После атак в Великобритании хакеры теперь атакуют розничных торговцев в США и Google

Эксперты по кибербезопасности Google предупредили, что хакеры из группировки Scattered Spider, известной своими атаками на розничные сети Великобритании, теперь нацелились на розничных продавцов в США.

Печально известная киберпреступная группировка Scattered Spider теперь активно атакует розничные компании в Соединенных Штатах после серии разрушительных атак на аналогичные предприятия в Соединенном Королевстве.

Это предупреждение поступило непосредственно от экспертов по кибербезопасности из Google Threat Intelligence Group (GTIG) и дочерней компании Google Mandiant , которые подчеркивают эффективность группы в обходе даже строгих мер безопасности.

«В настоящее время сектор розничной торговли в США подвергается атакам программ-вымогателей и вымогательств, которые, как мы подозреваем, связаны с UNC3944, также известным как Scattered Spider», — заявил аналитик Google по кибербезопасности Джон Халтквист.

Стоит отметить, что Scattered Spider (он же UNC3944) является главным подозреваемым в недавних атаках на британских гигантов Harrods, Co-op и M&S, но Национальный центр кибербезопасности Великобритании (NCSC), Mandiant и Google пока официально не приписали их какому-либо конкретному субъекту. Однако исследователи GTIG предполагают, что хакеры, нацеленные на американских ритейлеров, используют те же методы и процедуры, что и виновники британских инцидентов.

Исследователи отметили возможную связь между операторами вымогателей DragonForce и Scattered Spider. Первый взял на себя ответственность за недавние попытки атак на несколько британских ритейлеров, используя тактику, похожую на Scattered Spider. Более того, оба были связаны с ныне несуществующей платформой RaaS RansomHub.

Однако GTIG не смогла подтвердить связь между UNC3944/DragonForce и растущими утечками розничных данных. Тем не менее, растущее присутствие жертв розничной торговли на сайтах утечки данных (11% в 2025 году, по сравнению с предыдущими годами) говорит о том, что злоумышленники считают этот сектор привлекательным из-за больших запасов персональных данных/финансовых данных и их готовности платить выкуп за поддержание обработки транзакций.

Согласно прошлым отчетам Hackread.com, Scattered Spider — финансово мотивированный злоумышленник, известный тем, что использует методы социальной инженерии. Они получили известность за взлом казино-гигантов MGM Resorts International и Caesars Entertainment в 2023 году. Первоначально они нацелились на телекоммуникационные компании для подмены SIM-карт, а затем начали развертывать программы-вымогатели для вымогательства денег у жертв.

Они также известны попытками фишинга и MFA-бомбардировкой , когда они бомбардируют цели запросами многофакторной аутентификации. Обычно UNC3944 преследует устоявшиеся предприятия, особенно организации с большими службами поддержки и аутсорсинговыми ИТ-отделами, поскольку они более уязвимы для их сложных методов социальной инженерии.

Анализ GTIG показывает, что с начала 2023 года UNC3944 был нацелен на широкий спектр секторов, включая технологии, телекоммуникации, финансовые услуги, аутсорсинг бизнес-процессов (BPO), игры, гостиничный бизнес, розничную торговлю, а также медиа и развлекательные организации. Географически их основные цели были еще более разнообразными, включая США, Канаду, Великобританию, Австралию, Сингапур и Индию.

Retail & Hospitality ISAC, группа по обмену информацией, в которую входят такие крупные игроки, как Albertsons, Costco, McDonald's и Lowe's, признала угрозу и работает с Google, чтобы предоставить своим членам подробные брифинги и рекомендации по усилению защиты от этой развивающейся угрозы. Предупреждение от Google служит четким сигналом для американских ритейлеров быть в состоянии повышенной готовности и пересмотреть свои протоколы безопасности.

Чад Крейгл , директор по информационной безопасности Deepwatch, платформы по обеспечению киберустойчивости человека и искусственного интеллекта, расположенной в Сан-Франциско (Калифорния):

« Scattered Spider (UNC3944) использует сложную социальную инженерию для проникновения и развертывания программ-вымогателей. Чтобы защититься от этой группы, защитите привилегированные учетные записи, внедрите устойчивую к фишингу MFA и проверяйте каждый запрос на идентификацию в службу поддержки » .

« Розничные торговцы особенно уязвимы, поскольку они обрабатывают большие объемы платежных данных, управляют сложными цепочками поставок и работают в условиях значительного давления, что часто побуждает платить выкупы » , — предупредил Чад. « Однако организации с ценными данными и критическими потребностями в доступности также подвержены риску » .