Компания Microsoft сообщила, что хакерская группировка Scattered Spider пополнила свой арсенал вымогательской малварью Qilin и RansomHub, и уже использует вредоносы в своих атаках.
Хакеры Scattered Spider активны с начала 2022 года. Группировка также известна под именами 0ktapus (Group-IB), Scatter Swine (Okta), Starfraud, UNC3944 (Mandiant), Octo Tempest (Microsoft) и Muddled Libra. Ее финансово мотивированные атаки в основном направлены на организации, работающие в сфере управления отношениями с клиентами (CRM), аутсорсинга бизнес-процессов, телекоммуникаций и технологий.
Как правило, группа использует сложные схемы с применением социальной инженерии, которые часто связаны с подменой SIM-карт (SIM swap). В частности Scattered Spider известна своими атаками с использованием вымогательского ПО BlackCat (Alphv), в том числе против гиганта MGM Resorts, который владеет сетями отелей, курортов и казино по всему миру.
Кроме того, в середине 2023 года эксперты Symantec связали группировку с использованием вымогательской малвари RansomHub.
«Во втором квартале 2024 года финансово мотивированная группировка Octo Tempest, которую мы тщательно отслеживаем, добавила RansomHub и Qilin к полезной нагрузке своих кампаний», — предупреждают специалисты Microsoft.
В компании отмечают, что Scattered Spider — одна из самых продвинутых и опасных из ныне действующих хакерских группировок.
Упомянутый шифровальщик Qilin появился в августе 2022 года и сначала назывался Agenda, но спустя месяц был переименован в Qilin. За последние два года на сайте для утечек, принадлежащем группировке, была опубликована информация о 130 пострадавших от атак компаниях.
Активность Qilin заметно возросла в конце 2023 года. Кроме того, с декабря прошлого года хакеры разрабатывают один из наиболее продвинутых и кастомизируемых Linux-шифровальщиков, специально предназначенный для виртуальных машин VMware ESXi, которые часто используются в корпоративной среде.
Что касается RansomHub, этот шифровальщик появился в феврале 2024 года и считается «ребрендингом» вымогателя Knight. Именно RansomHub использовался в таких громких атаках, как недавние взломы аукционного дома Christie's и американской аптечной сети Rite Aid.
