Школьники против сверхдержав: хаос в Британии, Канаде и США устроили подростки из Telegram-чатов
NewsMakerПока взрослые обсуждают политику, подростки уже рушат экономику.
В последние недели в Великобритании, США и Канаде участились сбои, которые обычно ассоциируются с масштабными кризисами — будь то чрезвычайные погодные явления, эпидемии или международные конфликты. Пустые полки в магазинах, отменённые авиарейсы и перебои в логистике на этот раз стали следствием не стихийных бедствий, а кибератак, за которыми, по данным специалистов, стоит известная группировка Scattered Spider.
Группа уже давно прославилась использованием методов социальной инженерии для проникновения в системы компаний. Злоумышленники успешно обманывают сотрудников IT-поддержки, выдавая себя за коллег, и получают доступ к внутренним системам. Они тщательно изучают особенности работы компаний в определённых сферах, а затем проводят серию атак, прежде чем переключиться на другой сектор экономики. После взлома хакеры обычно применяют вымогательское ПО или занимаются шантажом, угрожая публикацией украденных данных.
После того как в прошлом году правоохранительные органы усилили давление на киберпреступников, дело дошло до арестов и выдвижения обвинений против пяти предполагаемых участников Scattered Spider . Это вынудило группу временно снизить активность. Однако недавние атаки показали, что группировка не только не исчезла, но и вновь набрала силу.
По словам Джона Халтквиста, руководителя аналитического отдела Google в сфере киберугроз, участники Scattered Spider обладают уникальными навыками социальной инженерии и выявили серьёзную уязвимость в существующих системах безопасности. Эти пробелы позволяют преступникам атаковать ключевую инфраструктуру и критически важные отрасли.
Хотя официальных подтверждений не так много, именно Scattered Spider связывают с серией громких атак на британские продуктовые сети, страховые компании в Северной Америке и международные авиакомпании. В мае Национальное агентство по борьбе с преступностью Великобритании официально заявило, что проверяет причастность этой группы к атакам на местные розничные сети. А ФБР выпустило предупреждение о расширении деятельности Scattered Spider, включая сектор авиаперевозок . Почти одновременно канадская авиакомпания WestJet и Hawaiian Airlines из США сообщили о киберинцидентах. Позднее о похожем происшествии заявила австралийская авиакомпания Qantas, но её связь с деятельностью Scattered Spider пока не подтверждена.
В начале 2024 года активность Scattered Spider заметно снизилась, но за последние месяцы группа «вернулась с удвоенной силой», последовательно атакуя сначала розничную торговлю, затем страховые компании, а теперь и авиакомпании .
Группировка появилась на слуху к концу 2023 года, когда её участники переключились с атак по подмене SIM-карт на разрушительные кибератаки с применением шифровальщиков. В частности, были поражены Caesars Entertainment и MGM Resorts , последней из которых восстановление стоило около 100 миллионов долларов. Специалисты подчёркивают, что мотивом группы остаётся исключительно финансовая выгода. По их словам, большинство участников — это молодые люди, говорящие на английском языке и проживающие в США или Великобритании. Scattered Spider считается ответвлением так называемой сети Com , объединяющей тысячи мелких преступников, среди которых встречаются как тролли и шантажисты, так и лица, замешанные в более тяжёлых преступлениях.
Тактика Scattered Spider всё больше сводится к социальной инженерии. Злоумышленники часто выдают себя за сотрудников, якобы потерявших доступ к своим аккаунтам, и через IT-поддержку получают возможность сбросить многофакторную аутентификацию. Они также создают фишинговые сайты, внешне неотличимые от настоящих, где в адресе присутствуют названия целевых организаций и такие слова, как «okta», «vpn» или «helpdesk». Оказавшись внутри сетей, они внедряют различные программы-вымогатели или похищают данные для последующего шантажа.
Ключевые атаки планируют примерно четыре участника Scattered Spider, которые по мере необходимости используют ресурсы широкой сети Com. Численность и структура группировки точно не известны, но специалисты подчёркивают, что для атак активно задействуются сторонние сервисы. Как отмечает Халтквист из Google, борьба с такими группами крайне сложна, поскольку противостоять приходится не отдельным людям, а целой криминальной экосистеме. Даже если один сервис по созданию вымогательских программ блокируется, ему тут же находится замена.
Участники Scattered Spider и Com взаимодействуют через сообщества на платформах вроде Discord и Telegram. Новые участники учатся у более опытных, перенимая их знания и практики. Такая среда способствует не только обмену опытом, но и постоянному усложнению методов атак. Некоторые члены группировки нацелены на крупные корпорации, другие занимаются менее заметными преступлениями, такими как взлом аккаунтов бирж криптовалют. По словам специалистов, всё это делает деятельность Scattered Spider особенно устойчивой, ведь фактически речь идёт о теневом рынке, где каждый участник легко заменим.
В последние недели в Великобритании, США и Канаде участились сбои, которые обычно ассоциируются с масштабными кризисами — будь то чрезвычайные погодные явления, эпидемии или международные конфликты. Пустые полки в магазинах, отменённые авиарейсы и перебои в логистике на этот раз стали следствием не стихийных бедствий, а кибератак, за которыми, по данным специалистов, стоит известная группировка Scattered Spider.
Группа уже давно прославилась использованием методов социальной инженерии для проникновения в системы компаний. Злоумышленники успешно обманывают сотрудников IT-поддержки, выдавая себя за коллег, и получают доступ к внутренним системам. Они тщательно изучают особенности работы компаний в определённых сферах, а затем проводят серию атак, прежде чем переключиться на другой сектор экономики. После взлома хакеры обычно применяют вымогательское ПО или занимаются шантажом, угрожая публикацией украденных данных.
После того как в прошлом году правоохранительные органы усилили давление на киберпреступников, дело дошло до арестов и выдвижения обвинений против пяти предполагаемых участников Scattered Spider . Это вынудило группу временно снизить активность. Однако недавние атаки показали, что группировка не только не исчезла, но и вновь набрала силу.
По словам Джона Халтквиста, руководителя аналитического отдела Google в сфере киберугроз, участники Scattered Spider обладают уникальными навыками социальной инженерии и выявили серьёзную уязвимость в существующих системах безопасности. Эти пробелы позволяют преступникам атаковать ключевую инфраструктуру и критически важные отрасли.
Хотя официальных подтверждений не так много, именно Scattered Spider связывают с серией громких атак на британские продуктовые сети, страховые компании в Северной Америке и международные авиакомпании. В мае Национальное агентство по борьбе с преступностью Великобритании официально заявило, что проверяет причастность этой группы к атакам на местные розничные сети. А ФБР выпустило предупреждение о расширении деятельности Scattered Spider, включая сектор авиаперевозок . Почти одновременно канадская авиакомпания WestJet и Hawaiian Airlines из США сообщили о киберинцидентах. Позднее о похожем происшествии заявила австралийская авиакомпания Qantas, но её связь с деятельностью Scattered Spider пока не подтверждена.
В начале 2024 года активность Scattered Spider заметно снизилась, но за последние месяцы группа «вернулась с удвоенной силой», последовательно атакуя сначала розничную торговлю, затем страховые компании, а теперь и авиакомпании .
Группировка появилась на слуху к концу 2023 года, когда её участники переключились с атак по подмене SIM-карт на разрушительные кибератаки с применением шифровальщиков. В частности, были поражены Caesars Entertainment и MGM Resorts , последней из которых восстановление стоило около 100 миллионов долларов. Специалисты подчёркивают, что мотивом группы остаётся исключительно финансовая выгода. По их словам, большинство участников — это молодые люди, говорящие на английском языке и проживающие в США или Великобритании. Scattered Spider считается ответвлением так называемой сети Com , объединяющей тысячи мелких преступников, среди которых встречаются как тролли и шантажисты, так и лица, замешанные в более тяжёлых преступлениях.
Тактика Scattered Spider всё больше сводится к социальной инженерии. Злоумышленники часто выдают себя за сотрудников, якобы потерявших доступ к своим аккаунтам, и через IT-поддержку получают возможность сбросить многофакторную аутентификацию. Они также создают фишинговые сайты, внешне неотличимые от настоящих, где в адресе присутствуют названия целевых организаций и такие слова, как «okta», «vpn» или «helpdesk». Оказавшись внутри сетей, они внедряют различные программы-вымогатели или похищают данные для последующего шантажа.
Ключевые атаки планируют примерно четыре участника Scattered Spider, которые по мере необходимости используют ресурсы широкой сети Com. Численность и структура группировки точно не известны, но специалисты подчёркивают, что для атак активно задействуются сторонние сервисы. Как отмечает Халтквист из Google, борьба с такими группами крайне сложна, поскольку противостоять приходится не отдельным людям, а целой криминальной экосистеме. Даже если один сервис по созданию вымогательских программ блокируется, ему тут же находится замена.
Участники Scattered Spider и Com взаимодействуют через сообщества на платформах вроде Discord и Telegram. Новые участники учатся у более опытных, перенимая их знания и практики. Такая среда способствует не только обмену опытом, но и постоянному усложнению методов атак. Некоторые члены группировки нацелены на крупные корпорации, другие занимаются менее заметными преступлениями, такими как взлом аккаунтов бирж криптовалют. По словам специалистов, всё это делает деятельность Scattered Spider особенно устойчивой, ведь фактически речь идёт о теневом рынке, где каждый участник легко заменим.