英国逮捕四名涉嫌入侵M&S、Co-op、Harrods的黑客
英国国家犯罪局(NCA)逮捕了四人,一些专家认为这些人与被称为Scattered Spider的臭名昭著的网络犯罪集体有关联。
作者:Alexander Culafi,Dark Reading高级新闻撰稿人
2025年7月11日
4分钟阅读时间
图片来源:PjrTravel via Alamy Stock Photo
英国当局今天上午逮捕了四名涉嫌对三家英国零售商发动高调网络攻击的个人,安全专家认为这些嫌疑人与黑客集体Scattered Spider有关联。
英国国家犯罪局(NCA)今天宣布逮捕了四名涉嫌对零售连锁店玛莎百货(Marks & Spencer)、Co-op和哈罗德百货(Harrods)发动网络攻击的个人。今年春天,这些零售商和其他公司披露了一系列通常归因于英语网络犯罪组织Scattered Spider的攻击。
Scattered Spider是一个松散的黑客集体,此前曾负责对游戏巨头美高梅(MGM)和凯撒娱乐(Caesars)的攻击。尽管在2024年有几名疑似成员被捕,但该组织据称仍在继续活动。随着细节的披露,DragonForce勒索软件组织的一个所谓发言人也声称对这些攻击负责。
英国逮捕嫌疑人
根据NCA的新闻稿,两名19岁男性、一名17岁男性和一名20岁女性今天上午在西米德兰兹和伦敦的家中被捕,“涉嫌违反《计算机滥用法》、敲诈勒索、洗钱和参与有组织犯罪集团的活动”。
被捕时,他们的个人电子设备被没收进行法证分析。他们目前仍被拘留,正在接受NCA国家网络犯罪部门的讯问。
相关新闻:4个中国APT组织攻击台湾半导体行业
NCA国家网络犯罪部门副主管Paul Foster感谢所有三家零售商在调查中提供的协助,并表示"这项调查仍然是该机构的首要任务之一"。
Foster说:“今天的逮捕是调查中的重要一步,但我们的工作仍在继续,与英国和海外的合作伙伴一起,确保查明责任人并将其绳之以法。”
Scattered Spider与归因
截至目前,尚不清楚被捕者是否或曾经是Scattered Spider的成员,但专家表示可能存在关联——即使不是很可能。
Picus Security的安全研究工程师Sıla Özeren告诉Dark Reading,在相关零售攻击中观察到的策略(如语音钓鱼、SIM交换和通过帮助台冒充绕过多因素认证)“与Scattered Spider的已知操作非常相似”。在对美高梅和凯撒娱乐的攻击中也使用了类似的方法。
Özeren说:“特别是在M&S案件中,使用DragonForce勒索软件与之前涉及Scattered Spider附属组织的活动一致。鉴于技术和工具的重叠,有理由怀疑存在关联,即使是间接的。”
相关新闻:中国支持的Salt Typhoon黑客组织攻击美国国民警卫队近一年
Silent Push的高级威胁研究员Zach Edwards称,NCA公告中提到西米德兰兹很有趣,因为"去年7月,西米德兰兹警方与FBI协调逮捕了一名17岁少年,据称该少年与Scattered Spider和The Com有关联,但新闻稿因某种原因被下线了。"
通过Wayback Machine仍可找到该版本。
“The Com"指的是一个去中心化的网络犯罪分子集体,主要是基于美国和英国的讲英语的年轻人。Scattered Spider被认为是该组织的一个分支。
Özeren同样表示,Scattered Spider最好被理解为一个流动的集体,而不是一个静态的团体。
她说:“他们共享基础设施、像Evilginx这样的钓鱼工具包,以及一种经过验证的滥用SaaS平台和身份提供商的方法。他们使用以英语为母语的社会工程师和不断轮换的钓鱼域名(有些只存活几分钟)帮助他们规避了许多传统防御。也就是说,这些逮捕表明混淆有其局限性,操作错误和可识别的行为模式仍然为归因提供了关键路径。”
相关新闻:篡改版Telegram应用窃取中国用户的Android数据
打击Scattered Spider的升级
谷歌云Mandiant咨询公司的首席技术官Charles Carmakal在分享给Dark Reading和其他媒体的声明中特别直接地将Scattered Spider与这些逮捕联系起来。他表示,逮捕"涉嫌Scattered Spider成员是在持续打击该集体的斗争中取得的重大胜利。”
Carmakal写道:“他们激进的社会工程策略和对访问权限的不懈追求对许多防御者来说尤其具有挑战性,并对英国和美国的组织造成了相当大的损害。之前的逮捕影响了他们的行动,导致活动显著减少。这是组织加强防御以应对该集体的关键窗口。”
无论如何,Edwards表示Scattered Spider"值得目前投入的调查关注和资源。"
他说:“他们是近年来看到的更严重的威胁行为者之一,他们最近与DragonForce勒索软件团队的合作进一步证实了这一点。该组织现在是一个全球性的威胁,其成员可能从美国和英国的高中生到他们疑似的一些俄罗斯威胁行为者合作伙伴,并密切合作开发新技术,以追求对主要企业发动更成功的攻击。”
关于作者
Alexander Culafi
Dark Reading高级新闻撰稿人
Alex是一位驻波士顿的作家、记者和播客主持人。
查看更多Alexander Culafi的内容
随时了解最新的网络安全威胁、新发现的漏洞、数据泄露信息和新兴趋势。每日或每周直接发送到您的电子邮件收件箱。
订阅
更多洞察
网络研讨会
像网络罪犯一样思考以阻止下一次潜在攻击
2025年7月22日
提升数据库安全:利用数据威胁分析和安全态势
2025年7月23日
DOGE对网络的影响:发生了什么以及下一步是什么?
2025年7月24日
解决ICS/OT补丁和漏洞管理难题
2025年7月30日
为更有效的安全合作伙伴关系制定路线图
2025年8月14日
更多网络研讨会
活动
[虚拟活动] 现代企业的战略安全
2025年6月26日
[虚拟活动] 数据泄露剖析
2025年6月18日
[会议] Black Hat USA - 8月2-7日 - 了解更多
2025年8月2日
更多活动
您可能还喜欢
网络攻击与数据泄露
网络安全漏洞让大门敞开
网络攻击与数据泄露
网络钓鱼者造成"浩劫",将攻击伪装在SharePoint内
网络攻击与数据泄露
Salt Typhoon利用电信基础设施中的思科设备
网络攻击与数据泄露
Avis租车数据泄露涉及30万受害者数据
编辑选择
可用服务源圈
网络安全运营
LevelBlue收购Trustwave,形成全球最大独立MSSP
作者:Jeffrey Schwartz
2025年7月1日
3分钟阅读
网络攻击与数据泄露
虚假朝鲜IT工人的范围和规模显现
作者:Becky Bracken
2025年7月1日
6分钟阅读
端点安全
我们都错了:网络钓鱼培训不起作用
作者:Nate Nelson,特约撰稿人
2025年7月1日
6分钟阅读
白皮书
SOC转型的5个基本步骤
劳动力安全状况:IT和安全领导者的关键见解
为混合劳动力提供全球一致的应用程序性能
XSIAM买家指南:如何为AI时代转型您的SOC
Omdia Universe:选择下一代安全信息和事件管理解决方案,2024-25年
更多白皮书
探索更多
Black Hat
Omdia
与我们合作
关于我们
广告
转载
加入我们
新闻通讯注册
关注我们
版权所有 © 2025。本网站由Informa TechTarget拥有和运营,该集团是全球网络的一部分,为全球技术买家和卖家提供信息、影响和连接。所有版权归其所有。Informa PLC的注册办公室是5 Howick Place, London SW1P 1WG。在英格兰和威尔士注册。TechTarget, Inc.的注册办公室是275 Grove St. Newton, MA 02466。
首页|Cookie政策|隐私|使用条款