Scattered Spider成员自首，黑客组织宣称解散

网络犯罪团伙Scattered Spider的一名成员已向拉斯维加斯克拉克县青少年拘留中心当局自首，这标志着执法部门在与这群年轻黑客的斗争中取得了最新"胜利"。

这一消息紧随该组织宣布——可能并非真诚地——关闭其网络犯罪业务之后。最新嫌疑人最初由联邦调查局拉斯维加斯网络工作组确认为一名十几岁男性，他已被指控多项罪名，包括：三项获取和使用他人个人身份信息以伤害或冒充他人的罪名，一项勒索罪，一项共谋勒索罪，以及一项涉及计算机的非法行为罪。

据拉斯维加斯大都会警察局通过新闻稿表示：“克拉克县地方检察官办公室正寻求将该青少年转移到刑事部门，在那里他将作为成年人面临这些指控。”

与此同时，该团伙的另外两名嫌疑成员——19岁的东伦敦居民Thalha Jubair和18岁的沃尔索尔居民Owen Flowers——在上周二因去年对伦敦交通局的黑客攻击调查而在英国被捕并被起诉。

逮捕行动持续增加

正如所述，这些拘留行动发生在该组织与网络威胁组织Lapsus$和Shiny Hunters一起宣布将关闭其业务之后。该公告发布在黑客市场BreachForums的告别信中，以及"Scattered Lapsus$ Hunters"公共Telegram频道上。

据信函称，一些成员计划退休，而其他成员计划在网络安全领域担任更"积极"的角色。尽管如此，一些安全研究人员对此消息持怀疑态度，指出有持续活动的证据。

该团伙以主要由讲英语的青少年和二十多岁的年轻人组成而闻名，他们使用社会工程学策略进行黑客攻击，针对"大鱼"，并入侵知名受害者。美国和欧洲的执法部门正在加强对成员的追捕。

Scattered Spider在2023年对拉斯维加斯赌场和酒店巨头凯撒娱乐和美高梅度假村的高调入侵和勒索软件攻击后首次声名狼藉。当时报告显示，联邦执法部门很清楚该网络犯罪团伙成员的身份，但尚未进行任何逮捕。那年11月，FBI和CISA发布了一份关于该团伙的咨询，提供了企业如何防御其网络的详细信息。

一年后，在2024年11月，司法部对五名团伙成员提起了刑事指控。其中四名被告是美国人，年龄在20至25岁之间，而第五名成员，22岁的Tyler Robert Buchanan位于英国。他们中最年长的，来自北卡罗来纳州杰克逊维尔的Joel Martin Evans，又名"joeleoli"，在联邦调查局逮捕后不久首次出庭。

他们罪行的最高刑罚是：共谋实施电信欺诈最高20年联邦监禁，共谋罪最高5年，加重身份盗窃罪2年，电信欺诈罪20年。

联邦调查局在2024年12月逮捕19岁的Remington Goy Ogletree时再次成功抓获一名罪犯。Ogletree被指控在2023年10月至2024年5月期间运行网络钓鱼操作，他获取了两家电信公司和一家美国国家银行的凭证和未经授权访问权限。据称，他窃取了API密钥和加密货币等数据，然后在暗网上将其卖给出价最高者。

逮捕行动从此持续不断。今年4月，与这个臭名昭著团伙有关的20岁Noah Urban对其网络犯罪指控认罪，并同意支付数百万美元的赔偿金。他也被称为"King Bob"，与其他四名成员一起被捕，最初不认罪，但在加利福尼亚和佛罗里达州对他提起诉讼后最终接受了认罪协议。

而在6月，该网络犯罪团伙的所谓头目在帕尔马马略卡岛的帕尔马机场试图登机飞往意大利时被捕。被捕时，这名22岁的男子拥有一台笔记本电脑、一部手机，并控制着价值2700万美元的比特币。据报道，他被指控对美国公司进行了超过45次网络攻击。

Scattered Spider的网络犯罪活动不会停止？

尽管有许多逮捕行动，该团伙仍然坚定地继续对企业进行攻击。今年早些时候玛莎百货遭到攻击时，研究人员报告称该攻击是由Scattered Spider成员使用DragonForce勒索软件实施的。随后还有其他零售目标，包括哈罗德百货和Co-Op。

由于这些零售商攻击，英国逮捕了四人，包括两名19岁男子、一名17岁男子和一名20岁女子——所有人都被认为与该团伙有关联，并因涉嫌敲诈勒索、洗钱、参与有组织犯罪等罪名被拘留。

就在几个月前，联邦调查局警告组织，Scattered Spider的行为者正在对航空公司及其第三方IT提供商部署其社会工程学策略，这意味着航空生态系统中的任何人都可能面临风险。尽管联邦调查局没有点名任何受害者，但夏威夷航空公司和加拿大的WestJet都报告经历了破坏部分运营的网络安全事件。

尽管该团伙声称已经停止活动，但其成员的未来仍不清楚。在该组织的告别信中写道：“开云集团、法国航空、美国航空、英国航空以及许多其他关键基础设施是否会面临其公开或秘密数据泄露的后果？如果我是他们，我也会想知道，因为他们知道有些人还没有收到任何赎金要求——或其他任何要求。他们的数据是否正在被利用，而美国、英国、澳大利亚和法国当局却自欺欺人地认为他们已经控制了局势？“一些人认为这表明Scattered Spider业务的大门可能没有完全关闭，或者其攻击的后果可能仍在进行中。

BeyondTrust的现场首席技术官James Maude表示：“网络犯罪团伙在退休方面有点历史，这通常不过是在风头紧时低调行事。任何相信他们退休声明的人都不应该对更好地保护身份和特权路径的需求掉以轻心，因为有一小支威胁行为者大军正准备好并等待利用这些漏洞。即使该团伙的一些成员正在退休，在加勒比海地区兑现非法获得的加密货币，网络犯罪可获得的资金量将确保任何空缺都会被迅速填补。”

因此，他警告说，企业需要保持警惕，专注于韧性，并预期这些威胁行为者或任何取代他们的人将继续发展。