Scattered Spider: новые тактики атак и рост угрозы программ-вымогателей
Источник: www.bitsight.com
Число атак с использованием программ-вымогателей продолжает стремительно расти. Согласно последним данным, количество сайтов с утечками, которыми управляют группы программ-вымогателей, увеличилось на 53%. В этом контексте особое внимание привлекает группа Scattered Spider, которая прославилась агрессивными методами социальной инженерии и успешными атаками на крупные предприятия.
Особенности деятельности Scattered Spider
Хотя Scattered Spider не всегда напрямую внедряет вредоносное ПО, они выступают в роли посредника, открывающего начальный доступ для аффилированных с программами-вымогателями операторов. Их тактика основана на:
- фишинге и рассылке SMS-сообщений;
- компрометации учетных записей пользователей;
- перехвате кодов многофакторной аутентификации (MFA);
- атаках с подменой SIM-карт для обхода средств проверки подлинности.
Такие методы обеспечивают несанкционированный доступ к корпоративным системам и облачным платформам, включая Azure, AWS и Microsoft 365.
Известные инциденты и методы работы
Группа работает как минимум с 2022 года и была связана с рядом резонансных инцидентов, в том числе атаками на MGM Resorts и Caesars Entertainment. В ходе атак Scattered Spider применяет комплексную социальную инженерии и OSINT-разведку, выдавая себя за представителей IT-персонала для обмана сотрудников и получения учетных данных.
Основные этапы их операционной тактики включают:
- тщательную разведку целевых сред;
- повышение привилегий в облачных платформах;
- использование программы-вымогателя BlackCat (ALPHV);
- угрозу раскрытия конфиденциальных данных в целях финансового вымогательства, даже если задействование вредоносного ПО не происходит.
Развитие и сотрудничество в экосистеме RaaS
Последние события демонстрируют, что Scattered Spider расширяет деятельность, становясь частью экосистемы программ-вымогателей как услуги (Ransomware-as-a-Service, RaaS). Группа сотрудничает с известными операторами RaaS и нацелена на следующие отрасли:
- аутсорсинг бизнес-процессов (BPO);
- службы поддержки;
- профессиональные услуги;
- розничную торговлю.
Так, во время атаки на розничные сети Великобритании — такие как Marks & Spencer и Co-op — в апреле 2025 года, Scattered Spider использовали платформу вымогателей DragonForce, проведя атаку через комплексные кампании социальной инженерии.
Последствия и рекомендации по защите
Атака на MGM Resorts стала ярким примером опасности, связанной с использованием человеческого фактора в кибербезопасности. Инцидент вызвал серьезные сбои в работе компании и финансовые убытки, оцениваемые в сумму порядка 100 миллионов долларов.
Методы группы подчеркивают их способность обходить современные средства контроля безопасности, сочетая сложные техники социальной инженерии и использование облачных сервисов. Это свидетельствует о необходимости усиления защитных мер в корпоративном сегменте.
Эксперты рекомендуют организациям:
- внедрять надежные планы реагирования на инциденты;
- изолировать скомпрометированные системы;
- постоянно отслеживать индикаторы компрометации (IOCs);
- повышать осведомленность сотрудников о фишинговых атаках;
- использовать передовые системы безопасности, включая архитектуру с нулевым уровнем доверия (Zero Trust).
Только комплексный подход к безопасности поможет эффективно бороться с растущей угрозой со стороны современных групп программ-вымогателей, таких как Scattered Spider.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
