联邦调查局指控"Scattered Spider"二人组实施1.15亿美元勒索

美国检察官上周对19岁英国公民Thalha Jubair提起刑事黑客指控，指控他是Scattered Spider网络犯罪集团的核心成员，该集团被指从受害者处勒索至少1.15亿美元赎金。这些指控提出之际，Jubair和一名涉嫌共犯正在伦敦法院面临入侵并勒索多家英国大型零售商、伦敦交通系统以及美国医疗机构的指控。

在上周的法庭听证会上，英国检察官对Jubair和18岁的Owen Flowers提出了一系列指控，指控这两名青少年参与了2024年8月导致大伦敦地区公共交通网络运营机构"伦敦交通局"瘫痪的网络攻击。

早期活动（2021-2022年）

Jubair被指控是LAPSUS$网络犯罪集团的核心成员，该集团从2021年底开始入侵数十家科技公司，从微软、英伟达、Okta、Rockstar Games、三星、T-Mobile和优步等科技巨头窃取源代码和其他内部数据。

根据现已解散的LAPSUS$前领导人的说法，2022年4月，KrebsOnSecurity发布了从LAPSUS$使用的服务器获取的内部聊天记录，这些聊天记录表明Jubair使用Amtrak和Asyntax这两个昵称与该组织合作。

EARTHTOSTAR

新泽西州检察官上周指控Jubair是Scattered Spider（也称为0ktapus和UNC3944）威胁组织的成员，他使用了EarthtoStar、Brad、Austin和Austistic等昵称。

从2022年开始，EarthtoStar共同运营着一个名为Star Chat的热门Telegram频道，这是一个活跃的SIM交换组织的大本营，该组织不断使用基于语音和短信的网络钓鱼攻击窃取美国和英国主要无线运营商员工的凭证。

该组织随后利用这些访问权限出售SIM交换服务，可以将目标的电话号码重定向到攻击者控制的设备，允许他们拦截受害者的电话和短信（包括一次性代码）。Star Chat成员针对多家无线运营商进行SIM交换攻击，但主要专注于钓鱼T-Mobile员工。

2023年2月，KrebsOnSecurity审查了Star Chat上超过七个月的SIM交换招揽信息，这些信息几乎每天都在公共频道上发布"Tmo up!“和"Tmo down!“通知，表明该组织声称可以主动访问T-Mobile网络的时段。

对威胁情报公司Flashpoint索引的EarthtoStar在Star Chat上的消息进行的审查显示，此人还出售"AT&T邮箱重置"和AT&T呼叫转移服务，每条线路最高收费1,200美元。

新泽西州检察官还指控Jubair参与了2022年夏季的大规模短信网络钓鱼活动，从数百家公司的员工那里窃取单点登录凭证。这些短信要求用户点击链接并在模仿其雇主Okta认证页面的钓鱼页面登录，称收件人需要审查即将到来的工作日程的待处理更改。

这些钓鱼网站使用Telegram即时消息机器人实时转发任何提交的凭证，允许攻击者使用被钓鱼的用户名、密码和一次性代码以该员工身份登录真实的雇主网站。这场持续数周的短信网络钓鱼活动导致LastPass、DoorDash、Mailchimp、Plex和Signal等130多个组织遭到入侵和数据盗窃。

DA, COMRADE

EarthtoStar的Star Chat组织专门通过网络钓鱼入侵业务流程外包（BPO）公司，这些公司为一系列跨国公司提供客户支持，包括多家世界最大的电信提供商。

2022年5月，EarthtoStar在Telegram频道"Frauwudchat"上发布消息：“你好，我正在寻找合作伙伴以便从大型电信公司/呼叫中心/类似机构窃取数据，我在这方面有丰富经验，[包括]一个拥有20万多名员工的大型呼叫中心，我已转储所有用户凭证并获得了[域控制器]的访问权限+获得了全局管理员权限。我还在REST API和编程方面有经验。我在VPN、Citrix、Cisco AnyConnect、社会工程和权限提升方面有丰富经验。如果你有任何Citrix/Cisco VPN或其他有用的东西，请给我发消息，我们一起合作。”

大约在2022年夏季的同一时间，至少有两个与Star Chat相关的账户——“RocketAce"和"Lopiu”——向俄语网络犯罪论坛Exploit的用户介绍了该组织的服务，包括：

• 针对Verizon和T-Mobile客户的SIM交换服务；
• 针对Okta等单点登录提供商客户的动态钓鱼页面；
• 恶意软件开发服务；
• 扩展验证（EV）代码签名证书的销售。

2022年11月15日，EarthtoStar在他们的Star Sanctuary Telegram频道上发布消息，称他们正在招聘至少三年经验的恶意软件开发者，要求能够开发rootkit、后门和恶意软件加载器。

“可选：得到高级APT组织（如Conti、Ryuk）的认可，“广告最后写道，提到了俄罗斯两个最贪婪和破坏性的勒索软件附属操作。“属于民族国家/前三字母机构。”

2023年至今

据称Flowers和Jubair策划和执行勒索攻击的Telegram和Discord聊天频道是一个松散网络的一部分，被称为Com，这是一个英语网络犯罪社区，主要由居住在美国、英国、加拿大和澳大利亚的个人组成。

这些Com聊天服务器中的许多都有数百到数千名成员，这些社区中一些更有趣的招揽是现场任务和工作机会，如果搜索标题为"If you live near"或"IRL job”（“现实生活"工作的缩写）的帖子，可以找到这些机会。

这些"暴力即服务"招揽通常涉及"砸砖”，即雇人在指定地址扔砖头砸窗户。其他雇用的IRL工作包括刺破轮胎、投掷燃烧瓶、驾车射击甚至入室抢劫。这些服务的目标通常是社区内的其他犯罪分子，但Com成员要求他人帮助骚扰或恐吓安全研究人员甚至正在调查他们涉嫌犯罪的执法官员的情况并不少见。

在2022年底和2023年初，EarthtoStar的别名"Brad”（又名"Brad_banned”）经常宣传Star Chat的恶意软件开发服务，包括设计用于隐藏攻击者在受害机器上存在的定制恶意软件：

“我们可以开发内核恶意软件，实现长期持久性，绕过防火墙并具有反向shell访问权限。这玩意儿对电脑来说简直就是第四期癌症！！！内核意味着机器上的最高权限级别。这可以从简单的shell到Bootkit。绕过所有主要EDR（SentinelOne、CrowdStrike等）。修补EDR的扫描功能，使其无效！一旦植入，极难移除（基本上甚至不可能找到）。拥有多年开发经验并在多个APT组织工作过。领先一步。价格从5,000美元起。联系@brad_banned获取报价。”

2023年9月，米高梅度假村和凯撒娱乐都遭受了被称为ALPHV和BlackCat的俄罗斯勒索软件附属程序的攻击。据报道，凯撒在该事件中支付了1500万美元赎金。

在米高梅公开承认2023年入侵事件后的几小时内，Scattered Spider成员声称对此负责，并告诉记者他们是通过社会工程攻击第三方IT供应商而入侵的。在上周的伦敦听证会上，英国检察官告诉法院，在Jubair处发现了超过5000万美元的不义之加密货币，包括与拉斯维加斯赌场黑客攻击有关的资金。

Star Chat频道最终于2025年3月9日被Telegram封禁。但美国检察官表示，Jubair和Scattered Spider的其他成员继续他们的黑客、网络钓鱼和勒索活动，直到2025年9月。

起诉与法律挑战

新泽西州的起诉书（PDF）指控Jubair和其他Scattered Spider成员在2022年5月至2025年9月期间，与涉及47个美国实体的至少120起计算机网络入侵有关的计算机欺诈、电信欺诈和洗钱。起诉书称，该组织的受害者支付了至少1.15亿美元的赎金。

美国当局表示，他们追踪到向Scattered Spider支付的部分款项流向Jubair控制的一台互联网服务器。起诉书称，在该服务器上发现的一个加密货币钱包被用于购买多张礼品卡，其中一张在一家食品配送公司用于向他的公寓送餐。从同一服务器用加密货币购买的另一张礼品卡据称被用于为Jubair名下的在线游戏账户充值。美国检察官表示，当他们扣押该服务器时，还扣押了3600万美元的加密货币。

起诉书还指控Jubair参与了2025年1月针对美国法院系统的黑客事件，该事件针对的是监督相关Scattered Spider调查的一名美国地方法官。那项调查似乎是针对20岁佛罗里达州男子Noah Michael Urban的起诉，他于2024年11月被洛杉矶检察官指控为五名涉嫌Scattered Spider成员之一。

Unit 221B纽约安全公司的首席研究官Allison Nixon是Com网络犯罪活动世界领先专家之一。Nixon表示，从法律上起诉Com知名网络罪犯的核心问题传统上是，顶级犯罪者往往未满18岁，因此很难根据联邦黑客法规起诉。

“我们这里有一类特殊的Com犯罪者，他们实际上享有法律豁免权，“Nixon告诉KrebsOnSecurity。“大多数人是在年龄较大时被招募到Com组织的，但在那些非常年轻（如12或13岁）加入的人中，他们似乎是最危险的，因为在这个年龄，他们没有现实基础，而且在退出法律豁免权之前有很长的寿命。”

《泰晤士报》报道，Flowers面临《计算机滥用法案》下的三项指控：两项是共谋实施与计算机相关的未经授权行为，导致/造成对人类福利/国家安全的严重损害风险，一项是试图实施相同行为。这些罪行的最高刑期可从14年到终身监禁，具体取决于犯罪的影响。

据报道，Jubair在英国面临两项指控：一项是共谋实施与计算机相关的未经授权行为，导致/造成对人类福利/国家安全的严重损害风险，一项是未能遵守第49条通知披露受保护信息的密钥。

在美国，Jubair被指控犯有计算机欺诈共谋、两项计算机欺诈罪、电信欺诈共谋、两项电信欺诈罪和洗钱共谋。如果被引渡到美国，审判并判定所有罪名成立，他将面临最高95年监禁的最高刑罚。