Scattered Spider(別名:Muddled Libra、Octo Tempest、Scatter Swine、UNC3944)は、企業をだましてユーザー認証情報を引き出し、多要素認証を回避するためのソーシャルエンジニアリング手法を得意とするサイバー犯罪者グループです。この手法により、グループは企業ネットワークへの持続的な侵入、企業データの窃取、身代金の要求などを行っています。
FBIとサイバーセキュリティ・インフラセキュリティ庁(CISA)は火曜日、Scattered Spiderが新たな手法を用いて複数の業界に対して攻撃を仕掛けていると警告しました。
このグループはこれまで、主にホスピタリティ、通信、小売業界に焦点を当て、各業界内の複数の組織を標的にした後、次の業界へと移動してきました。
Scattered Spiderは「高度なソーシャルエンジニアリングと侵入手法を用いて米国組織の業務を妨害し、被害者から金銭を脅し取る、深刻かつ継続的な脅威である」と、CISAのサイバーセキュリティ担当代理執行補佐ディレクター、クリス・ブテラ氏は関連声明で述べています。「彼らの活動は複数の業界に影響を与えており、ランサムウェアが国家安全保障や経済の安定に引き続きリスクをもたらしていることを浮き彫りにしています。」
研究者たちは、Scattered Spiderをサイバー犯罪地下組織の中でも特異な存在と見なしています。グループの構成員は主に米国や英国出身の英語を話す若い男性(多くは10代)で構成されており、当局は最大1,000人にのぼると推定しています。
このグループは、地下組織The Comと関係があり、専門家はこの組織が恐喝やマネーロンダリング、未成年者を巻き込む犯罪、暗号通貨の窃盗、SIMスワッピングなど多様な犯罪に関与していると指摘しています。
Palo Alto Networksによると、Scattered Spiderは統一された中央集権的な組織ではなく、複数のサブグループで構成されており、それぞれが独自の標的や好みの手法を持っている可能性があります。
このハッカー集団は、2023年9月にホテル・カジノ大手のMGMリゾーツに対するランサムウェア攻撃で世間の注目を集めて登場しました。ハッカーたちは数日間にわたり施設の業務を混乱させ、宿泊客を部屋に入れなくし、エレベーターやスロットマシン、ATMを停止させました。この攻撃は同社に1億ドル以上の損害をもたらしました。
最新情報をチェック。Cybersecurity Diveの無料デイリーニュースレターに登録しましょう。
研究者たちはまた、Scattered Spiderが2023年に発生した家庭用品大手Cloroxのハッキングにも関与しているとしています。この事件では同社が多くのシステムを停止し、数か月にわたる製品不足が発生しました。今月初めに提起された3億8,000万ドルの訴訟で、CloroxはITベンダーのCognizantがハッカーに認証せずに認証情報を渡したとして、義務を果たさなかったと主張しています。
常に逃走中
2024年11月、米司法省は5人を起訴し、フィッシングテキストを使って従業員の認証情報を収集し、数百万ドルを盗んだとされました。セキュリティ研究者によれば、この活動は2021年9月から2023年4月までに45社のハッキングを含み、Scattered Spiderの初期の犯罪活動とされています。
スペイン当局は被告の一人である23歳のイギリス人、タイラー・ブキャナンを逮捕し、4月に米国へ身柄を引き渡しました。この起訴と身柄引き渡しにより、一部のセキュリティ専門家は当局がScattered Spiderの無力化に成功したと考えました。
しかし4月には、同グループはMarks & Spencer、Harrods、Co-opというイギリスの大手小売企業3社に対し、ソーシャルエンジニアリング攻撃を連続して仕掛けました。他にも2社の大手イギリス企業が被害に遭った可能性がありますが、まだ公表されていないとMarks & Spencerの会長が今月初めに英議会で証言しました。
Scattered Spiderによる最新の攻撃活動は4月に始まり、英国サイバーモニタリングセンターによると推定4億4,000万ポンドの損害をもたらしました。
今月初め、イギリス当局はScattered Spiderの攻撃に関連して4人を逮捕しました。警察は大量のコンピュータ機器も押収し、さらなる逮捕につながる証拠がないか解析を進めています。
一方、5月にはScattered Spiderは米国に標的を移し、Victoria’s Secret、ノースカロライナ州のBelk、Whole Foodsの流通業者United Natural Foodsなど、大手小売業者やそのベンダーに対する攻撃を開始しました。
UNFIは今月初め、自社の情報漏えいによる売上損失が最大4億ドルに達する可能性があると警告しました。
6月以降、Scattered Spiderは新たな業界へと標的を移し、大手保険会社、航空会社、その他の運輸会社を攻撃しています。最近の被害企業にはAflac、Allianz Life、Philadelphia Indemnity Insuranceなどが含まれます。Scattered Spiderはまた、Hawaiian AirlinesやQantasの最近のハッキングにも関与している可能性があります。