Secrete din lumea grupărilor de infractori cibernetici: nebunia e mai mare decât pofta de bani. Raid în cartierul general la hackerilor care au pus jos sistemul Marks and Spencer

Gruparea de hackeri care a pătruns în sistemele de securitate online ale retailerului britanic Marks and Spencer a petrecut luni întregi pregătind capcane digitale menite să îi păcălească pe angajații celor mai mari branduri din lume, astfel încât aceștia să-și divulge parolele. Gruparea Scattered Spider, vorbitoare de limbă engleză – deși cu un stil agresiv și vulgar -, este lider în industria infracțională a ransomware-ului – o afacere în plină expansiune, scrie Financial Times, într-o analiză detaliată a acestui fenomen. Hakerii, împărțiți pe grupuri secrete specializate, se pregătesc minuțios, fac documentări ample, țin totul secret – inclusiv unul față de altul – și își asumă misiuni foarte specializate. Această grupare urmează să atace Tinder, Louis Vuitton sau Forbes. 

Scattered Spider – pe care experții în securitate cibernetică o descriu drept o bandă de escroci, bărbați, vorbitori de engleză și cu un limbaj de mahala – a fost observată înregistrând site-uri cu denumiri aproape identice cu cele ale companiilor pe care urmau să le atace. În paralel, își perfecționau trusele de malware. Totuși, asemenea grupuri fac mult mai mult decât simple operațiuni tehnice: caracteristic în cazul acestor grupări este faptul că analizează minuțios compania pe care urmează să o atace, îi cercetează atent pe angajați, astfel încât să-i poată imita, apoi, cu succes în diverse circumstanțe, cel mai adesea într-un apel telefonic. În felul acesta reușeșsc să-i păcălească pe alți colegi de-ai lor să le ofere informațiile necesare unui atac cibernetic.

Secrete din lumea grupărilor de hackeri

Această combinație de capcane online și escrocherii în lumea reală a dus la unele dintre cele mai celebre atacuri cibernetice din ultimii ani, inclusiv atacul din 2023 asupra MGM Casinos and Resorts din Las Vegas, care a dus la închiderea mai multor hoteluri de pe celebrul bulevard Strip.

Petrolul scump nu se oprește la pompă: cum ajung majorările direct în facturi, salarii și prețurile din magazine

13:33

SUA slăbește regulile bancare. Europa, sub presiune să reacționeze rapid

12:28

Luna trecută, grupul a pătruns în sistemele M&S, aruncând retailerul britanic într-o criză care ar putea genera o pierdere de până la 300 de milioane de lire din profitul operațional. De asemenea, hackerii au șters peste 600 de milioane de lire din capitalizarea sa bursieră.

Nu e vorba doar de bani. Gloria e importantă!

Cei care au studiat gruparea Scattered Spider spun că membrii săi caută și altceva în afară de bani: caută glorie, recunoaștere și laude.

„Nu sunt motivați exclusiv financiar — le place notorietatea, le place atenția din presa mainstream”, spune Charles Carmakal, director tehnologic la Mandiant Consulting.

Hackerii sunt lideri într-o industrie infracțională în expansiune: ransomware-ul. Doar în 2023, victimele au plătit cel puțin 1 miliard de dolari către diverse bande care le-au ținut datele ostatice, potrivit Chainalysis, o firmă care studiază blockchains.

Tacticile s-au rafinat în ultimii ani. Unele grupuri se specializează în infiltrarea inițială, altele vând software care criptează datele, iar altele se ocupă de negocierea răscumpărării, proces care poate dura luni și presupune confruntări cu negociatori experimentați, adesea trimiși de companiile de asigurări. Deși sumele pot fi mari, fiecare grup primește doar o parte din acești bani, conform înțelegerii inițiale.

Unele grupări pun capcane, altele conduc negocierile

Scattered Spider a lăsat misiunea de a negocia răscumpărarea în seama unui alt grup ransomware, numit Dragon Force. Dacă M&S plătește, Dragon Force ar urma să deblocheze sau să șteargă datele confidențiale ale companiei, a spus o persoană care pretinde că reprezintă hackerii, citată de Financial Times. Până acum, nu există indicii că M&S ar fi cedat șantajului.

M&S, care colaborează cu autoritățile și agențiile guvernamentale, a declarat: „Nu putem oferi detalii sau speculații despre incident și am fost sfătuiți să nu o facem”.

Tinder și Louis Vuitton, printre noile ținte în vizor

Scattered Spider s-a mișcat rapid. Zach Edwards, cercetător în amenințări cibernetice la Silent Push, o firmă din Virginia, a observat, în ultimele luni, pregătirile grupului online și a încercat să avertizeze mai multe ținte potențiale. Printre cei care ar putea fi atacați se numără producătorul de ceasuri Audemars Piguet, aplicația de dating Tinder, casa de modă Louis Vuitton, publicațiile Forbes și News Corp și chiar lanțul de sandvișuri Chick-fil-A. Nu există dovezi că hackerii au pătruns în sistemele acestor companii. Niciuna nu a răspuns solicitărilor de comentarii.

Imediat după Paște, telefoanele au început să sune la departamentele de suport ale retailerilor americani. Apelurile au fost, probabil, de la hackerii Scattered Spider care se dădeau drept angajați, potrivit mai multor experți în securitate cibernetică solicitați să intervină.

„Tind să atace mai multe companii din același sector, timp de câteva săptămâni, apoi se mută în altă parte”, spune Carmakal, de la Mandiant (parte din Google), care a început să primească apeluri de urgență de la companii „care ne spuneau că se confruntă cu un atac activ”.

Deși M&S nu a dezvăluit încă exact cum le-au fost compromise sistemele, firma londoneză Dynarisk, specializată în monitorizarea amenințărilor online, a declarat că acreditările compromise ale unor retaileri mari din Marea Britanie sunt vândute contra cost pe forumuri de pe internet.

Măiestria „ingineriei sociale”

Scattered Spider este cunoscută mai ales pentru perfecționarea unei tehnici numite „inginerie socială” — cercetează urmele online ale angajaților din poziții medii în companiile mari, pentru a păcăli un operator de la help desk.

„Își aleg o țintă — poate un dezvoltator senior — pe care o vor imita la un moment dat. Așa că fac multă cercetare asupra țintei, pot ști numele de fată al mamei, adresa de domiciliu, poate chiar au cumpărat deja un profil de la un broker de date”, spune Edwards de la Silent Push.

În atacuri anterioare, hackerii s-au dat drept angajați IT, pentru că aceste conturi au privilegii speciale, care le permit să se miște rapid prin infrastructura tehnologică a firmei. Când Scattered Spider a pătruns în MGM, parola veche a unui angajat IT era o variație a numelui pisicii sale, conform unui set de date vândut online și văzut de FT.

„Salut, se pare că nu pot accesa emailul — mă poți ajuta acum sau să sun în timpul orelor de lucru?”, se aude un bărbat cu accent american într-o înregistrare – trimisă pe Telegram către FT de o persoană care susține că a fost angajată pentru voice-over de către Scattered Spider.

Angajări anonime și pseudonime de desene animate

Această persoană a spus că a fost plătită în fracțiuni de Ethereum, dar ultima tranșă nu a mai venit. S-a plâns de plata incompletă într-un canal Telegram plin de meme rasiste și a spus că i s-a dat acces la un număr Google Voice, cu care a sunat la help desk-ul unui furnizor major de telecomunicații din SUA.

Persoana și-a șters contul de Telegram când FT i-a cerut dovezi suplimentare privind implicarea în Scattered Spider. Totuși, are sens ca hackerii să angajeze actori de voce pentru apeluri, ca să nu existe înregistrări cu vocile lor reale care ar facilita urmărirea penală.

Se pare că hackerii își păstrează identitățile ascunse chiar și între ei, folosind apelative precum Spider1, Spider2 etc. în comunicările interne, potrivit unui membru implicat în atacul asupra MGM, care a vorbit cu FT în 2023.

Amenințarea este mai aproape decât pare

Spre deosebire de grupările care operează din Belarus sau Rusia — în afara jurisdicției FBI sau Europol — membrii vorbitori de engleză ai „Păianjenilor” locuiesc, în general, în Occident.

O serie de arestări operate, anul trecut, în Spania, SUA și Marea Britanie, a întrerupt temporar activitatea grupului. După o pauză, Scattered Spider pare să fi revenit, încă și mai bucuroși să se afle iar în lumina reflectoarelor. O firmă de securitate cibernetică specializată în studierea lor, CrowdStrike, a început chiar să vândă figurine inspirate de acest grup de hackeri.

Înainte să-și șteargă contul, persoana care pretindea că lucrează cu hackerii a spus că tot ce își dorește este „o plimbare tare cu un Sp1DeR” și a adăugat o expresie frecvent folosită în canalul Telegram: „Mischief before money” (Nebunie înainte de bani).