פועלי כל העולם: שלוש קבוצות האקרים הקימו גוף פריצה מאוחד

פועלי כל העולם, התאחדו: שלוש קבוצות פריצה נודעות לשמצה בסייבר, החליטו לאגם משאבים ולאגד כוחות – והקימו גוף פריצה אחוד, "תאגיד קולקטיבי". במסגרת זו, הקבוצות עכביש מפוזר (Scattered Spider), ציידים מבריקים (ShinyHunters), ו-$Lapsus החלו לפעול תחת באנר תפעולי משותף.

חוקרי Trustwave SpiderLabs ציינו כי "בעבר ראינו אותם משתפים פעולה, כעת זה לא רק שיתוף פעולה רופף, אלא ברית מתואמת. הקבוצה ממצבת את עצמה כקולקטיב מאוחד. יש פה אישור ישות ממוזגת, בעלת הון ומוניטין של שלושה מותגי פשע בפרופיל גבוה – שהתאחדו במטרה ליצור איום אחוד ומזוהה. יש לה מיתוג מחודש, חזית מאוחדת, נרטיב מרכזי, וגם – מודל שיווק תפעולי".

החוקרים זיהו כ-30 ישויות בתאגיד החדש, והם מעריכים כי ישויות הקשורות ל-ציידים המבריקים מובילות אותו. 

#threatreport #LowCompleteness
Scattered LAPSUS$ Hunters: Anatomy of a Federated Cybercriminal Brand | 05-11-2025
Source: https://t.co/RrfZDtMNPY
Key details below ↓

🧑‍💻Actors/Campaigns:
Scattered_lapsus_hunters (🧠motivation: information_theft, financially_motivated,… pic.twitter.com/VfBa6aIcgI

— RST Cloud (@rst_cloud) November 6, 2025

מכפיל כוח לסחיטה, גיוס ושליטה בקהל

לפי החוקרים, "לטלגרם יש תפקיד רחב ומשמעותי בפעילות התאגיד. זה לא רק ערוץ תקשורת ומסרים – אלא שהוא מהווה מרכז פיקוד קבוע". 

מאז אוגוסט, הקבוצה פרסמה את עצמה ב-16 ערוצי תקשורת פומביים, ובכל פעם שהיא הוסרה – שבה לפעול מחדש בתוך שעות.

"חוסן זה מדגיש אסטרטגיה", הסבירו החוקרים, "שכוללת נוכחות ציבורית והפחדה, עם טקטיקות תיאטרליות, הדומות להתנהגות של האקטיביסטים. למרות זאת, המניע של התאגיד החדש נותר זהה – מוטיבציה כלכלית".

הופעת הברית התחוללה בסמיכות זמנים ל-קריסת BreachForums, שנזכיר כי היה פורום מחתרתי אשר עסק במסחר בנתונים שנפרצו ובכלים לעבירות סייבר, עד שנסגר ב-2023 על-ידי רשויות האכיפה האמריקניות לאחר מעצר מייסדו, קונור בריאן פיצפטריק ("pompompurin"), בחשד להפעלת פעילות פלילית מקוונת.

הסגירה המסוימת פערה חלל בסביבות הדיונים בנושא ברשת האפלה. החוקרים מיפו כמה דמויות מפתח בארגון: shinycorp – מתאם ראשי; yuka – המתווך בין האקרים וסוחר בנוזקות, ו-ALG0D, הסוחר בנתונים גנובים ומנהל משא ומתן.

החוקרים סיכמו: "מדובר בקונסולידציה – כאסטרטגיה. זהו תכנון לטווח ארוך. זו ברית מגובשת ראשונה בתוך  הרשת, ששורשיה בקבוצת The Com, והיא עושה שימוש במותג כמכפיל כוח לסחיטה, גיוס ושליטה בקהל. ככל שסביבת פושעי הסייבר מתפתחת, נראה יותר שימוש בזהויות 'נזילות', יותר פרסום במדיה החברתית, יכולות פיתוח ניצול מותאמות אישית. שיתוף פעולה זה מבשר את השלב הבא בהפעלת כופרות וסחיטת נתונים ב-2026".

ערוץ הטלגרם של $Lapsus. צילום: לכידת מסך

לקבוצות המאוחדות היסטוריה "מפוארת"

שמה של קבוצת הסחיטה 'ציידים מבריקים' לקוח מהנוהג פופולרי בקרב שחקני פוקימון לנסות ללכוד "פוקימונים נוצצים". קולקטיב הפריצה אחראי לכמה פריצות והדלפות נתונים בפרופיל גבוה בשנים האחרונות, ביניהם: טיקטמאסטר; הבנק המקוון הספרדי סנטנדר; וחברת התעופה KLM. הקבוצה גנבה גם נתונים של לקוחות סיילספורס השנה באמצעות פגיעה באפליקציית צד שלישי. המתקפות פגעו, בין השאר, ב-פאלו אלטו וב-זיסקיילר.

'עכביש מפוזר', היא קבוצה בינלאומית של צעירים האקרים, שערכה כמה מתקפות סייבר בפרופיל גבוה בשנים האחרונות, בהן כופרה ב-2023 על MGM Resorts ו-Caesars Entertainment בלאס וגאס, והשנה על מארקס אנד ספנסר הבריטית ועל חברת הביטוח Aflac. זו כיוונה בעבר מתקפות על סיילספורס, כדי לפרוץ דרכה לחברות גדולות אחרות. מתקפות נוספות היו על אדידס, אליאנץ לייף, לואי ויטון וגוגל.

קבוצת $Lapsus פגעה בעבר בכמה קורבנות בעלי פרופיל גבוה. בתחילת העשור היא לקחה על עצמה את האחריות לגניבת נתונים מקורבנות, כגון מיקרוסופט, אנבידיה, סמסונג ואוקטה. $Lapsus ידועה בשימוש במודל סחיטה והרס טהור, בלא פריסת מטעני כופר. היא הופיעה בראשונה בדצמבר 2021.