Хакерская группировка Scattered Spider возникла всего несколько лет назад, но уже успела серьезно напугать крупнейшие корпорации мира. Судя по всему, она может парализовать работу ритейлеров, авиаперевозчиков и страховых компаний, а пока в основном крадет данные и требует выкуп за них. Ни власти, ни специалисты по кибербезопасности пока не знают, как бороться с хакерами, ведь они представляют собой не типичную организованную группировку, а просто некое сообщество англоговорящих молодых людей, часть из которых подростки. Как и зачем действуют киберпреступники нового поколения — в материале «Холода».
Группировка Scattered Spider, также известная как UNC3944, Scatter Swine, Muddled Libra, Octo Tempest и Starfraud, действует с мая 2022 года. Обычно эти хакеры выдают себя за IT-специалистов, чтобы убедить пользователей различных сайтов и сервисов поделиться данными. Однако у них есть и более изощренная тактика — атаки на службу технической поддержки этих сервисов. Злоумышленники представляются штатными сотрудниками и жалуются, что потеряли доступ к корпоративной почте. Под этим предлогом они убеждают специалистов службы поддержки восстановить им доступ и сбросить настройки многофакторной аутентификации.
Проникнув в систему, хакеры похищают данные или внедряют различные типы вирусов-вымогателей — программы, которые шифруют информацию на компьютерах жертвы, делая ее недоступной. Чтобы вернуть контроль или не допустить утечки, жертвам предлагают заплатить выкуп.
Подобные формы манипуляций и обмана используют для получения доступа к компьютерным системам, кражи персональной информации и вымогательства денег. Они считаются методами социальной инженерии. Среди них — фишинг (обманные ссылки для кражи данных), подмена SIM-карт, использование MFA-усталости (массовая отправка уведомлений, чтобы жертва по невнимательности одобрила доступ). Scattered Spider использует большинство из них.
Исследователи утверждают, что хакеры действуют по определенной схеме: сначала изучают, как устроена внутренняя IT-система компаний в определенной отрасли, а потом начинают их массово атаковать, прежде чем перейти к другой сфере. После успешного взлома злоумышленники либо запускают программы-вымогатели денег, либо шантажируют руководство бизнеса, угрожая раскрыть украденные данные.
Англоговорящие подростки
До 2023 года Scattered Spider в основном атаковала телекоммуникационные компании и организации, которые берут на аутсорс часть процессов других бизнесов. Сперва хакеры перехватывали управление чужими SIM-картами, а потом с их помощью получали контроль над аккаунтами других людей. Однако в сентябре 2023 года хакерская группа сработала не по старому шаблону и приняла участие в атаке на отель и казино Лас-Вегаса — с использованием программ-вымогателей.
В 2024 году правоохранительные органы США предъявили обвинения пятерым предполагаемым участникам хакерской группировки Scattered Spider. По версии следствия, они занимались мошенничеством с использованием фишинговых сообщений. Трое обвиняемых были арестованы. Одному из них — Ноа Майклу Урбану — на момент задержания было всего 19 лет. По данным прокуратуры, с августа 2022 года по март 2023 года он был причастен к краже не менее 800 тысяч долларов как минимум у пяти жертв.
По словам главы подразделения по борьбе с киберпреступностью британского Национального агентства по борьбе с преступностью (NCA) Пола Фостера, группировка Scattered Spider привлекает к себе внимание, потому что ее участники родом из англоязычных стран, в то время как большинство самых опасных кибермошенников родились в таких странах, как Россия или Северная Корея. К тому же участники Scattered Spider молоды, а некоторые из них и вовсе подростки.
Исследователь киберугроз Эйден Синнотт утверждает, что хакеры Scattered Spider учатся друг у друга в сообществах в дискорде или телеграме. «Навыки хакеров улучшаются, поскольку они перенимают их друг у друга», — отметил Синнот. По его словам, «это развивающаяся группа, в которую, возможно, вступают новые, более молодые злоумышленники».
Компания Crowdstrike (она обеспечивает безопасность устройств) полагает, что у Scattered Spider, скорее всего, четыре основных участника, которые и определяют, кого атаковать. Однако точная структура и размер группы неизвестны, потому что она децентрализована. По мнению представителей Crowdstrike, костяк организации состоит из людей, которые были знакомы по онлайн-играм.
У Scattered Spider также есть помощники, которые лишь иногда участвуют в атаках. Нет сведений, что группа подчиняется властям какого-либо государства или получает от них финансирование. Именно из-за разветвленной и децентрализованной структуры членов организации сложно идентифицировать, отметила старший вице-президент Центра исследований программ-вымогателей компании Halcyon Синтия Кайзер.
«Они знают, как обходить современные инструменты безопасности, <…> и они невероятно быстры — в некоторых случаях между получением доступа [к системе компании] и развертыванием программы-вымогателя проходит менее 24 часов», — рассказал старший вице-президент по операциям против киберугроз в CrowdStrike Адам Мейерс.
Сами выдернули себя из розетки
После арестов участников группы в 2024 году Scattered Spider стала менее активна. Однако в 2025-м кибератаки возобновились. В апреле британский ритейлер Marks & Spencer (M&S) заявил, что из-за кибератаки в офлайн-магазинах возникли проблемы с бесконтактными платежами и онлайн-заказами.
Прием онлайн-заказов через сайт или приложение M&S был приостановлен вплоть до июня. Кроме того, сеть признала, что из-за взлома в ее магазинах возник дефицит некоторых товаров. По прогнозам ритейлера, атака уменьшит прибыль M&S за 2025 год примерно на 300 миллионов фунтов стерлингов (около 32 миллиардов рублей) — это около 34% от их прошлогодней прибыли.
Изначально одними из главных подозреваемых были хакеры из Scattered Spider. Однако позже представители M&S пришли к выводу, что за атакой, вероятнее всего, стояла компания DragonForce. Но, учитывая тесную взаимосвязь хакерских группировок, можно предположить, что за преступлением могло стоять несколько групп.
Представитель M&S заявил, что хакеры «пытались уничтожить» бизнес. По его словам, они вымогали у компании деньги в обмен на неразглашение украденных данных клиентов (например, номеров телефонов, домашних адресов и дат рождения). Выплатила ли компания выкуп, который мог составить миллионы фунтов стерлингов, неизвестно. Представитель компании это отрицает.
Через несколько дней после взлома M&S другая британская розничная сеть Co-op заблокировала часть своих рабочих серверов, так как тоже обнаружила, что подверглась кибератаке. Через две недели после нее хакеры отправили в издание BBC письмо, в котором взяли ответственность за атаку. Они представились участниками компании DragonForce, которая предлагает сервис для кибератак, но эксперты отмечают, что используемая ими тактика напоминает методы группы Scattered Spider.
Киберпреступники рассказали, что пытались заразить систему ритейлера вредоносной программой-вымогателем. По словам хакеров, процесс не увенчался успехом: компания вовремя обнаружила взлом и отключила сервера, чтобы к ним не было доступа. Однако все равно ее работа на какое-то время была парализована.
«Они сами выдернули себя из розетки, что привело к краху продаж, срыву логистики и снижению акционерной стоимости», — заявили преступники.
Эксперты по кибербезопасности называют решение Co-op оперативно отключить системы правильным. Таким образом компания смогла минимизировать ущерб и начать восстанавливаться быстрее, чем M&S. «Похоже, Co-op предпочла добровольно пойти на краткосрочные неудобства, чтобы избежать гораздо более серьезных последствий от действий преступников. В данном случае это, судя по всему, оказалось правильным решением», — заявила Джен Эллис, специалист из оперативной группы по борьбе с программами-вымогателями.
Национальное агентство по борьбе с преступностью (NCA) Великобритании заявило, что в атаках на ритейлеров подозревает хакерскую группу Scattered Spider и поимка ответственных за преступление — главный приоритет ведомства. В июле 2025 года британская полиция задержала четыре человека по делу о кибератаках на ритейл. Среди них были два молодых человека 19 лет, один — 17-летний и 20-летняя девушка. По данным NCA, их подозревают в нарушении закона о неправомерном использовании компьютерных технологий, шантаже, отмывании денег и участии в организованной преступной группировке.
Не отдельные злоумышленники, а индустрия
После британских ритейлеров хакеры начали атаковать страховой сектор США. 9 июня страховая компания Philadelphia Insurance Companies (PHLY) объявила, что обнаружила несанкционированный доступ к своей сети и отключила затронутые системы, чтобы остановить их взлом. С перебоями в работе, вызванными «необычной сетевой активностью», столкнулась также страховая компания Erie Insurance. По словам Джона Халтквиста, главного аналитика Google Threat Intelligence Group, у этих атак были характерные черты тех, что проводит Scattered Spider.
В конце июня ФБР США заявило, что Scattered Spider начала атаковать авиаотрасль. Незадолго до этого авиакомпании действительно начали сообщать о проблемах. 13 июня канадская авиакомпания WestJet заявила, что хакеры напали на них, из-за чего пострадало приложение перевозчика. Доступ к нему для некоторых пользователей был ограничен. К концу месяца об атаках на компьютерные системы и взломах сообщили американские Hawaiian Airlines.
В связи с участившимися кибератаками главный аналитик отдела анализа угроз Google Джон Халтквист заявил, что Scattered Spider обнаружила в системах безопасности крупнейших компаний «серьезную брешь», которой активно пользуется.
Противостоять атакам крайне сложно, потому что Scattered Spider использует несколько сервисов-вымогателей. «Так что если один из них выйдет из строя, всегда найдется тот, который сможет его заменить», — отметил аналитик. По словам Халтквиста, «сдерживать такие угрозы крайне сложно — мы имеем дело не с отдельными злоумышленниками, а с целой индустрией».
CyberCube — компания, анализирующая киберриски, — выяснила, что потенциальной целью группировки Scattered Spider являются 2% компаний с выручкой свыше 500 миллионов долларов. Эти организации базируются в основном в таких странах, как США, Великобритания, Канада, Австралия, Германия, Франция, Япония и Сингапур.
