Хакерская группа, которая пронзила онлайн -оборону британского ритейлера Marks, и Spencer потратила месяцы в этом году, закладывая цифровые ловушки, предназначенные для того, чтобы обмануть сотрудников крупнейших в мире брендов отказаться от своих паролей.
Расширянный паук, который эксперты по кибербезопасности описывают как преступную банду мужского пола, англоязычного мошенника, наблюдали за регистрацией веб-сайтов почти идентичными названиями компании и обостряли свои наборы для инструментов вредоносного ПО.
Но их подпись — это исчерпывающая исследовательская компания, успешно выдавая их себя за телефонный звонок, и обманывает других коллег, чтобы передать информацию, необходимую для запуска кибератаки.
Сочетание онлайн -ловушек и настоящего мира подчиняется некоторым из самых известных хаков за последние годы, включая атаку 2023 года на казино MGM и курорты в Лас -Вегасе, которые закрыли отели вдоль знаменитой полосы города.
Они прорвались на M & S в прошлом месяце, погрузив британского ритейлера в кризис с достоинством до 300 млн. Фунтов стерлингов до операционной прибыли и вытирая более 600 млн фунтов стерлингов от рыночной капитализации.
Это не просто деньги. Те, кто изучал Scattered Spider, сказали, что его члены также заинтересованы в еще одной выгоде: права хвастаться.
«Они не исключительно финансово мотивированы — им нравится влияние, им нравится основное внимание средств массовой информации», — сказал Чарльз Кармакал, директор по технологиям Mandiant Consulting.
Хакеры являются лидерами в развивающейся преступной индустрии «вымогателей». Только в 2023 году жертвы выплатили не менее 1 млрд. Долл. США бандам, которые содержали свои данные, согласно цепочке, фирме, которая изучает блокчейн.
Тактика повзрослела в последние годы, так что у хакеров есть специальности. Разбросанный паук — среди тех, кто сосредоточен на начальном нарушении. Некоторые продают программные наборы, которые шифруют важные данные. Другие сосредотачиваются на требованиях выкупа, которые затягиваются в течение нескольких месяцев, сталкиваясь с опытными участниками переговоров, часто от страховых поставщиков. Даже если выплаты могут быть большими, каждая группа получает только ломтик.
Scattered Spider оставил работу по переговорам о своей зарплате с другой бандой вымогателей, которая называет себя Dragon Force. Если M & S выплачивается, Dragon Force разблокирует или удаляет собственные данные компании, лицо, представляющее хакеров, сообщили Financial Times. До сих пор нет никаких признаков того, что M & S уступила шантажу.
M & S, которая работала с правоохранительными и правительственными учреждениями, сказала: «Мы не можем вдаваться в подробности или спекуляции об инциденте, и им было рекомендовано не делать».
Разбросанный паук быстро двинулся. Зак Эдвардс, исследователь угроз из группы кибер-разведки в Вирджинии Silent Push, который смотрел онлайн-подготовку хакера, сказал, что в последние месяцы он пытался предупредить многие другие потенциальные цели.
Они включают в себя часовщика Audemars Piguet, Matchmaker Tinder, Fashion House Louis Vuitton, издатели Forbes и News Corp и даже производитель сэндвичей Chick-fil-A. Нет никаких доказательств того, что хакеры успешно преодолели киберзащиту этих компаний. Никто не ответил на запросы о комментариях.
Но сразу после Пасхи телефоны начали звонить на Столах розничных столов. По словам нескольких специалистов по кибербезопасности, которые были призваны помочь закрыть утечки, вызовы были, вероятно, были от разбросанных хакеров -пауков, притворяющихся сотрудниками.
«Они, как правило, поражают кучу компаний в том же секторе в течение нескольких недель, прежде чем двигаться дальше»,-сказал Кармакал из Mandiant, принадлежащего Google, который начал получать звонки от компаний SOS от компаний, «говоря нам, что они имеют дело с активной атакой».
В то время как M & S еще не показал, как именно их системы нарушили, лондонский Dynarisk, который отслеживает угрозы в Интернете, сказал, что скомпрометированные полномочия со стороны крупных британских ритейлеров торговляли наличными на онлайн-форумах.
Scattered Spider наиболее известен тем, что он освоил трюк под названием «Social Engineering», где они изучают онлайн-следы, оставленные сотрудниками среднего уровня в крупных фирмах, чтобы преодолеть службу поддержки.
«Они выбирают цель — возможно, старший разработчик — чтобы быть человеком, выдающим себя за себя, поэтому они могут знать свою девичью фамилию, свой домашний адрес, они, возможно, уже купили профиль брокера данных», — сказал Эдвардс Silent Push.
В предыдущих атаках хакеры выдавали себя за ИТ -работников, поскольку у их счетов есть привилегии, которые позволяют им быстро перемещаться через техническую инфраструктуру фирмы. Когда Scattered Spider нарушил MGM, один из старого пароля сотрудника был вариантом на имя его кошки, согласно набору данных, продаваемому в Интернете и увиденном Ft.
«Привет, похоже, я заперт по электронной почте — вы можете помочь сейчас, или я должен позвонить в рабочее время?» Человек с американским акцентом слышен в записи, отправленной в FT на Telegram человеком, утверждающим, что был нанят для выполнения голосовой работы для Scattered Spider.
Этот человек сказал, что ему заплатили в фракциях криптовалюты Ethereum, но последний транш так и не прибыл. Жаловая на отсутствие полной оплаты в канале Telegram, заполненного расистским майком, человек сказал, что им предоставили вход на номер голоса Google, который он затем использовал, чтобы позвонить в службу поддержки у крупного поставщика телекоммуникационных технологий США.
Человек удалил свой аккаунт телеграммы, когда его спросил FT для получения дополнительной проверки участия с Scattered Spider. Но имеет смысл, что хакеры наймут кого -то, чтобы следовать сценарию, потому что наличие собственных голосов на пленке облегчает их судебное преследование.
Хакеры предположительно держат свои собственные личности, защищенные друг от друга, называя друг друга Spider1, Spider2 и т. Д. В своих внутренних сообщениях, по словам участника, участвующего в взломе MGM, который говорил с FT в 2023 году.
Это не помешало правоохранительным органам отслеживать хотя бы несколько вниз. В отличие от взломанных бандов, действующих в Беларуси или России-за пределами досягаемости ФБР или Европола-англоязычные «пауки», как правило, живут на Западе.
Серия арестов в прошлом году в Испании, США и Великобритании временно нарушили группу. После перерыва, разбросанный паук, кажется, вернулся и наслаждается центром внимания. Одна фирма по кибербезопасности, которая специализируется на изучении их, Crowdstrike, продавала фигурки в группе хакерской группы.
Прежде чем удалить свой аккаунт, человек, предполагающий работу с хакерами, сказал, что все, что он хотел, было «ездой GR8 с SP1DER», добавив общую фразу среди тех, кто на канале Telegram: «Hakefief перед деньгами».
Дополнительные отчеты Лоры Ониты и Кирана Смита
