داخل مجموعة Scattered Spider (المعروفة أيضًا باسم Sp1d3rhunters): المجموعة الغامضة وراء الحادثة الإلكترونية لـ Jaguar Land Rover

هذه المقالة هي الثانية في سلسلتنا حول الحادثة الإلكترونية لـ Jaguar Land Rover. يمكنك قراءة الجزء الأول هنا.

يشير ظهور Scattered Spider، المعروف أيضًا باسم Sp1d3rhunters أو Shiny Hunters، المجموعة التي تدعي المسؤولية عن الحادثة الإلكترونية لـ Jaguar Land Rover، إلى قفزة تطورية جديدة في مشهد TTP للجهات الفاعلة في التهديد العالمي. يتميزون بأسلوبهم العملياتي المصمم بعناية، الذي يدمج بين ثلاث مكونات قوية لتحقيق سمعة سريعة في الفضاء السيبراني، وهي بيانات العملاء، الشركات الكبيرة ونموذج الإيرادات والعمليات الفريد لاستهداف الضحايا.

للعين غير المدربة، قد تبدو Scattered Spider كجهة تهديد أخرى تسعى للفدية. ومع ذلك، عند النظر عن كثب، تبدأ في رؤية طبقات التشغيل التي تشير بوضوح إلى مستوى أعلى من التطور سواء من حيث TTPs أو من حيث تكتيكات الضغط بعد الحادثة. دعونا الآن نتعرف على المجموعة بالتفصيل لفهم سبب كون حادثة Jaguar Land Rover طويلة الأمد.  

ظهرت هذه المجموعة في عام 2020 من خلال سلسلة من الاختراقات العالمية. لدينا أسباب للاعتقاد بأن المجموعة تم إنشاؤها من قبل أعضاء سابقين في ALPHV وRansomHub. وربما تم احتضان المجموعة من قبل إحدى هاتين المجموعتين وتزويدها بالبيانات المسروقة وبيانات الاعتماد لاختراق شبكات الهدف في مراحلها الأولى. باستخدام نهج الأفضل من بين الأفضل، اكتسبت Scattered Spider بسرعة حياة مستقلة ومنذ أن بدأت عدادات الإيرادات في الدوران، بدأت المجموعة في الاهتمام أكثر بنموذج أعمالها.

بين عامي 2021 و2023، شهدت المجموعة سلسلة من التغييرات في القيادة حيث انخفض متوسط عمر القيادة بنحو عقد من الزمن. خلال هذه الفترة، دخل العديد من الأفراد الجدد المجموعة بينما انصرف الكبار. استقر الوافدون الجدد بسرعة وواصلوا توسيع العمليات كما هو واضح من قائمة الجرائم الناجحة التي ارتكبتها Scattered Spider حتى خلال فترة الانتقال.

حتى بالنسبة لأكثر الجهات الفاعلة في التهديد تطورًا، فإن نماذج الأعمال والعمليات تتعلق في الغالب بجني الفدية بينما يمكنها ثم الاختفاء في الظلال. ShinyHunters هو استثناء لهذا الاتجاه. لم يقتصر Scattered Spider على تطوير العديد من النماذج للحفاظ على الإيرادات لعملياته، بل إنه يدير واحدة من أكثر عمليات الفدية كخدمة نضجًا مع نماذج متعددة لتقاسم الإيرادات الصديقة للشركاء. لا عجب أن قاعدة شركائه نمت بنحو 700 بالمائة خلال العامين الماضيين.

إنهم من بين أكثر مجموعات الجريمة السيبرانية تعاونًا هناك. بفضل هيكل القيادة السائل الذي له روابط عميقة مع العديد من الجهات الفاعلة في التهديد المعروفة، لدى ShinyHunters العديد من مشروعات الجريمة السيبرانية النشطة مع مجموعات حول العالم. اليوم، يتم تنفيذ عدد كبير من أكثر من 400 حادثة سيبرانية منسوبة إلى المجموعة من قبل الشركاء من خلال نموذج تقاسم الإيرادات.

استهداف العلامات التجارية الكبيرة

بالإضافة إلى السعي للحصول على الدعاية لأعمالها، كانت Scattered Spider تضع العلامات التجارية الكبيرة في مرمى أهدافها منذ أن بدأت عملياتها. في مرحلتها الأولى، كانت الأهداف مزيجًا من العلامات التجارية الكبيرة والصغيرة التي تم اختيارها على ما يبدو من أجل الإيرادات. كانت Zoosk وHome Chef وMinted وChatbooks وHope وTokopedia وWattpad من بين أوائل الضحايا.

في السنوات التالية، بينما بدأت القيادة الجديدة في الاستقرار، وسعت المجموعة عملياتها لاستهداف العديد من الشركات الصغيرة والمتوسطة التي دفعت فديات بهدوء خوفًا من الانتباه من الجهات التنظيمية أو التدقيق من المستثمرين.

في عام 2024، استهدفت المجموعة AT&T وTwillo وTicketmaster من بين علامات تجارية كبيرة أخرى، مما جلب الثقة وجوعًا لا يشبع للدعاية في هذه العملية. ومع وصول عام 2025، نمت المجموعة وامتدت أذرع شركائها عبر الويب لتحقق العلامات التجارية الكبيرة بما في ذلك:

· Google: تم الاختراق من خلال بيئة CRM جهة خارجية، مكشفةً معلومات الاتصال للعملاء التجاريين.

· Kering (Gucci, Balenciaga, Alexander McQueen): تم اختراق بيانات العملاء من مجموعة الأزياء الفاخرة.

· LVMH (Louis Vuitton, Dior, Tiffany & Co.): حصلت على وصول إلى قاعدة بيانات معلومات العملاء

· Air France-KLM: تم الوصول إلى بيانات خدمة العملاء، بما في ذلك الأسماء ومعلومات برنامج الولاء.

· Adidas: يُزعم أن تذاكر خدمة العملاء قد سُرقت.

· Chanel: تم اختراق قاعدة بيانات رعاية العملاء.

· Pandora: تم الوصول إلى ملفات تعريف العملاء.

· Qantas: تم اختراق بيانات العملاء المخزنة في منصة CRM.

· Allianz Life: استُهدفت الفرع الأمريكي الشمالي لشركة التأمين العملاقة.

· Cisco: سُرقت معلومات ملفات المستخدمين من نظام CRM.

· Cartier: تم الوصول إلى معلومات محدودة عن العملاء.

· Workday: تم اختراق قاعدة بيانات دعم العملاء.

· المركز الوطني لمعلومات الائتمان بفيتنام (CIC): زعمت Scattered Spider أنها قامت باستخراج نحو 160 مليون سجل.

طريقة العمل

على عكس المجموعات الأخرى التي تعتمد فقط على انتحال الهوية عبر النطاقات، والتصيد والخرق، ذهبت Scattered Spider أبعد من ذلك بدمج هذه الطرق مع التلاعب في تطبيقات MFA. تبدأ الهجوم بإجراء مكالمة من أحد أعضاء العصابة مدعيًا أنه من فريق الدعم للموظف المحدد مسبقًا. يتم إرشاد الموظف لنشر محمل بيانات معدّل لتمكين عضو العصابة من الوصول إلى بيانات CRM.

ثم يتصاعد الهجوم لاستهداف أنظمة متعددة. تبدو المعلومات الأولية المتاحة أن المجموعة تمكنت من إختراق شبكات Jaguar Land Rover بعمق والوصول إلى تطبيقات وبيانات متعددة. يبدو أن Jaguar تحاول السيطرة على انتشار الاختراق عن طريق تعطيل الأنظمة المتأثرة. ومع ذلك، في الأيام الأولى عندما كان نطاق الانفجار الدقيق غير معروف، فمن الممكن أن بعض الأنظمة المتأثرة في Jaguar Land Rover تم الاحتفاظ بها "حية" مما يؤدي إلى فقدان البيانات وتوسيع تأثير النظام وتأخير التعافي.  

التسريب المزدوج والإكراه العلني عبر المنصات الاجتماعية هو تكتيك شائع تستخدمه هذه المجموعة. يُعرف Scattered Spider أيضًا باستخدام بيانات الاعتماد المسروقة وتطبيقات الضحايا المختطفة لإرسال رسائل تصيد احتيالية لضحايا محتملين جدد. 

ماذا عن الاعتقالات؟

مؤخراً قامت الولايات المتحدة والمملكة المتحدة بتوجيه اتهامات لاثنين من أعضاء المجموعة الذين تم اعتقالهم في السابق. مثل هذه الاعتقالات بالإضافة إلى الرسالة التي أرسلتها المجموعة على قناتها في Telegram والتي قالت "نحن LAPSUS$, Trihash, Yurosh, yaxsh, WyTroZz, N3z0x, Nitroz, TOXIQUEROOT, Prosox, Pertinax, Kurosh, Clown, IntelBroker, Scattered Spider, Yukari, والعديد غيرها، قررنا الاختفاء،" تشير إلى أن المجموعة تقوم فقط بتغطية آثارها وسوف تعود قريبًا كمنظمة جديدة بعلامة تجارية جديدة. لا يزال زعماء المجموعة في العراء وسوف يظهرون قريبًا كمنظمة جديدة.

احصل على موجز تهديد مخصص لمؤسستك. تحدث مع فريق أبحاث التهديدات الخاص بنا.