Группировка Scattered Spider: от атак на корпорации до громких арестов

Группировка действует с мая 2022 года и изначально ориентирована на финансовую выгоду. Одними из самых заметных инцидентов с её участием стали атаки на MGM Resorts и Caesars Palace в сентябре 2023 года. Атака на MGM привела к масштабным сбоям в работе отелей и казино, в то время как Caesars признала утечку данных в результате инженерной атаки на IT-поставщика. По данным исследователей, злоумышленники похитили около 6 терабайт данных и потребовали выкуп. Сообщалось, что Caesars заплатила $15 млн, тогда как MGM отказалась от переговоров и сотрудничала с правоохранителями.

Тактика группы включает использование нескольких вариантов фишинговых комплектов, которые визуально имитируют официальные порталы аутентификации таких сервисов, как Okta. Каждый комплект имеет уникальный исходный код, что затрудняет его обнаружение с помощью сигнатурных методов. Кроме того, злоумышленники активно регистрируют домены оптом, используя ключевые слова, связанные с корпоративной средой: «support», «vpn», «okta», «it». С начала 2025 года были обнаружены новые домены, нацеленные на такие компании, как Vodafone, Instacart и Pure Storage.

Инфраструктура группы отличается гибкостью и адаптивностью. С середины 2024 года Scattered Spider стала арендовать серверы у провайдеров, ориентированных на анонимность, таких как Njalla и Virtuo. Это позволило им дольше избегать блокировок. С января 2025 года в ход пошли услуги Cloudflare, что указывает на дальнейшее совершенствование методов уклонения.

Важным элементом в арсенале группы является фреймворк Evilginx, предназначенный для перехвата сессий аутентификации и похищения учетных данных. Жертвы, попавшие на фишинговые страницы, иногда перенаправлялись на видео с Риком Эстли - приём, известный как «рикролл», который маскирует вредоносную активность.

В 2024 году деятельность группировки привлекла внимание международных правоохранительных органов. В январе был арестован Ной Майкл Урбан, подозреваемый в причастности к SIM-свопингу и хищению криптовалюты. В июне в Испании задержали Тайлера Бьюкенена, alleged лидера группы, при котором находилось $27 млн в биткоинах. В ноябре пять участников, включая Урбана и Бьюкенена, были официально обвинены в США. В декабре в результате операции ФБР был арестован 19-летний Ремингтон Гой Оглетри.

Несмотря на аресты, активность группировки не прекратилась. В апреле 2025 года Scattered Spider атаковала ряд британских ритейлеров, включая Marks & Spencer, Co-op и Harrods. Большинство компаний столкнулись с операционными сбоями и утечками данных.

В августе 2025 года в Telegram появился канал «Scattered LAPSUS$ Hunters», объединивший риторику и методы Scattered Spider, LAPSUS$ и ShinyHunters. На канале публиковались угрозы в адрес правительственных структур, ультиматумы и данные об утечках, в том числе затрагивающие Banco Santander, Gucci и Coca-Cola. Часть данных подтвердилась, однако многие заявления, особенно о наличии нераскрытых уязвимостей в ПО, остаются непроверенными.

Scattered Spider демонстрирует, что современные киберпреступники сочетают техническую изощренность с глубоким пониманием человеческой психологии. Их деятельность подчеркивает необходимость усиления мер безопасности на всех уровнях - от технологических решений до обучения сотрудников.

Domains

• 7-eleven-hr.com
• activecampiagn.net
• acwa-apple.com
• bbtplus.com
• bell-hr.com
• bestbuy-cdn.com
• birdsso.com
• citrix-okta.com
• commonspiritcorp-okta.com
• consensys-okta.com
• corp-hubspot.com
• cts-comcast.com
• doordash-support.com
• duelbits-cdn.com
• freshworks-hr.com
• gemini-sso.com
• gucci-cdn.com
• itbit-okta.com
• iyft.net
• klaviyo-hr.com
• login.freshworks-hr.com
• login.hr-intercom.com
• morningstar-okta.com
• mytsl.net
• okta-ziffdavis.com
• pfchangs-support.com
• prntsrc.net
• pure-okta.com
• signin-nydig.com
• simpletexting-cdn.com
• squarespacehr.com
• sso-instacart.com
• sts-vodafone.com
• sytemstern.net
• twitter-okta.com
• xn--gryscale-ox0d.com
• x-sso.com