СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11.10.2025
#ИБ#Облака

Scattered Lapsus$ и «Троица хаоса»: новая волна киберугроз

Scattered Lapsus и 171Троица хаоса187: новая волна киберугроз

Источник: unit42.paloaltonetworks.com

Консорциум угроз, обозначаемый как Scattered Lapsus$ и включающий в себя, по оценкам аналитиков, членов групп Muddled Libra, Bling Libra и LAPSUS$, инициировал новую серию атак, в центре внимания которых — розничная торговля и гостиничный сектор. Этот конгломерат, прозванный «Троица хаоса», специализируется на вымогательстве данных: злоумышленники целенаправленно атакуют арендаторов Salesforce с целью похищения конфиденциальной информации и требования выкупа.

Кто стоит за операциями

Scattered Lapsus$ представляет собой межгрупповое партнерство, в котором объединяются ресурсы и компетенции нескольких киберпреступных коллективов. В результате такого слияния атакующие получают доступ к более широкому арсеналу тактик и инструментов, что повышает риск для корпоративных клиентов в уязвимых отраслях.

  • Muddled Libra — одна из групп-участниц, ранее замеченная в целенаправленных компрометациях;
  • Bling Libra — инициатор нового коммерческого предложения для преступного сообщества;
  • LAPSUS$ — известная своими резонансными операциями по краже данных и последующему шантажу;
  • Crimson Collective — недавно замеченный партнёр, сотрудничество с которым расширяет возможности скоординированных кампаний.

Ключевое изменение: запуск Extortion-as-a-Service

3 октября 2025 года Bling Libra представила модель Extortion-as-a-Service (EAAs). Новый сервис использует инфраструктуру существующих форумов по киберпреступности и позволяет организаторам вымогательств расширить охват среди потенциальных соисполнителей и заказчиков атак. По сути, EAAs коммерциализирует вымогательство, снижая порог входа для менее опытных акторов и способствуя масштабированию операций.

Методы и тактика

Аналитики отмечают несколько характерных особенностей атак:

  • фокус на арендаторах Salesforce и других SaaS‑платформах как на источниках крупного объёма данных;
  • комбинация сложных методов проникновения и социальной инженерии для обхода защиты;
  • целенаправленное извлечение и последующее раскрытие данных с целью давления на жертв;
  • координация между группами-участницами для одновременных или последовательных атак на связанные компании и цепочки поставок.

Заявления о «выходе на пенсию» и реакция экспертов

«Scattered Lapsus$ объявила о прекращении активности и уходе из киберпреступного бизнеса.»

Тем не менее отраслевые эксперты относятся к таким заявлениям скептически: цепочка недавних атак и продолжающиеся утечки данных демонстрируют, что операционные возможности конгломерата остаются в силе. Специалисты считают, что подобные «заявления об уходе» часто используются как прикрытие или переточки перед реструктуризацией и возобновлением активности под новыми брендами.

Что это значит для бизнеса

Межгрупповое сотрудничество, коммерциализация вымогательства и расширение каналов распространения атак повышают риски масштабных утечек данных. Для ритейла и гостиничного сектора это означает потенциальные финансовые потери, репутационные риски и нарушение цепочек поставок.

Рекомендации для организаций

Эксперты по кибербезопасности настоятельно рекомендуют предпринять следующие меры:

  • усилить мониторинг и логирование доступа к SaaS‑сервисам (включая Salesforce);
  • внедрить многофакторную аутентификацию и ограничение привилегий по принципу минимально необходимых прав;
  • пересмотреть и реализовать принципы Zero Trust в архитектуре сети и доступов;
  • регулярно делать резервные копии данных и проверять планы восстановления после инцидентов;
  • поддерживать актуальные процессы инцидент‑реакции и сценарии взаимодействия с правоохранительными органами;
  • участвовать в обмене threat intelligence с отраслевыми партнёрами и профильными CERT/SOC;
  • проводить регулярные проверки поставщиков и аудит конфигураций SaaS‑интеграций.

Вывод

Появление Scattered Lapsus$ и запуск Extortion-as-a-Service усиливают давление на организации в розничной торговле и гостиничном бизнесе. Пока заявления об уходе выглядят сомнительно, компаниям следует действовать проактивно: повышать свою кибер­гигиену, укреплять защитные механизмы и готовиться к быстрому реагированию на инциденты, чтобы минимизировать последствия возможных утечек и шантажа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: