Hakerzy „Generacji Z” pozostawili puste półki w supermarketach, a następnie zaatakowali firmy ubezpieczeniowe i linie lotnicze. Teraz zaatakowała brytyjska policja.

W ostatnich tygodniach gang nie szczędził pracy ekspertom IT. „Scattered Spider”, jak nazywa siebie grupa, jest odpowiedzialny za serię głośnych cyberataków. Na początku maja organizacja przestępcza pozostawiła puste półki w brytyjskich supermarketach. Sieć handlowa Marks & Spencer została zmuszona do zawieszenia działalności online na siedem tygodni. Straty w zyskach: 300 milionów funtów .

Wkrótce potem ta sama grupa hakerów zaatakowała kilka firm ubezpieczeniowych w USA. Ich najnowszymi ofiarami są linie lotnicze. Najpierw hakerzy włamali się do systemów Hawaiian Airlines i Westjet, a kilka dni temu do Australian Airlines. Tam ukradli dane sześciu milionów klientów, w tym imiona i nazwiska, daty urodzenia, adresy e-mail, numery telefonów i numery programów lojalnościowych.

Brytyjska policja odniosła sukces. W czwartek aresztowała czterech podejrzanych członków grupy „Scattered Spider”. Są oni rzekomo zaangażowani w cyberataki na trzech brytyjskich sprzedawców detalicznych dwa miesiące temu. Uderzający jest młody wiek aresztowanych: 17-latek, dwóch 19-letnich mężczyzn i 20-letnia kobieta.

W zeszłym roku w USA doszło już do aresztowań i pięciu postawiono zarzuty. Oskarżeni mieli od 20 do 25 lat i pochodzili ze Stanów Zjednoczonych. Ze względu na wiek media określały ich mianem hakerów „pokolenia Z” ; wielu z nich podobno poznało się na forach gamingowych. Oprócz młodego wieku, warto zauważyć, że zidentyfikowani członkowie „Scattered Spider” nie pochodzą z Europy Wschodniej ani Rosji, lecz z krajów zachodnich, głównie ze Stanów Zjednoczonych i Wielkiej Brytanii.

Nie wiadomo, czy niedawne aresztowania spowodują trwałe szkody w gangu. Według analiz firm ochroniarskich Crowdstrike i Halcyon , „Scattered Spider” składa się z około czterech głównych członków, którzy pełnią funkcję kierowników projektów. Osoby te wybierają potencjalne ofiary i koordynują działania innych uczestników lub całych grup. Przedstawiciel FBI poinformował w zeszłym roku , że w sumie grupa przestępcza może liczyć nawet 1000 osób.

„Scattered Spider” ma strukturę firmy, zatrudniającej pracowników tymczasowych w wielu krajach. Gang korzysta również z usług przestępczych innych grup, specjalizujących się na przykład w włamaniach do systemów informatycznych, szyfrowaniu komputerowym czy wymuszeniach.

Nie wszystkie ataki zdają się przebiegać według tego samego schematu. To odróżnia „Scattered Spider” od grup stosujących typowe ransomware , które penetrują sieci IT, kradną dane, szyfrują systemy, a następnie żądają okupu. „Scattered Spider” nie szyfruje danych w każdym przypadku. Nie stworzył on w tym celu własnego złośliwego oprogramowania, zwanego ransomware. Zamiast tego grupa wykorzystuje różnego rodzaju oprogramowanie wymuszające okup, co czyni ją partnerem biznesowym grup ransomware.

Niezwykłe w „Scattered Spider” jest to, że uzyskuje dostęp do systemów swoich ofiar, manipulując pracownikami. „Polegają wyłącznie na ludzkim zachowaniu” – powiedział Ferhat Dikbiyik z firmy zajmującej się cyberbezpieczeństwem Black Kite w wywiadzie dla „Wall Street Journal” . „Wolą zostać wpuszczeni przez drzwi, niż się włamać”.

To podejście nazywa się socjotechniką: hakerzy dzwonią do działu pomocy technicznej firmy i podszywają się pod pracownika, który zablokował sobie dostęp do konta e-mail. Następnie stosują metodę zwaną zamianą kart SIM, aby przechwycić wiadomości tekstowe otrzymywane przez pracownika podczas uwierzytelniania wieloskładnikowego. Pozwala im to uzyskać dostęp do systemów informatycznych w celu kradzieży danych lub zainstalowania oprogramowania ransomware.

Jak podają eksperci ds. cyberbezpieczeństwa, znający metody stosowane przez „Scattered Spider”, te same siedem głosów w ostatnich miesiącach kontaktowało się z różnymi biurami pomocy technicznej.

Grupa hakerów po raz pierwszy zwróciła na siebie uwagę w 2023 roku, kiedy z powodzeniem włamała się do kilku kasyn w Las Vegas. Wyrządziła wówczas znaczne szkody, między innymi operatorowi kasyn MGM Resorts International: automaty do gry były wyłączone z użytku przez kilka dni, a cyfrowe klucze do pokoi przestały działać. Straty wyniosły około 100 milionów dolarów.

W zeszłym roku grupa była mniej aktywna, prawdopodobnie z powodu nacisków ze strony śledczych . Jednak tej wiosny „Scattered Spider” powrócił z impetem. Jak powiedział Wired Adam Meyers z Crowdstrike, do tej pory przestępcy „Scattered Spider” w dużej mierze stosowali ten sam modus operandi. „Gdy znajdą firmę, którą mogą skutecznie spenetrować, zadają sobie pytanie: »Kim są ich konkurenci, kogo jeszcze możemy wziąć na celownik?«”. Następnie przechodzą do kolejnego sektora. Jak dotąd, z sukcesem.