O grupo de hackers que perfurou as defesas on -line do varejista do Reino Unido Marks e Spencer passou meses este ano colocando armadilhas digitais projetadas para enganar os funcionários das maiores marcas do mundo a desistir de suas senhas.
Aranha dispersa-que os especialistas em segurança cibernética descrevem como uma gangue criminosa de fraudadores de língua inglesa e falência em inglês-foram observados registrando sites com nomes quase idênticos das empresas e afiando seus kits de ferramentas de malware.
Mas sua mudança de assinatura é pesquisar exaustivamente funcionários da empresa, personificando -os com sucesso em um telefonema e enganar outros colegas a entregar as informações necessárias para desencadear um ataque cibernético.
A mistura de armadilhas on -line e subterfúgio do mundo real resultou em alguns dos hacks mais famosos dos últimos anos, incluindo o ataque de 2023 a cassinos e resorts da MGM em Las Vegas, que fecharam hotéis ao longo da famosa faixa da cidade.
Eles romperam na M&S no mês passado, mergulhando o varejista do Reino Unido em crise com um sucesso de até 300 milhões de libras para os lucros operacionais e limpar mais de 600 milhões de libras em sua capitalização de mercado.
Não é apenas dinheiro. Aqueles que estudaram Spider espalhados disseram que seus membros também estavam interessados em outro benefício: os direitos de se gabar.
“Eles não são exclusivamente motivados financeiramente – eles gostam da influência, gostam da atenção da mídia convencional”, disse Charles Carmakal, diretor de tecnologia da Mandiant Consulting.
Os hackers são líderes na indústria criminal de “ransomware”. Somente em 2023, as vítimas pagaram pelo menos US $ 1 bilhão a gangues que mantiveram seu resgate de dados, de acordo com a Chaisalysis, uma empresa que estuda blockchains.
As táticas amadureceram nos últimos anos para que os hackers tenham especialidades. Aranha dispersa está entre as que se concentram na violação inicial. Alguns vendem kits de software que criptografaram dados cruciais. Outros se concentram nas exigências de resgate que se arrastam por meses, enfrentando negociadores experientes, geralmente de provedores de seguros. Mesmo que os pagamentos possam ser grandes, cada grupo só recebe uma fatia.
A Aranha dispersa deixou o trabalho de negociar seu dia de pagamento para uma gangue de ransomware diferente que se chama Dragon Force. Se a M&S pagar, a Dragon Force desbloqueará ou excluirá os dados proprietários da empresa, disse uma pessoa que representa os hackers ao Financial Times. Até agora, não há indicação de que a M&S tenha ceder a chantagem.
A M&S, que trabalha com agências policiais e governamentais, disse: “Não podemos entrar em detalhes ou especulações sobre o incidente e fomos aconselhados a não”.
Aranha dispersa avançou rapidamente. Zach Edwards, pesquisador de ameaças do Cyber Intelligence Group Silent Push, com sede na Virgínia, que assistiu aos preparativos on-line do hacker, disse que tentou alertar muitos outros metas em potencial nos últimos meses.
Eles incluem o relojoeiro Audemars Piguet, o Matchmaker Tinder, o Fashion House Louis Vuitton, os editores Forbes e o News Corp e até o fabricante de sanduíches Chick-Fil-A. Não há evidências de que os hackers quebraram com sucesso as defesas cibernéticas dessas empresas. Nenhum respondeu aos pedidos de comentário.
Mas logo após a Páscoa, os telefones começaram a tocar em mesas de ajuda de nós, varejistas. As ligações provavelmente foram de hackers de aranha espalhados fingindo ser funcionários, de acordo com vários profissionais de segurança cibernética que foram chamados para ajudar a fechar vazamentos.
“Eles tendem a atingir várias empresas no mesmo setor por algumas semanas antes de seguir em frente”, disse Carmakal, do Mandiant de propriedade do Google, que começou a receber chamadas de SOS de empresas “nos dizendo que estão lidando com um ataque ativo”.
Embora a M&S ainda não tenha revelado exatamente como seus sistemas foram violados, a Dynarisk, com sede em Londres, que rastreia ameaças on-line, disse que as credenciais comprometidas dos principais varejistas do Reino Unido estavam sendo negociadas por dinheiro em fóruns on-line.
A Aranha dispersa é mais conhecida por ter dominado um truque chamado “Engenharia Social”, onde estudam traços on-line deixados para trás pelos funcionários de nível médio das principais empresas para superar um funcionário do Help Desk.
“Eles estão escolhendo um alvo – talvez um desenvolvedor sênior – para ser a pessoa que se repreende, para que eles conheçam seu nome de solteira, seu endereço residencial, eles já tenham comprado um perfil de corretor de dados em alguém”, disse Edwards, do Silent Push.
Em ataques anteriores, os hackers representavam os trabalhadores de TI, uma vez que suas contas têm privilégios que lhes permitem se mover rapidamente pela infraestrutura tecnológica de uma empresa. Quando a aranha dispersa violou a MGM, a senha antiga de um funcionário de TI foi uma variação no nome de seu gato, de acordo com um conjunto de dados vendido on -line e visto pelo FT.
“Oi, parece que estou trancado do meu e -mail – você pode ajudar agora ou devo ligar durante o horário de trabalho?” Um homem com sotaque americano é ouvido em uma gravação enviada ao FT no telegrama por uma pessoa que afirma ter sido contratada para fazer trabalho de voz para aranha dispersa.
Essa pessoa disse que foi pago em frações da criptomoeda Ethereum, mas a última parcela nunca chegou. Reclamando da falta de pagamento integral em um canal de telegrama cheio de meme racista, a pessoa disse que recebeu o login a um número de voz do Google, que ele costumava chamar de suporte técnico em um grande fornecedor de telecomunicações dos EUA.
A pessoa excluiu sua conta de telegrama quando solicitado pelo FT para obter mais prova de envolvimento com aranha dispersa. Mas faz sentido que os hackers contratem alguém para seguir um roteiro, porque ter suas próprias vozes em fita facilita sua acusação.
Os hackers supostamente mantêm suas próprias identidades protegidas uma da outra, chamando -se de Spider1, Spider2 e assim por diante em suas comunicações internas, de acordo com um membro envolvido no MGM Hack que falou com o FT em 2023.
Isso não impediu a aplicação da lei de rastrear pelo menos alguns down. Ao contrário de gangues de hackers que operam na Bielorrússia ou na Rússia-fora do alcance do FBI ou da Europol-as “aranhas” de língua inglesa tendem a morar no oeste.
Uma série de prisões no ano passado na Espanha, os EUA e o Reino Unido interromperam o grupo temporariamente. Após um hiato, a aranha dispersa parece estar de volta e desfrutando dos holofotes. Uma empresa de segurança cibernética especializada em estudá -los, Crowdstrike, está vendendo figuras de ação do grupo de hackers.
Antes de excluir sua conta, a pessoa que pretendia trabalhar com os hackers disse que tudo o que ele queria era “um passeio GR8 com um Sp1der”, acrescentando uma frase comum entre os do canal do Telegram: “Malchief antes do dinheiro”.
Relatórios adicionais de Laura Onita e Kieran Smith