взаимодействия ФБР.
Исследователи сомневаются в точном количестве участников Scattered Spider из-за многоуровневой структуры. Внутренний круг узкий, за ним следуют десятки других, а затем ещё более обширная группа людей, которые входят и выходят из группы для содействия операциям, сообщили CyberScoop специалисты по реагированию на инциденты.
Scattered Spider — это ответвление The Com , гораздо более крупной общественной сети, насчитывающей более 1000 человек, ответственных за широкий спектр преступлений, включая социальную инженерию, кражу криптовалют, фишинг, подмену SIM-карт, вымогательство, сексуальное вымогательство, сваттинг, похищение людей и убийства.
По словам Кармакала, хотя объем и интенсивность атак, связанных со Scattered Spider после его возрождения, могут показаться необычайными, в предыдущие годы темпы активности группировки были намного выше.
На протяжении многих лет жертвы Scattered Spider сообщали об атаках, однако формально они никогда не были приписаны этому киберпреступному сообществу.
«Это снова примечательно, потому что мы уделяем этой группе больше внимания, — сказал Кармакал. — Теперь мы говорим о них, и люди проявляют к ним интерес, потому что видели реальные последствия их кибератак. Вот в чём разница».
Социальная инженерия в службе поддержки
Ещё одно изменение касается тактики группировки. Хотя первые атаки Scattered Spider в 2022 и 2023 годах были результатом атак с использованием социальной инженерии, в течение большей части 2024 года группировка перешла к фишингу с использованием доменов, прежде чем её активность сошла на нет прошлым летом. Возрождение группировки в этом году знаменует собой возврат к прежней тактике, поскольку она вновь полностью полагалась на социальную инженерию в качестве первоначального вектора доступа.«В марте они фактически отказались от всех своих фишинговых страниц, отказались от всех своих прежних тактик и вернулись к своим первоначальным схемам», — сказал Зак Эдвардс, исследователь угроз в Silent Push.
В последние несколько месяцев Scattered Spider в основном проникал в сети компаний, используя методы социальной инженерии, применяемые сотрудниками службы поддержки. Это включает в себя запросы на сброс паролей, удаление номеров телефонов из систем многофакторной аутентификации для регистрации новых устройств или добавление номера телефона в учётную запись для самостоятельного сброса пароля.
«Как только Scattered Spider звонит в службу поддержки и дозванивается до них, начинается отсчет времени, и у службы поддержки остается лишь определенное количество времени на закрытие тикета, чтобы достичь своих показателей», — сказал Адам Мейерс, старший вице-президент по противодействию злоумышленникам в CrowdStrike.
«Они пользуются тем, что эти службы поддержки подтверждают подлинность человека, просто проверяя предоставленные ему критерии», — сказал он.
По словам Криса Юла, директора по исследованию угроз в подразделении Sophos Counter Threat Unit, эти звонящие добились большого успеха, не прилагая особых усилий. «В некоторых случаях, если не во многих, они вообще не встречают серьёзного сопротивления или какого-либо сопротивления, которое им приходится преодолевать».
Среди исследователей угроз ведутся споры о том, в какой степени Scattered Spider намеренно нацеливается на отдельные отрасли, прежде чем переключиться на новые секторы, или же он просто атакует аутсорсинговые компании, предоставляющие услуги службы поддержки, у которых, как ни странно, много клиентов в определенной отрасли.
Исследователи из Halcyon заявили, что недавние атаки на британских ритейлеров и американские страховые компании, вероятно, были вызваны, по крайней мере частично, взломом Scattered Spider поставщиков услуг аутсорсинга бизнес-процессов .
Кармакал не считает, что Scattered Spider методично атакует именно службы аутсорсинга ИТ-поддержки, и предостерегает людей от вывода о том, что какой-либо конкретный поставщик услуг службы технической поддержки является источником взлома.
Mandiant определяет модели атрибуции
Компания Mandiant, предоставлявшая услуги реагирования на инциденты многим жертвам Scattered Spider, неоднократно предупреждала о схемах атак в той или иной отрасли, включая переориентацию на розничные сети в США, а в последнее время — на страховую отрасль и североамериканские авиакомпании. Каждое из этих зловещих предупреждений подтверждалось спустя несколько дней или недель, когда в этих секторах стали выявляться случаи атак.Когда Mandiant заявляет, что Scattered Spider нацелен на определённый сектор, с точки зрения расследования, атаки следуют одной и той же схеме действий злоумышленников. «Всё дело в том, как они получают доступ к учётным данным. В том, что они делают сразу после получения учётных данных. В том, как они используют учётные данные на контроллерах домена совершенно уникальным образом. В том, какой инструментарий они используют. В том, что они повторно используют инфраструктуру», — сказал Кармакал.
«Существует множество закономерностей, которые позволяют нам предсказать их действия в ближайшие дни и недели, и эти закономерности и предсказуемость могут измениться в любой момент. Это очень мощная группа, — продолжил он. — Я вижу закономерности во всей совокупности инцидента. Это не может быть просто закономерностью в социальной инженерии и телефонном звонке».
Scattered Spider — не единственная киберпреступная группировка, использующая социальную инженерию или атакующая организации в секторах, известных своей деятельностью. Тем не менее, Scattered Spider часто получает необоснованные приписки за деятельность, выходящую за рамки его компетенции.
Другие группы угроз, такие как UNC6040 , также связанная с Com, атаковали компании в тех же секторах, используя социальную инженерию. Google Threat Intelligence Group приписала UNC6040 не менее 20 атак по состоянию на прошлый месяц.
«Деятельность, связанная с социальной инженерией службы поддержки, может выглядеть и ощущаться как Scattered Spider», но некоторые отраслевые обозреватели преждевременно делают выводы об атрибуции, сказал Кармакал.
Сеть разрушений дрейфует по ветру
Разрушительная сеть Scattered Spider продолжает существовать и захватывать все больше жертв, поскольку ее методы и специализация в нацеливании на облако и идентификационные данные работают во всех секторах.«Они атакуют самое слабое звено в цепочке безопасности — человека», — сказал Мейерс. «Они очень быстры, и как только они получают доступ, у вас зачастую есть меньше 48, а то и 24 часов, чтобы найти их и уничтожить в вашей инфраструктуре, прежде чем они успеют запустить шифрование. Поэтому скорость — это убийственный фактор».
«Если кто-то не уберёт их с поля, они продолжат делать то, что делают», — добавил он. «Нет причин не делать этого».
Эдвардс отметил, что атаки с использованием социальной инженерии были успешными с момента появления телефона. «Голосовое подтверждение — отличный способ обойти систему безопасности. Если вы знаете ключевые фразы — сленг, жаргон — это голос доверия», — сказал он.
«Если вы звоните, вы знаете, что сказать, знаете, о чём вас спросят, и у вас уже готовы ответы», — добавил Эдвардс. «Это невероятно эффективный способ завоевать доверие человека, а затем заставить его сделать то, чего он обычно не делает».
