هکرهای عامل حملات به خرده‌فروشی‌های بریتانیا، اکنون شرکت‌های آمریکایی را هدف قرار داده‌اند.

گوگل امروز اعلام کرد که مهاجمان سایبری با بهره‌گیری از روش‌های موسوم به Scattered Spider که پیش‌تر برای حمله به زنجیره‌های خرده‌فروشی در بریتانیا به‌کار گرفته شده بودند، اکنون شرکت‌های خرده‌فروشی در ایالات متحده را نیز هدف قرار داده‌اند.

John Hultquist تحلیل‌گر ارشد گروه اطلاعات تهدید گوگل افزود : بخش خرده‌فروشی ایالات متحده در حال حاضر در معرض عملیات باج‌افزاری و اخاذی سایبری قرار دارد؛ عملیاتی که گمان می‌کنیم به گروه UNC3944 – که با نام Scattered Spider نیز شناخته می‌شود – مرتبط باشد.

وی افزود:این گروه که به‌گزارش‌ها پس از یک وقفه طولانی، بار دیگر به خرده‌فروشی بریتانیا حمله کرده، سابقه تمرکز بر یک بخش خاص در هر مقطع زمانی را دارد و پیش‌بینی می‌شود در کوتاه‌مدت همچنان این بخش را هدف قرار دهد. شرکت‌های خرده‌فروشی آمریکایی باید این هشدار را جدی بگیرند.

منظور از خرده‌فروشی یا retail، فروش کالا یا خدمات به مصرف‌کننده نهایی است — یعنی فروش مستقیم به مشتریانی که کالا را برای مصرف شخصی (نه برای فروش مجدد یا استفاده تجاری) خریداری می‌کنند.

وقتی گفته می‌شود «حمله به صنعت خرده‌فروشی»، معمولاً منظور حمله به سیستم‌های فروش، پایانه‌های پرداخت (POS)، سامانه‌های حسابداری، پایگاه‌های داده مشتریان، و زنجیره تأمین فروشگاه‌هاست. هدف اغلب سرقت اطلاعات مالی، باج‌گیری یا ایجاد اختلال در فعالیت تجاری آن‌هاست.

بر اساس نخستین گزارش منتشرشده توسط وب‌سایت BleepingComputer، شرکت خرده‌فروشی بریتانیایی Marks & Spencer (M&S) هدف یک حمله باج‌افزاری قرار گرفته است که در جریان آن، مهاجمان سایبری اقدام به رمزگذاری ماشین‌های مجازی روی میزبان‌های VMware ESXi با استفاده از رمزگذار DragonForce کردند. این حمله به گروه Octo Tempest نسبت داده شده است که از سوی شرکت مایکروسافت با نام Scattered Spider شناخته می‌شود.

شرکت Co-op نیز درگیر یک رخداد سایبری دیگر شده است و تأیید کرده که مهاجمان موفق به سرقت داده‌های بسیاری از اعضای فعلی و سابق این مجموعه شده‌اند. همچنین شرکت Harrods در تاریخ ۱ مه اعلام کرد که دسترسی به اینترنت را به‌طور موقت محدود کرده است؛ اقدامی که در پی تلاش مهاجمان برای نفوذ به شبکه این شرکت صورت گرفته و نشان‌دهنده واکنشی فعال در برابر یک حمله سایبری احتمالی است، هرچند وقوع رخنه هنوز به‌طور رسمی تأیید نشده است.

عملیات باج‌افزاری DragonForce مسئولیت هر سه حمله‌ی مذکور را بر عهده گرفته است. طبق اطلاعات به‌دست‌آمده توسط وب‌سایت BleepingComputer، مهاجمان از روش‌های مهندسی اجتماعی مشابهی استفاده کرده‌اند که پیش‌تر به گروه تهدید Scattered Spider نسبت داده شده بود. عملیات DragonForce نخستین بار در دسامبر ۲۰۲۳ ظاهر شد و به‌تازگی خدماتی جدید معرفی کرده است که به دیگر گروه‌های جرائم سایبری امکان می‌دهد این خدمات را با برند اختصاصی خود مورد استفاده قرار دهند.

از زمان آغاز حملات گروه Scattered Spider به خرده‌فروشان بریتانیایی در آوریل، مرکز ملی امنیت سایبری بریتانیا (NCSC) اقدام به انتشار راهنمایی‌هایی برای تقویت دفاع سایبری سازمان‌های بریتانیایی کرده و هشدار داده است که این حملات باید به‌عنوان «زنگ خطری جدی» تلقی شوند، چرا که هر سازمانی ممکن است هدف بعدی این مهاجمان باشد.

مرکز ملی امنیت سایبری بریتانیا (NCSC) تاکنون این حوادث را به گروه یا عامل تهدید خاصی نسبت نداده و اعلام کرده که همچنان در حال همکاری با قربانیان جهت تعیین ماهیت این حملات است.

در بیانیه‌ای از سوی NCSC آمده است:
«اگرچه بینش‌هایی در اختیار داریم، اما هنوز در موقعیتی نیستیم که به‌صورت قطعی اعلام کنیم این حملات به یکدیگر مرتبط هستند، بخشی از یک کارزار هماهنگ از سوی یک عامل واحد به‌شمار می‌روند، یا هیچ‌گونه ارتباطی میان آن‌ها وجود ندارد. ما در حال همکاری با قربانیان و همکاران در نهادهای اجرای قانون برای روشن‌سازی این موضوع هستیم.»

گروه تهدید Scattered Spider

گروه Scattered Spider (که با نام‌های دیگری همچون ۰ktapus، UNC3944، Scatter Swine، Starfraud و Muddled Libra نیز شناخته می‌شود)، به‌عنوان یک مجموعه‌ی پویا از عاملان تهدید شناخته می‌شود که در حملات پیچیده‌ی مهندسی اجتماعی، از جمله فیشینگ، تعویض سیم‌کارت (SIM swapping)، بمباران احراز هویت چندمرحله‌ای (MFA bombing یا همان خستگی هدفمند MFA)، اقدام به نفوذ در سازمان‌های شاخص جهانی کرده‌اند.

فعالیت این گروه در سپتامبر ۲۰۲۳ شدت گرفت، زمانی که آن‌ها با جعل هویت یکی از کارکنان و تماس با واحد پشتیبانی فناوری اطلاعات، موفق به نفوذ به شبکه شرکت MGM Resorts شدند. آن‌ها پس از این نفوذ، باج‌افزار BlackCat را به کار گرفتند و بیش از ۱۰۰ میزبان VMware ESXi را رمزگذاری کردند.

از آن زمان تاکنون، این گروه به‌عنوان وابسته (affiliate) برای چندین عملیات باج‌افزاری دیگر نیز فعالیت داشته‌اند؛ از جمله RansomHub، Qilin و اخیراً DragonForce. از دیگر حملات شناخته‌شده منتسب به Scattered Spider می‌توان به نفوذ در شرکت‌هایی مانند Twilio، Coinbase، DoorDash، Caesars، MailChimp، Riot Games و Reddit اشاره کرد.

برخی از عاملان تهدید وابسته به گروه Scattered Spider گمان می‌رود که عضو جامعه‌ای با عنوان «Com» باشند؛ یک اجتماع غیرمتمرکز که در حملات سایبری و اقدامات خشونت‌آمیز فعالیت دارد و بارها توجه رسانه‌ها را به خود جلب کرده است.

این مجرمان سایبری گاهی در سنین بسیار پایین، حتی از ۱۶ سالگی، وارد این عرصه می‌شوند و اغلب انگلیسی‌زبان هستند. آن‌ها در کانال‌های تلگرام، سرورهای Discord و انجمن‌های هکری فعالیت می‌کنند و حملات خود را به‌صورت بلادرنگ (Real-time) در این بسترها برنامه‌ریزی و اجرا می‌کنند.

اگرچه بسیاری از رسانه‌ها و محققان امنیت سایبری از عنوان «Scattered Spider» برای توصیف این مجموعه به‌عنوان یک باند منسجم استفاده می‌کنند، اما در واقع این نام به گروهی غیرمتمرکز از عاملان تهدید اشاره دارد که از تاکتیک‌های خاص و مشابهی در حملات خود بهره می‌برند. همین ویژگی باعث شده رهگیری فعالیت‌های آن‌ها دشوار باشد.

در گفت‌وگویی با وب‌سایت BleepingComputer، «جان هالتکویست» اظهار داشت:
«این عاملان تهدید، تهاجمی، خلاق و به‌طور ویژه‌ای در دور زدن برنامه‌های امنیتی پیشرفته مؤثر هستند. آن‌ها در بهره‌گیری از مهندسی اجتماعی و استفاده از شخص ثالث برای دسترسی به اهداف خود، موفقیت چشم‌گیری داشته‌اند.»