הסוכנויות התריעו: "הטקטיקות של העכביש המפוזר ממשיכות להתפתח"

שורה של גופי ביון ואכיפה בעולם הנפיקו התרעה חדשה: היזהרו מפני העכביש המפוזר (Scattered Spider) – קבוצת האקרים שעלתה לכותרות השנה, כי "הם מפתחים כל הזמן טקטיקות תקיפה חדשות, כולל של הנדסה חברתית וניצול כלים לגיטימיים".

"קולקטיב ההאקרים ממשיך לעבוד קשה כדי לחדד את הטקטיקות שלו ולפרוס גרסאות חדשות של נוזקות", נכתב.

קבוצת ההאקרים זכתה לפרסום עולמי בשל סבב של מתקפות סייבר על הקמעונאיות הבריטיות מרקס אנד ספנסר (Marks & Spencer), קו-אופ (Co-op Group) והרודס (Harrods) – אז היא עברה לתקוף יעדים בצפון אמריקה, גם שם פגעה בקמעונאים, לצד חברות ביטוח וארגוני תעופה. החקירות נגד חברי הכנופיה נמשכות.

האזהרה – שיצאה במשותף על ידי CISA, הסוכנות לאבטחת סייבר ותשתיות בארה"ב, ה-FBI, ו-NCSC – המרכז הלאומי לאבטחת סייבר בבריטניה, עם הסוכנויות המקבילות להם באוסטרליה ובקנדה – מתריעה מפני טקטיקות, טכניקות ונהלים (TTPs) שנצפו בתקופה שעד יוני 2025, במסגרת מתקפות רבות שנערכו מול מטרות אמריקניות.

"שחקני האיום 'העכביש המפוזר' עוסקים בדרך כלל בגניבת נתונים למטרות סחיטה וגם משתמשים בכמה גרסאות של כופרות", נכתב. "באחרונה הם עשו שימוש בכופרה דרגון פורס (DragonForce). בעוד שחלק מהפעילויות שלהם נותרו עקביות, הרי שהם גם משנים לעתים קרובות חלק מהן, כדי להישאר בלתי מזוהים".

היסטורית, המתקפות של חברי הקבוצה התחילו בניסיונות פישינג ו-Smishing (התחזות טקסטואלית) נרחבים. אלה נצפו שוב גם בתקופה האחרונה, בין השאר תוך שימוש שקרי במותג ניהול הזהויות אוקטה (Okta). אחד הכינויים האחרים של חבריה היה 0ktapus (השיבוש במקור – י"ה).

🕷️🚨 Scattered Spider threat actors are using social engineering techniques like phishing, push bombing & SIM swap attacks to target #CriticalInfrastructure orgs & commercial facilities. Check out our updated joint advisory for recommended mitigations. 👉https://t.co/Orks7C7lPX pic.twitter.com/h2QELMQhJI

— CISA Cyber (@CISACyber) July 29, 2025

פעילות מורכבת ודינמית כדי שלא להתפס

לפי סוכנויות הביון, "גל המתקפות הנוכחי משתמש בפישינג וכן ב-vishing (התחזות קולית) ממוקדים ורב-שכבתיים. לעתים קרובות הם פועלים לצד אתרי B2B לגיטימיים, כדי לאסוף מידע, 'להעשיר' את יכולות הפריצה ולהיראות משכנעים יותר. עוד הם עוסקים בשיפור יכולות ההנדסה החברתית שלהם: באחרונה הם נצפו מתחזים לעובדי הארגון הקורבן, כדי לשכנע את צוות ה-IT או את צוות התמיכה לספק מידע על אישורים, להריץ נתונים שהם במצב 'מנוחה' ולהעביר מפתחות של אימות רב-גורמי (MFA) למכשירים שלהם".

לפי הסוכנויות, לאחר שהם השיגו גישה ראשונית, הם מתחברים למערכות הקורבן מרחוק, עם כלים לגיטימיים, כגון סקרין קונקט (Screenconnect), טים ויוור (TeamViewer) ו-אנידסק (AnyDesk).

עוד מציינים החוקרים של סוכנויות הביון המערביות כי ההאקרים עושים שימוש בסוס טרויאני חדש לגישה מרחוק, מבוסס ג'אווה, בשם ראטי ראט (RattyRAT) – משחק מילים בין 'עכברוש', 'מלשן מסריח' ו'סוס טרויאני המאפשר גישה מרחוק – זאת כדי ליצור ולבסס גישה מתמשכת וחשאית לקורבנות ולבצע פעילויות איסוף בתשתית שלהם. הכנופיה גם עוקבת מקרוב אחר עדויות לכך שהיא זוהתה. כדי להימנע מכך, היא פועלת ליצירת זהויות חדשות, הנתמכות על ידי פרופילי מדיה חברתית מזויפים.

לצד השימוש בכופרה DragonForce להצפנת נתונים וסחיטה, ההאקרים כיוונו יותר ויותר לשרתי VMware ESXi, "ועכשיו נראה שהם גם מחפשים את הגישה של הקורבנות ל-סנואופלייק (Snowflake) כדי לגנוב יותר נתונים ולעשות זאת מהר יותר".

ההתרעה מסתיימת בקריאה לקורבנות לדווח על תקריות לרשויות, וחוזרת על ההנחיה שלא לשלם דמי כופר עבור נתונים שהוצפנו.

FBI, @CISA, and other partners published a joint CSA on the indicators of compromise (IOCs) and tactics, techniques, and procedures (TTPs) of cybercriminal group Scattered Spider (SS). Keep ahead of the threat by reviewing SS’s IOCs and evolving TTPs: https://t.co/SSTsmmBCv3 pic.twitter.com/uq9kwJ5GGQ

— FBI (@FBI) July 29, 2025

"אסטרטגיה חכמה להישאר בקדמת הבמה הטכנולוגית"

"היכולת של 'העכביש המפוזר' לחלץ כמויות גדולות של נתונים צריכה להניף הרבה דגלים אדומים", ציין מומחה אבטחה. "הגישה ל-סנואופלייק מאפשרת לחברי הקבוצה להריץ אלפי שאילתות באופן מיידי, ובו-זמנית, ולעתים קרובות לפרוס נוזקות, כדי להצפין את השרתים של ארגוני היעד. הפוטנציאל לכמויות עצומות של נתונים גנובים מסביר מדוע הם הצליחו לעשות זאת בתעשיות רבות, מביטוח ועד תחבורה וקמעונאות".

המומחה אמר כי "מה שמטריד עוד יותר הוא החריצות שהפגינו חברי הקבוצה. הם הקפידו להתעדכן ולהשתתף בפורומים ושיחות שדנו בתיקון ותגובה לאירועי סייבר, עשו זאת בלא שיזהו אותם, והכל על מנת לראות כיצד צוותי אבטחה מסתגלים להתקפות שלהם. זו אסטרטגיה חכמה להישאר בקדמת הבמה הטכנולוגית".