Παρά την προσωρινή ύφεση της δράσης τους εντός του 2024 –καθώς συνελήφθησαν πέντε φερόμενα μέλη– η ομάδα επανήλθε το τελευταίο διάστημα με αναβαθμισμένες δυνατότητες και αυξημένη επιθετικότητα, σύμφωνα με δημοσίευμα του Wired. Ειδικοί στον τομέα της κυβερνοασφάλειας προειδοποιούν για τον εντεινόμενο κίνδυνο.

«Ορισμένα μέλη διαθέτουν εξαιρετικές ικανότητες κοινωνικής μηχανικής, εκμεταλλευόμενα σοβαρές αδυναμίες στα μέτρα ασφαλείας», αναφέρει ο Τζον Χάλτκουιστ, επικεφαλής ανάλυσης απειλών της Google. «Πλήττουν καίριες υποδομές και πρέπει να δράσουμε άμεσα».

Από σούπερ μάρκετ σε αεροπορικές εταιρείες

Τον Μάιο, η Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου (NCA) ξεκίνησε έρευνα για πιθανή εμπλοκή της Scattered Spider σε επιθέσεις κατά μεγάλων λιανεμπορικών αλυσίδων. Την ίδια στιγμή, το FBI εξέδωσε προειδοποίηση για επέκταση της δράσης της ομάδας στον αεροπορικό τομέα. Οι αεροπορικές εταιρείες WestJet και Hawaiian Airlines παραδέχτηκαν ότι υπήρξαν στόχοι, ενώ και η αυστραλιανή Qantas ανέφερε περιστατικό ασφαλείας, χωρίς να επιβεβαιώσει τον δράστη.

«Μετά από μια περίοδο σχετικής αδράνειας, η Scattered Spider επέστρεψε με σφοδρότητα, στοχεύοντας αρχικά στο λιανεμπόριο, στη συνέχεια στις ασφαλιστικές και πλέον στις αεροπορικές εταιρείες», σχολιάζει ο Άνταμ Μέγερς, αντιπρόεδρος της CrowdStrike.

Η ομάδα απέκτησε διεθνή αναγνώριση στα τέλη του 2023, όταν εγκατέλειψε τις «παραδοσιακές» επιθέσεις τύπου SIM swapping και προχώρησε σε επιθέσεις ransomware μεγάλης κλίμακας. Στόχοι υπήρξαν τα Caesar’s Entertainment και MGM Resorts, με την τελευταία να υπολογίζει ζημίες ύψους περίπου 100 εκατ. δολαρίων.

Μέθοδοι δράσης και δικτύωση

Η βασική τακτική της Scattered Spider συνίσταται στη μεθοδική παραπλάνηση προσωπικού IT, ώστε να παρακαμφθούν ακόμη και πολυπαραγοντικά συστήματα αυθεντικοποίησης (MFA). Παράλληλα, δημιουργούνται εικονικά περιβάλλοντα phishing με domains που μιμούνται τις επίσημες εταιρικές πύλες πρόσβασης (όπως «vpn», «okta», «helpdesk» σε συνδυασμό με το όνομα της εταιρείας-στόχου).

Αφού αποκτηθεί πρόσβαση, η ομάδα προχωρά στην εγκατάσταση κακόβουλου λογισμικού ή στην κλοπή δεδομένων, απαιτώντας λύτρα – συχνά μακριά από τα φώτα της δημοσιότητας.

Παρότι ο επιχειρησιακός πυρήνας της ομάδας περιορίζεται σε τέσσερα κύρια μέλη, στηρίζεται σε ένα ευρύτερο δίκτυο γνωστό ως «Com» – ένα χαοτικό οικοσύστημα από χιλιάδες χάκερ, τρολ και ψηφιακούς εγκληματίες. Το δίκτυο δραστηριοποιείται σε πλατφόρμες όπως το Discord και το Telegram, όπου νεότεροι συμμετέχοντες εκπαιδεύονται και ανταλλάσσουν τεχνικές και εμπειρίες.

«Δεν αντιμετωπίζουμε έναν μεμονωμένο αντίπαλο, αλλά μια αγορά όπου οι "παίκτες" μπορούν να αντικατασταθούν εύκολα», εξηγεί ο Χάλτκουιστ.

Πέρα από τις επιχειρήσεις, η ομάδα φέρεται να εμπλέκεται και σε ατομικές στοχευμένες ενέργειες, όπως η υποκλοπή λογαριασμών Coinbase και η υπεξαίρεση κρυπτονομισμάτων.

Ψηφιακό έγκλημα νέας γενιάς

Η Scattered Spider αποτελεί πρότυπο του σύγχρονου ψηφιακού εγκλήματος: νεαροί δράστες, αποκεντρωμένα σχήματα, εξαιρετική τεχνική κατάρτιση και ξεκάθαρη οικονομική στόχευση. Για τις κρατικές υπηρεσίες και τις επιχειρήσεις, η αντιμετώπιση μιας τέτοιας απειλής απαιτεί ολοκληρωμένες λύσεις, που περιλαμβάνουν ενίσχυση της εκπαίδευσης, αναβάθμιση της ασφάλειας και διασυνοριακή συνεργασία.

Καθώς η Scattered Spider συνεχίζει να εξελίσσεται, οι επιχειρήσεις – από την αλυσίδα εφοδιασμού τροφίμων μέχρι τον αεροπορικό κλάδο – παραμένουν ευάλωτες σε μια απειλή που λειτουργεί με τους όρους μιας σκοτεινής, αλλά οργανωμένης αγοράς.