美国联邦调查局指控"散乱蜘蛛"黑客团伙勒索1.15亿美元

美国检察官上周对19岁英国公民Thalha Jubair提起刑事黑客指控，指控他是"散乱蜘蛛"（Scattered Spider）黑客团伙的核心成员。该团伙被指控从受害者处勒索至少1.15亿美元赎金。指控提出时，Jubair和涉嫌同谋Owen Flowers正在伦敦法院面临入侵多家英国大型零售商、伦敦交通系统和美国医疗机构的指控。

早期活动（2021-2022年）

Jubair被指控是LAPSUS$网络犯罪团伙的核心成员，该团伙从2021年底开始入侵数十家科技公司，从微软、英伟达、Okta、Rockstar Games、三星、T-Mobile和优步等科技巨头窃取源代码和其他内部数据。

根据已解散的LAPSUS$前领导人的说法，2022年4月公布的内部聊天记录显示，Jubair使用Amtrak和Asyntax等昵称与该团伙合作。在犯罪活动期间，Asyntax曾要求不要在与团伙分享的图片中包含T-Mobile标志，因为他之前曾因SIM卡交换被捕。

EARTHTOSTAR身份

新泽西州检察官指控Jubair使用EarthtoStar、Brad、Austin和Austistic等昵称，是威胁组织"散乱蜘蛛"的成员。

从2022年开始，EarthtoStar共同运营名为Star Chat的Telegram频道，这是一个活跃的SIM卡交换团伙的大本营。该团伙不断使用基于语音和短信的网络钓鱼攻击，窃取美国和英国主要无线运营商员工的凭证。

该团伙随后利用这些访问权限出售SIM卡交换服务，可将目标电话号码重定向到攻击者控制的设备，从而拦截受害者的电话和短信（包括一次性验证码）。Star Chat成员针对多家无线运营商进行SIM卡交换攻击，但主要集中在对T-Mobile员工的网络钓鱼。

恶意软件开发服务

在整个2022年末和2023年初，EarthtoStar的别名"Brad"经常宣传Star Chat的恶意软件开发服务，包括专门设计用于隐藏攻击者在受害机器上存在的定制恶意软件：

“我们可以开发内核级恶意软件，实现长期持久化，绕过防火墙并具有反向shell访问权限。这简直就是计算机的第四期癌症！内核意味着机器上的最高权限级别。范围从简单的shell到Bootkits。绕过所有主要EDR（SentinelOne、CrowdStrike等）。修补EDR的扫描功能，使其无效！一旦植入，极难移除（基本上不可能找到）。具有多年开发经验，曾参与多个APT组织。”

近期活动（2023年至今）

2023年9月，米高梅度假村和凯撒娱乐都遭受了来自俄罗斯勒索软件附属程序ALPHV和BlackCat的勒索软件攻击。据报道，凯撒在此事件中支付了1500万美元赎金。

在米高梅公开承认2023年漏洞后几小时内，“散乱蜘蛛"成员声称对此负责，并告诉记者他们通过社会工程学攻击第三方IT供应商入侵了系统。

新泽西州的起诉书指控Jubair和其他"散乱蜘蛛"成员在2022年5月至2025年9月期间，针对47个美国实体进行了至少120次计算机网络入侵，涉及计算机欺诈、电信欺诈和洗钱。起诉书称，该团伙的受害者支付了至少1.15亿美元的赎金。

美国当局表示，他们追踪到部分支付给"散乱蜘蛛"的款项流向Jubair控制的互联网服务器。起诉书称，在该服务器上发现的加密货币钱包被用于购买多张礼品卡，其中一张被用于外卖公司向他公寓送餐。