صنعت Scattered Spider اسمًا لنفسها في مجال برامج الفدية من خلال هجمات رفيعة المستوى على الشركات بما في ذلك منتجعات إم جي إم، سيزرز إنترتينمنت, تويليووLastPass وDoorDash وMailchimp. في يونيو/حزيران، الشرطة الإسبانية القبض على شاب يبلغ من العمر 22 عاماً يشتبه في أنه زعيم المجموعة، حسبما ذكرت صحيفة مورسيا توداي.
يعد هذا الاعتقال واحدًا من العديد من إجراءات إنفاذ القانون التي تم اتخاذها ضد مجموعات القرصنة وبرامج الفدية في الأشهر الأخيرة. ماذا يمكن أن تعني هذه الإجراءات الأخيرة بالنسبة لمستقبل Scattered Spider؟
نشاط العنكبوت المتفرق
Scattered Spider، مثل العديد من الجهات الفاعلة الأخرى في مجال التهديد، هي مجموعة معروفة بأسماء عديدة: من بينها 0ktapus وUNC3944 وScatter Swine وMuddled Libra. كان Scattered Spider أيضًا تابعًا لمجموعة BlackCat/ALPHV Ransomware، التي غادرت المكان في عملية احتيال مشتبه بها بعد خروجها. الهجوم على تغيير الرعاية الصحية.
منذ ذلك الحين، تم ربط بعض أنشطة Scattered Spider بمجموعة برامج الفدية كخدمة RansomHub. “لقد رأينا ممثلين… كانوا يستخدمون تكتيكات Scattered Spider، باستخدام أدوات Scattered Spider، والذين هاجموا سابقًا ضحايا Scattered Spider، لكنهم الآن يستخدمون RansomHub،” قال جيسون بيكر، كبير مستشاري استخبارات التهديدات في شركة Scattered Spider. نقطة التوجيه الأمن، شركة خدمات استشارات الأمن السيبراني، يقول InformationWeek. “لدينا شركة تابعة واحدة على الأقل … تنتمي إلى أو على الأقل [had] مستوحاة بشكل كبير من تكتيكات Scattered Spider التي أصبحت الآن تابعة بشكل نشط لمجموعة RansomHub.
يستخدم Scattered Spider تكتيكات متعددة لاستهداف ضحاياه. جذبت المجموعة الاهتمام في البداية لتركيزها على أنظمة إدارة الهوية والوصول (IAM)، وفقًا لبيكر. بالإضافة إلى التنقل واستغلال أنظمة IAM، نجحت المجموعة في الاستفادة من تكتيكات الهندسة الاجتماعية. لقد نفذت هجمات تبديل بطاقة SIM و انتحال شخصية موظفي مكتب مساعدة تكنولوجيا المعلومات للوصول إلى بيانات الاعتماد، وفقًا لوكالة الأمن السيبراني وأمن البنية التحتية (CISA).
وترتبط المجموعة بجهات تهديد ناطقة باللغة الإنجليزية. ال فرد تم القبض عليه مؤخرا هو من اسكتلندا، وفقًا لـ Krebs on Security. ويشير بيكر إلى أنه “لأن لديك ممثلين يتمتعون بمهارات جيدة في اللغة الإنجليزية ولهجات أمريكية أو غربية، فإن الهندسة الاجتماعية يمكن أن تكون أكثر فعالية بكثير”.
بالإضافة إلى استهداف موظفي مكتب المساعدة، تتطلع Scattered Spider إلى خارج نطاق الشركة. “ما رأيناه هو Scattered Spider في الواقع [taking] يقول كريس بيرسون، دكتوراه، المؤسس والرئيس التنفيذي لشركة الأمن السيبراني: “الهجمات على المديرين التنفيذيين وعائلاتهم”. عباءة سوداء. “[It] ليس فقط الشخص البالغ، الزوج، الزوج، الزوجة، الشخص المهم الآخر. إنهم أيضًا الأطفال.”
وتجاوزت المجموعة أيضًا ضوابط الشركات، واقتربت من أهدافها عبر أجهزتها الشخصية وحسابات البريد الإلكتروني وأرقام الهواتف، وفقًا لبيرسون.
اعتقال
تم تنسيق اعتقال زعيم Scattered Spider المشتبه به من قبل الشرطة الإسبانية ومكتب التحقيقات الفيدرالي، وفقًا لتقرير Murcia Today. وكان هذا الشخص يحاول الصعود على متن طائرة متجهة إلى إيطاليا عندما ألقت سلطات إنفاذ القانون القبض عليه.
“في جميع أنحاء العالم، نشهد تواصلًا أفضل، وتبادلًا أفضل للمعلومات، ومزيدًا من التنسيق بين شركاء إنفاذ القانون. ويقول بيرسون: “أعتقد أن هذا نتيجة للجرائم الإلكترونية التي تضرب الجميع بشكل أكبر بكثير”.
ليست هذه هي المرة الأولى التي يعتقل فيها تطبيق القانون شخصًا مرتبطًا بـ Scattered Spider. وفي يناير/كانون الثاني، ألقي القبض على رجل يبلغ من العمر 19 عاماً في فلوريدا بتهمة الاحتيال عبر الأسلاك وسرقة الهوية المشددة. لقد كان عضوًا في Scattered Spider، وفقًا لـ كريبس على الأمن.
مستقبل العنكبوت المبعثر
تم إلقاء القبض على ممثل التهديد من قبل، لكن المجموعة الأكبر غالبًا ما تعيش على الاختراق والابتزاز في يوم آخر. ما نوع التداعيات التي يمكن أن نتوقعها لـ Scattered Spider؟
يقول بيرسون: “من المرجح أن نرى أن العنكبوت المبعثر عبارة عن هيدرا متعددة الرؤوس.. إن قطع رأس واحد لن يوقفه”.
من الممكن أن تدخل المجموعة في فترة هدوء بعد الاعتقال حيث يقوم الأعضاء بتقييم مستوى المخاطر والتعرض الخاص بهم. “ما هو تعرضهم إذا تعاون الفرد؟ ما هو مدى تعرضهم لها إذا كان لدى الفرد بيانات قد تكشف عنها أو إذا كانت هناك بالفعل معدات وبيانات وأجهزة كمبيوتر واتصالات ربما تم الكشف عنها؟ يقول بيرسون.
قد تقوم Scattered Spider بتفكيك بنيتها التحتية لفترة من الوقت، وتستغرق وقتًا لإعادة تجميع صفوفها، والظهور تحت علامة تجارية جديدة. أو قد يتفرق الأفراد المتورطون وينتسبون إلى مجموعات أخرى.
يقول بيكر: “في الحالات التي شهدناها مع جهات فاعلة غزيرة الإنتاج ومتقدمة وقادرة، لا يحدث السقوط دفعة واحدة”. “ما نراه بدلاً من ذلك هو تآكل تدريجي للقدرات يتبعه حركة الجهات الفاعلة الداخلية والشركات التابعة إما خارج اللعبة … أو إلى منظمات أخرى.”
وفي حين أن الاعتقالات لا تنذر بالضرورة بسقوط مجموعة بأكملها، إلا أنها يمكن أن تشوه جاذبية الجرائم السيبرانية. تعتبر برامج الفدية وغيرها من أنواع الجرائم الإلكترونية جذابة بسبب الحوافز المالية الكبيرة والتصور بعدم وجود عواقب.
يقول بيكر: “عندما تكون لديك اعتقالات كهذه، خاصة ضد أهداف غربية موجودة… في مناطق يمكن توجيه الاتهام إليك وتسليمك منها، فإن ذلك يقلل من الأمان النفسي الذي قد يتمتع به المنتسبون”.
قد تؤدي الاعتقالات إلى إيقاف بعض الشركات التابعة النشطة أو الجهات الفاعلة المحتملة التي تمثل تهديدًا، لكن النظام البيئي للجرائم الإلكترونية، سواء مع Scattered Spider أو بدونه، لا يزال مزدهرًا. يحتاج قادة المؤسسات إلى التفكير في كيفية المضي قدمًا في هذا الواقع.
يقول بيرسون: “يقع على عاتق كل كبير مسؤولي أمن المعلومات (CISO) واجب والتزام في الوقت الحالي بأن يقول: ما الذي يمكنني تعلمه من هذه الأحداث، ومن هؤلاء المتسللين؟”.
وبالنظر إلى النجاحات السابقة لـ Scattered Spider، فمن المرجح أن تستفيد المجموعات الأخرى من نفس هذه التكتيكات. قد يعني ذلك أن قادة أمن المؤسسات يفكرون بعناية في كيفية تثقيف وحماية موظفي مكتب المساعدة والمديرين التنفيذيين وأفراد أسرهم من الاستغلال.
بالإضافة إلى ذلك، يمكن لقادة المؤسسات النظر في دورهم المحتمل مع استمرار سلطات إنفاذ القانون في مكافحة مجموعات الجرائم الإلكترونية.
يقول بيكر: “يعد شركاء القطاع الخاص، والمدافعون، والقيادات في مجال الأمن مصادر ممتازة للمعلومات المتعلقة بالتفاصيل لحظة بلحظة عن الجهات التهديدية التي يمكن استخدامها لتعزيز عمليات إنفاذ القانون”.
