Scattered Spider, одна из самых известных группировок киберпреступников, вновь проявила себя на киберпространстве, нацеливаясь на финансовый сектор США и других стран. Несмотря на официальные заявления о прекращении деятельности, анализ последних инцидентов показывает, что группа не только продолжает функционировать, но и меняет свои методы, усложняя задачу по их обнаружению и пресечению их действий. Этот поворот вызывает тревогу у специалистов по информационной безопасности и финансовых организаций, которые традиционно считаются одними из наиболее защищённых целей, но при этом чрезвычайно привлекательными для злоумышленников. Свежие данные от компании ReliaQuest подтверждают, что Scattered Spider сосредотачивается на финансовом секторе, используя новые техники проникновения и проникновения. Одним из ключевых способов компрометации стала социальная инженерия, ориентированная на высокопоставленных сотрудников.
В частности, группа успешно получила доступ через сброс пароля исполнительного аккаунта, используя для этого Azure Active Directory Self-Service Password Management. Затем злоумышленники получили доступ к конфиденциальным IT и безопасностным документам, что позволило им продвинуться дальше по корпоративной инфраструктуре, включая среды Citrix, VPN и VMware ESXi. Такое передвижение стало возможным благодаря сбросу пароля сервиса Veeam с последующим присвоением прав администратора на уровне Azure Global Administrator. Важным аспектом деятельности Scattered Spider стала манипуляция виртуальными машинами и инфраструктурой облачных сервисов с целью скрыть следы проникновения и вытащить ценные данные. Среди затронутых репозиториев специалисты отметили Snowflake и Amazon Web Services (AWS).
После таких масштабных действий становится очевидным, что группа не намерена уходить в тень, несмотря на публичные заявления о "затухании" и предполагаемом прекращении работы наряду с другими группами, такими как LAPSUS$. Scattered Spider не существует изолированно; она является частью более широкой сети, именуемой The Com, где происходит активное пересечение с группировками ShinyHunters и LAPSUS$. Именно поэтому появился термин "scattered LAPSUS$ hunters", который объединяет эти сообщества. Такая синергия позволяет им обмениваться методами атак и ресурсами, а также усложняет атрибуцию - процесс определения конкретных виновников кибератак. ShinyHunters, например, известны своей работой по вымогательству, особенно после компрометации клиентских данных Salesforce, что позволяет создавать долгосрочное давление на жертв.
Эксперты по кибербезопасности предостерегают, что заявления о "выходе на пенсию" киберпреступных групп зачастую являются стратегическим ходом - попыткой уйти с радаров правоохранительных органов и представителей индустрии защиты. По словам Карла Сиглера из Trustwave, данное решение скорее свидетельствует о временной паузе, позволяющей участникам группы переосмыслить и усовершенствовать свои методы, а также скрыться от усиленного внимания властей. Исторически сложилось так, что многие преступные коллективы возвращаются после такого "отхода" под новыми именами и с расширенными инструментами атаки. Недавний отчет компании EclecticIQ выявил, что ShinyHunters используют мощности Scattered Spider и The Com для организации голосовых фишинг-атак с помощью современных платформ искусственного интеллекта, таких как Vapi и Bland AI. Эти технологии позволяют создавать динамическое взаимодействие с жертвами в режиме реального времени, адаптируя речевые ответы и интонацию, что значительно повышает успех обмана.
Такие методы делают атаки сложными для распознавания и отражения традиционными средствами защиты. Кроме того, ShinyHunters известны тем, что маскируются под страницы входа Okta SSO (Single Sign-On), что используется для кражи учетных данных в высокоценных сферах, включая инвестиционный банкинг, роскошную розницу, транспорт и крупные платежные системы. По информации Bleeping Computer, группировка также получила нелегальный доступ к более чем 1.5 миллиардам записей Salesforce из 760 компаний посредством злоупотребления токенами OAuth Salesloft Drift. Расширение операций этих групп включает не только фишинг и использование AI, но и внедрение инсайдеров - сотрудников или подрядчиков, которые могут предоставить прямой доступ к корпоративным сетям.
Такие комбинации позволяют эффективно нарушать безопасность крупных предприятий и системно выкачивать важные данные для последующего вымогательства или продажи на киберчерном рынке, где стоимость комплектов данных может превышать миллион долларов за компанию. Данный всплеск активности наглядно демонстрирует, что киберпреступные группировки не только адаптируются к меняющимся условиям информационной безопасности, но и активно используют новейшие технологии и тактики для повышения эффективности атак. Финансовые организации и другие компании должны воспринимать подобные угрозы всерьез и усиливать свои системы защиты, включая многофакторную аутентификацию, мониторинг пользовательской активности, жесткие политики управления доступом и обучение сотрудников. Рекомендуется также регулярно проводить аудит внутренних процессов и инфраструктуры, уделяя внимание облачным сервисам и сторонним инструментам, которые могут стать точками входа для злоумышленников. Применение принципов нулевого доверия (Zero Trust), автоматизация обнаружения аномалий и оперативное реагирование на инциденты позволят существенно снизить риски влияния таких мощных и опасных групп, как Scattered Spider и ассоциированные с ней сообщества.
В итоге ситуация с Scattered Spider служит наглядным примером того, что киберпреступные коллективы способны скрытно переформатироваться и возобновлять операции даже после громких заявлений о завершении деятельности. Это подчеркивает необходимость постоянной бдительности, инновационных подходов к защите и международного сотрудничества в борьбе с глобальными киберугрозами. Только таким образом можно надежно защитить финансовый сектор и критическую инфраструктуру от внешних и внутренних опасностей, создаваемых современными хакерскими группировками. .
