В современном мире киберугрозы становятся все более изощренными и направленными на критически важные отрасли. Одним из ярких примеров является деятельность хакерской группировки Scattered Spider, которая недавно сместила фокус с розничной торговли и страхового бизнеса на авиацию и транспортный сектор. Эта перемена в тактике неслучайна и ставит под серьезное испытание безопасность инфраструктуры крупных компаний, задействованных в перевозках и авиасообщении. Группировка Scattered Spider известна своими сложными атаками, основанными на социальной инженерии и злоупотреблении технологиями многофакторной аутентификации (МФА). Их методы включают фишинг, бомбардировку запросами к МФА для вызывания усталости у жертв и подмену SIM-карт.
Такой подход позволяет злоумышленникам легко получить первичный доступ к внутренним сетям корпораций, обходя стандартные меры защиты. Первые крупные инциденты, связанные с деятельностью Scattered Spider, были зафиксированы в розничном секторе, где пострадали компании в Великобритании и США, включая таких гигантов, как M&S и Co-op. После этого хакеры переключились на страховые организации, затронув Aflac, Erie Insurance и Philadelphia Insurance Companies. Однако недавние атаки на авиакомпании свидетельствуют о новом, более опасном этапе их деятельности. 12 июня 2025 года в Канаде был совершён киберинцидент против второго по величине перевозчика WestJet.
Этот инцидент временно нарушил работу внутренних сервисов компании и мобильного приложения для пассажиров. В расследовании инцидента приняли участие эксперты из Palo Alto Networks и Microsoft, что говорит о серьезности компрометации. Хакерам удалось получить доступ через механизм самообслуживания по сбросу пароля сотрудника, зарегистрировав свой собственный МФА-устройство и получив доступ к сети через Citrix. Подобные методы отражают характерные черты стратегии Scattered Spider, которые активно нацеливаются на службы поддержки и системы управления паролями и МФА. На этом фоне Hawaiian Airlines также сообщили о кибератаке, хотя конкретные детали пока не разглашаются.
Однако источники связывают этот инцидент с той же группировкой. Аналитики Palo Alto Networks и Mandiant подтвердили, что авиационная отрасль стала новой мишенью для Scattered Spider, а транспортный сектор фактически включен в список приоритетных целей. Эксперты предупреждают, что с увеличением числа атак отрасли необходимо усилить системы проверки личности в службах поддержки, чтобы предотвратить возможность злоумышленников регистрировать новые номера телефонов, выполнять сброс паролей или добавлять устройства к МФА-системам. Особое внимание стоит уделить тому, чтобы минимизировать риски социальных инженерных атак, которые остаются одним из любимых инструментов группировки. Scattered Spider, известная также под разными псевдонимами, такими как 0ktapus, Starfraud, UNC3944 и Muddled Libra, представляет собой группу молодых англоговорящих хакеров с разнообразными навыками.
Они объединяются в неформальные сообщества, используя платформы Telegram и Discord для обмена информацией и координации атак в режиме реального времени. В некоторых случаях они взаимодействуют с русскоязычными рэйнсомэнс группами, такими как BlackCat и DragonForce, что расширяет их возможности и ресурсы. Примечательно, что хотя Scattered Spider зачастую воспринимается как единая организация, на деле это скорее сеть отдельных злоумышленников, использующих общие тактики и методы. Это осложняет работу правоохранительных органов и специалистов по кибербезопасности, так как узнать и пресечь всю активность становится сложнее. Помимо авиации и транспорта, группировка связывается с рядами высокопрофильных атак на такие компании, как MGM, Twilio, Coinbase, DoorDash и Reddit.
В каждом случае злоумышленники использовали социальную инженерию для проникновения и распространения, а затем вымогательства или кражи данных. Для организаций, которые хотят противостоять угрозам от Scattered Spider, важнейшей задачей является полная видимость и контроль над инфраструктурой, системами идентификации и ключевыми сервисами управления. Особое внимание необходимо уделять надежности служб поддержки и инструментам управления паролями и МФА. В этом направлении уже вышли рекомендации от Google Threat Intelligence Group и Palo Alto Networks, которые помогают скорректировать политики безопасности и усилить защиту от атак с использованием методов социальной инженерии. Резюмируя, можно сказать, что активизация Scattered Spider в авиации и транспорте говорит о растущем уровне риска для критически важных отраслей национальной и международной безопасности.
Учитывая серьезность и изощренность методов, профессионалам по информационной безопасности необходимо принять комплексные меры для предотвращения проникновений, своевременного реагирования на инциденты и обучения персонала эффективным защитным практикам. Сегодня киберпреступники становятся все более изобретательными, а масштабы их атак расширяются, поэтому только регулярный аудит систем безопасности, инвестиции в современные технологии и повышение осведомленности сотрудников позволят минимизировать урон и сохранить доверие клиентов и партнеров. Авиационным и транспортным компаниям стоит обратить пристальное внимание на информацию о группировке Scattered Spider и эффективно использовать рекомендации отраслевых лидеров для создания устойчивой к атакам киберзащиты.
