Ομάδα Scattered Spider: Κυβερνοεπιθέσεις σε M&S και Co-op

Η συντονισμένη επίθεση του Απριλίου 2025

Τον Απρίλιο του 2025, οι κυβερνοεπιθέσεις που στόχευσαν τους βρετανικούς λιανοπωλητές Marks & Spencer και Co-op χαρακτηρίστηκαν ως ένα “ενιαίο συνδυασμένο κυβερνογεγονός”. Αυτή η εκτίμηση προήλθε από το Cyber Monitoring Centre (CMC), έναν ανεξάρτητο, μη κερδοσκοπικό οργανισμό που ιδρύθηκε από τη βιομηχανία ασφάλισης για την κατηγοριοποίηση σημαντικών κυβερνογεγονότων.

Η CMC ανέφερε ότι “δεδομένου ότι ένας δράστης ανέλαβε την ευθύνη για τις επιθέσεις και στις δύο εταιρείες, η κοντινή χρονική απόσταση και οι παρόμοιες τακτικές, τεχνικές και διαδικασίες (TTPs), οι επιθέσεις θεωρούνται ως ένα ενιαίο συνδυασμένο κυβερνογεγονός”.

Οικονομικές επιπτώσεις και κατηγοριοποίηση

Η οργάνωση κατηγοριοποίησε τη διατάραξη των λιανοπωλητών ως “Συστημικό Γεγονός Κατηγορίας 2”. Εκτιμάται ότι οι παραβιάσεις ασφαλείας θα έχουν συνολική οικονομική επίπτωση από 270 εκατομμύρια λίρες (363 εκατομμύρια δολάρια) έως 440 εκατομμύρια λίρες (592 εκατομμύρια δολάρια).

Ωστόσο, η επίθεση στον Harrods την ίδια περίοδο δεν έχει συμπεριληφθεί σε αυτό το στάδιο, λόγω έλλειψης επαρκών πληροφοριών για την αιτία και τις επιπτώσεις.

Η τακτική της κοινωνικής μηχανικής

Η αρχική μέθοδος πρόσβασης που χρησιμοποιήθηκε στις επιθέσεις κατά των Marks & Spencer και Co-op βασίστηκε στη χρήση τακτικών κοινωνικής μηχανικής, με ιδιαίτερη στόχευση στα τμήματα υποστήριξης IT. Οι επιτιθέμενοι προσποιούνταν ότι ήταν μέλη του IT τμήματος για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση.

Η CMC σημείωσε ότι οι προσπάθειες απόδοσης ευθυνών συνεχίζονται. Παρ’ όλα αυτά, πιστεύεται ότι πίσω από τις επιθέσεις βρίσκεται η διαβόητη κυβερνοεγκληματική ομάδα Scattered Spider (γνωστή και ως UNC3944), η οποία αποτελεί παρακλάδι της ευρύτερης κοινότητας κυβερνοεγκλήματος γνωστής ως The Com.

Επιπτώσεις και προειδοποιήσεις

Η CMC δήλωσε ότι “η επίδραση από αυτό το γεγονός είναι ‘στενή και βαθιά’, με σημαντικές συνέπειες για δύο εταιρείες και αλυσιδωτές επιπτώσεις για προμηθευτές, συνεργάτες και παρόχους υπηρεσιών”.

Πρόσφατα, η Google Threat Intelligence Group (GTIG) αποκάλυψε ότι οι δράστες της Scattered Spider έχουν αρχίσει να στοχεύουν μεγάλες ασφαλιστικές εταιρείες στις Ηνωμένες Πολιτείες. Ο John Hultquist, κύριος αναλυτής της GTIG, προειδοποίησε ότι “η ασφαλιστική βιομηχανία πρέπει να είναι σε υψηλή επιφυλακή, ειδικά για σχήματα κοινωνικής μηχανικής που στοχεύουν τα κέντρα υποστήριξης και τα τηλεφωνικά κέντρα τους”.

Νέες εξελίξεις και στρατηγικές

Η εξέλιξη αυτών των επιθέσεων έρχεται καθώς η ινδική συμβουλευτική γίγαντας Tata Consultancy Services (TCS) αποκάλυψε ότι τα συστήματα ή οι χρήστες της δεν παραβιάστηκαν ως μέρος της επίθεσης κατά των Marks & Spencer. Τον περασμένο μήνα, οι Financial Times ανέφεραν ότι η TCS διερευνά εσωτερικά εάν τα συστήματά της χρησιμοποιήθηκαν ως πλατφόρμα εκκίνησης για την επίθεση.

Επιπλέον, μια νέα στρατηγική από τη λειτουργία ransomware Qilin περιλαμβάνει την προσφορά νομικής βοήθειας για την αύξηση της πίεσης κατά τη διάρκεια διαπραγματεύσεων λύτρων. Οι δράστες ισχυρίζονται επίσης ότι διαθέτουν μια εσωτερική ομάδα δημοσιογράφων που μπορούν να συνεργαστούν με το νομικό τμήμα για τη δημιουργία αναρτήσεων στο blog και την υποστήριξη των διαπραγματεύσεων με τα θύματα.