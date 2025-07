Национальное агентство по борьбе с преступностью Великобритании (NCA) арестовало четырех человек, подозреваемых в причастности к атакам на крупных ритейлеров страны, включая Marks & Spencer, Co-op и Harrods.

Среди арестованных — два 19-летних подростка, один 17-летний подросток и 20-летьняя женщина, которые были задержаны в Лондоне и Уэст-Мидлендсе. Один из арестованных — латыш, а остальные граждане Великобритании.

Сообщается, что полиция конфисковала электронные устройства подозреваемых, чтобы изучить их на предмет улик или информации, которая поможет выявить возможных соучастников.

Всем подозреваемым предъявлены обвинения в нарушении Закона о неправомерном использовании компьютеров, шантаже, отмывании денег и участии в организованной преступной группе.

Предполагается, что задержанные связаны с атаками на известные торговые сети в Великобритании, включая Harrods, Co-op и Marks & Spencer. Взломы произошли в апреле и мае 2025 года, что привело к массовым сбоям в работе магазинов и негативным последствиям для предприятий.

К примеру, Marks & Spencer оценивает ущерб от атаки в 402 млн долларов США, так как компания была вынуждена приостановить прием онлайн-заказов, а позже подтвердила, что хакеры похитили данные клиентов.

Во время атак на Co-op и Marks & Spencer злоумышленники пытались развернуть в системах жертв вымогателя DragonForce. Однако атака удалась только в случае Marks & Spencer, так как специалисты Co-op успели отключить системы до развертывания шифровальщика.

DragonForce называет себя «вымогательским картелем» (ransomware cartel) и активна с декабря 2023 года. Недавно эта группа начала продвигать новый сервис, позволяющий другим хакерам использовать ее сервисы под собственными «брендами» (white-label).

При этом для взлома Marks & Spencer использовались тактики социальной инженерии, схожие с группировкой Scattered Spider. В итоге злоумышленники успешно зашифровали виртуальные машины VMware ESXi, размещенные на серверах компании.

Хотя в своем заявлении NCA не упоминает Scattered Spider, этническая принадлежность, тактики социальной инженерии и возраст арестованных соответствуют типичному профилю участников группировки.

Группировка Scattered Spider известна и под другими именами: Starfraud, Octo Tempest, Muddled Libra, 0ktapus (Group-IB), UNC3944 (Mandiant) и Scatter Swine (Okta).

Считается, что группа активна с 2022 года, а раньше ее финансово мотивированные атаки были направлены на организации, работающие в сфере управления отношениями с клиентами (CRM), аутсорсинга бизнес-процессов, телекоммуникаций и технологий.

Как правило, хакеры используют сложные схемы с применением социальной инженерии, которые часто связаны с подменой SIM-карт (SIM swap). В частности, Scattered Spider известна громкими атаками с использованием вымогательского ПО BlackCat (Alphv), Qilin и RansomHub, в том числе против MGM Resorts и сети казино Caesars Entertainment.

Еще осенью 2023 года специалисты Mandiant предупреждали, что Scattered Spider взломали как минимум 100 организаций, в основном расположенных в США и Канаде. Тогда ИБ-специалисты пришли к выводу, что основной состав Scattered Spider — это англоговорящие подростки в возрасте от 16 до 22 лет.

По данным известного ИБ-журналиста Брайана Кребса (Brian Krebs), участники Scattered Spider также связаны со сравнительно молодым криминальным феноменом Com (иногда The Comm или The Com, сокращение от Community).

Исходно группировка занималась финансовым мошенничеством, но затем ее участники перешли к более сложным атакам с использованием социальной инженерии, направленным на кражу криптовалюты у частных лиц, а также стали атаковать крупные компании с целью вымогательства.

В этом году, после серии атак на британских ритейлеров, злоумышленники переключились на американские страховые компании, а затем на авиационные и транспортные организации. В частности, предполагается, что Scattered Spider стоит за недавним взломом австралийской авиакомпании Qantas. Также в июне 2025 года от похожих взломов пострадали канадская авиакомпания WestJet и американская Hawaiian Airlines.

Предполагается, что аресты в Великобритании могут приостановить текущие кампании Scattered Spider, поскольку теперь оставшиеся члены группы могут сделать паузу и некоторое время не проявлять активности.

При этом Брайан Кребс сообщил, что среди арестованных числятся Оуэн Дэвид Флауэрс (Owen David Flowers, он же bo764, Holy и Nazi) и Талха Джубаир (Thalha Jubair, он же Earth2Star и Operator).

По информации Кребса, Джубаир был одним из ключевых членов группировки LAPSUS$, еще одного ответвления The Com. Также журналист пишет, что до недавнего времени Джубаир выступал администратором сайта Doxbin, где любой жела­ющий может раз­местить лич­ную информа­цию о сво­ей жер­тве или най­ти чьи‑то лич­ные дан­ные сре­ди информа­ции о сот­нях тысяч человек, которые ранее уже под­вер­глись док­сингу.