Хакеры поколения Z опустошили полки супермаркетов, а затем атаковали страховые компании и авиакомпании. Теперь нанесла удар британская полиция.

В последние недели банда не даёт покоя IT-специалистам. «Рассеянный паук», как называет себя группировка, ответственна за серию громких кибератак. В начале мая преступная организация оставила полки в британских супермаркетах пустыми. Ритейлер Marks & Spencer был вынужден приостановить свою онлайн-торговлю на семь недель. Упущенная выгода: 300 миллионов фунтов стерлингов .

Вскоре после этого та же хакерская группа атаковала несколько страховых компаний в США. Последними их жертвами стали авиакомпании. Сначала хакеры проникли в системы Hawaiian Airlines и Westjet, а затем, несколько дней назад, и в Australian Airlines. Там они похитили данные шести миллионов клиентов, включая имена, дни рождения, адреса электронной почты, номера телефонов и номера часто летающих пассажиров.

Британская полиция добилась успеха. В четверг были арестованы четверо предполагаемых участников группировки «Scattered Spider». Предположительно, они причастны к кибератакам на три британских ритейлера, произошедшим два месяца назад. Примечателен юный возраст арестованных: одному 17-летнему юноше, двум 19-летним мужчинам и одной 20-летней девушке.

В прошлом году в США уже были произведены аресты и предъявлены обвинения пяти лицам. Обвиняемым было от 20 до 25 лет, и они были гражданами США. Из-за возраста СМИ называли их хакерами «поколения Z» ; многие из них, по-видимому, познакомились на игровых форумах. Помимо их молодого возраста, примечательно, что идентифицированные участники «Scattered Spider» не являются выходцами из Восточной Европы или России, а представляют западные страны, в первую очередь США и Великобританию.

Пока неясно, нанесут ли недавние аресты долгосрочный ущерб преступной группировке. Согласно анализу охранных компаний Crowdstrike и Halcyon , «Scattered Spider» состоит примерно из четырёх основных участников, которые выполняют функции руководителей проектов. Эти люди отбирают потенциальных жертв и координируют действия других участников или целых групп. В общей сложности, по словам представителя ФБР в прошлом году , преступная группировка может насчитывать до 1000 человек.

«Scattered Spider» структурно организована как компания, работающая с временными сотрудниками в разных странах. Банда также закупает криминальные услуги у других группировок, специализирующихся, например, на взломе IT-систем, компьютерном шифровании или вымогательстве.

Не все атаки, по-видимому, следуют одному и тому же шаблону. Это отличает «Scattered Spider» от группировок, занимающихся исключительно программами-вымогателями , которые проникают в IT-сети, похищают данные, шифруют системы и затем требуют выплаты. «Scattered Spider» шифрует данные не во всех случаях. У неё нет собственного вредоносного ПО, называемого «вымогателями», для этой цели. Вместо этого группировка использует различные виды вымогательского ПО, что делает её деловым партнёром группировок, занимающихся программами-вымогателями.

Примечательно, что «Scattered Spider» получает доступ к системам своих жертв, манипулируя сотрудниками. «Они полностью полагаются на человеческое поведение», — рассказал Ферхат Дикбийик из компании по кибербезопасности Black Kite в интервью Wall Street Journal . «Они скорее предпочтут, чтобы их впустили через дверь, чем сами взломают её».

Этот подход называется социальной инженерией: хакеры звонят в службу технической поддержки компании и выдают себя за сотрудника, который заблокировал свой аккаунт электронной почты. Затем они используют метод подмены SIM-карты, чтобы перехватывать текстовые сообщения, получаемые сотрудником во время многофакторной аутентификации. Это позволяет им получить доступ к ИТ-системам, чтобы украсть данные или установить программу-вымогатель.

По словам экспертов по кибербезопасности, знакомых с методами, используемыми «Scattered Spider», в последние месяцы в различные службы поддержки звонили одни и те же семь человек.

Хакерская группировка впервые привлекла к себе внимание в 2023 году, успешно взломав несколько казино в Лас-Вегасе. Тогда они нанесли значительный ущерб, в том числе оператору казино MGM Resorts International: игровые автоматы были отключены на несколько дней, а цифровые ключи от номеров перестали работать. Ущерб составил около 100 миллионов долларов.

В прошлом году группа была менее активна, возможно, из-за давления со стороны следователей . Но этой весной «Scattered Spider» вернулся с удвоенной силой. Как рассказал Wired Адам Майерс из Crowdstrike, до сих пор преступники из «Scattered Spider» в основном придерживались того же метода действий. «Найдя компанию, в которую можно успешно проникнуть, они задаются вопросом: „Кто их конкуренты, на кого ещё можно нацелиться?“» Затем они переходят к следующему сектору. Пока что успешно.