一群年轻网络犯罪分子构成当前"最紧迫"的网络攻击威胁

Scattered Spider黑客组织近几个月在零售商、保险公司和航空公司中造成了严重混乱。研究人员警告称，其灵活的组织结构给防御工作带来了挑战。

空荡荡的超市货架和停飞的飞机通常预示着危机，无论是极端天气事件、公共卫生危机还是地缘政治紧急情况。但最近几周在英国、美国和加拿大出现的混乱场景却是由经济动机的网络攻击造成的——看似由一群寻求刺激的青少年所为。

臭名昭著的Scattered Spider网络犯罪组织以使用社会工程技术而闻名，通过欺骗IT服务台工作人员授予系统访问权限来渗透目标公司。研究人员表示，该组织似乎获得了特定行业常用后端系统的专业知识，然后利用这些知识攻击一系列目标，然后再转向另一个行业。一旦成功入侵受害者，该组织通常会部署勒索软件或进行数据勒索攻击。

尽管去年执法压力加大，最终导致五名涉嫌与Scattered Spider有关的嫌疑人被起诉和逮捕，但研究人员表示，该组织在2024年活动较少，似乎试图保持低调。然而，最近几周该组织不断升级的攻击表明，Scattered Spider远未被击败，而是再次变得大胆。

谷歌威胁情报小组首席分析师约翰·霍尔特奎斯特表示：“Scattered Spider中有一些在社会工程学方面具有独特技能的行为者，他们已经发现了我们安全系统中的重大漏洞，并成功加以利用。这个组织正在对我们的关键基础设施发动严重攻击，我希望我们没有错过应对最紧迫威胁的机会。”

尽管许多事件尚未公开归因，但最近对英国超市连锁店、北美保险公司和国际航空公司的一系列攻击普遍与Scattered Spider有关。5月，英国国家犯罪局确认正在调查Scattered Spider与英国零售商遭受攻击的联系。联邦调查局在周五的警报中警告称，已观察到"网络犯罪组织Scattered Spider将其目标扩大到包括航空业"。这一警告发布之际，北美航空公司Westjet和夏威夷航空公司表示它们已成为网络犯罪黑客的受害者。

安全公司CrowdStrike的反对手行动高级副总裁亚当·迈尔斯表示：“他们放慢了速度，我们在2024年看到他们分散了一段时间。然后在过去几个月里，他们又卷土重来，先是攻击零售业，然后是保险公司，最近又瞄准了航空公司。”

Scattered Spider在2023年底首次成为一个知名组织，其成员从SIM卡交换攻击转向对凯撒娱乐和米高梅度假村发动破坏性勒索软件攻击。后者使米高梅损失了约1亿美元来恢复。研究人员强调，该组织以经济利益为动机，主要由讲英语的青少年和年轻男子组成，通常位于美国或英国。Scattered Spider黑客被认为是Com组织的分支，这是一个由潜在数千名网络喷子和罪犯组成的无定形网络，其中许多人从事骚扰、勒索和儿童剥削活动。

Scattered Spider成员越来越多地围绕使用针对性社会工程学在公司网络中立足的策略聚集。攻击者可能冒充被锁定公司电子邮件帐户的员工，联系公司的IT服务台获取访问权限，然后重置多因素身份验证凭据。研究人员表示，该组织还使用了创建令人信服的钓鱼网站的策略，这些网站的URL通常包含目标组织的名称以及"okta"、“vpn"或"helpdesk"等词语。一旦进入网络，黑客就会部署各种类型的勒索软件或窃取数据用于勒索公司。

迈尔斯表示，Crowdstrike认为Scattered Spider大约有四名核心成员，他们驱动潜在受害者的目标定位，并根据需要从更广泛的Com生态系统中"利用"资源。Scattered Spider的确切结构和规模尚不清楚，但研究人员一致认为该组织依赖一系列第三方服务来实施攻击。

谷歌的霍尔特奎斯特说：“威慑极其困难，因为我们基本上是在与一个市场作斗争，其中许多行为者都是可替换的。例如，Scattered Spider与多个勒索软件服务合作，所以如果一个服务下线，总有人可以替代他们。”

网络安全公司Sophos反威胁部门的高级威胁研究员艾登·辛诺特表示，Scattered Spider和更广泛的Com组织通过Discord服务器或Telegram群组中的关系和社区相互联系。辛诺特说：“这是一个不断发展的团体，可能有新的年轻威胁行为者加入。你可以看到这种自然的升级进程，他们互相学习技能，而且非常热衷于分享他们的成功。”

一些Scattered Spider成员可能针对知名公司，而其他成员则参与不太引人注目的活动。辛诺特说：“有一些团体或个人真正专注于黑客攻击Coinbase账户和窃取加密货币等。所以他们甚至不关注这些大型企业组织。”

正如霍尔特奎斯特所说，“这种活动极具弹性，因为我们不是在与单个行为者作斗争，而是在真正与一个市场作斗争。”