Ему 19 лет, а на счету — сотни атак и вымогательства на миллионы: лицо Scattered Spider рассекречено

Британские следователи предъявили обвинения 19-летнему жителю Ист-Лондона Талхе Джубаиру, которого связывают с группировкой Scattered Spider. По данным полиции и прокуратуры, фигурант участвовал в вымогательских атаках на более чем сотню организаций и причастен как минимум к 115 миллионам долларов выплат в криптовалюте. На его след вышли после серии технических совпадений, в том числе из-за покупок подарочных карт с криптоадреса на сервере, где одновременно хранились кошельки, принимавшие средства от выкупов.

Scattered Spider известна с 2022 года: изначально участники занимались сим-свапингом, затем перешли к социальной инженерии и шифрованию данных с последующим вымогательством. В прошлом году были задержаны не менее семи подозреваемых после резонансных атак на казино в Лас-Вегасе, а весной текущего года группе приписали взломы крупных розничных сетей. Наряду с Джубаиром в Великобритании проходит по делу 18-летний Оуэн Флауэрс из Уолсолла; оба появились в суде в Лондоне по эпизоду, связанному с кибератакой на Transport for London в 2024 году.

Параллельно в США объявлены уголовные обвинения. Исполняющая обязанности федерального прокурора Алина Хабба заявила, что подозреваемый предпринимал сложные меры анонимизации и участвовал примерно в 120 вторжениях в сети, в том числе как минимум в 47 случаях против американских организаций. Вместе с тем следствию удалось зафиксировать ряд ошибок операционной безопасности, которые связали фигуранта с инфраструктурой вымогателей.

Ключевое совпадение касается сервера с криптовалютными кошельками: часть средств с одного из адресов была потрачена на игровые подарочные сертификаты, привязанные к аккаунту на имя Джубаира, а также на карты для службы доставки еды. Заказы оформлялись на адрес его жилого комплекса, что позволило подтвердить связку между платежами и местом проживания.

Раскрытые в четверг материалы Минюста США описывают сговоры с целью компьютерного мошенничества, телекоммуникационного обмана и отмывания средств. Хронология охватывает период с мая 2022 года до текущего месяца и включает не только шифрование корпоративных данных, но и попытки выкупа за счёт утечки конфиденциальной информации.

В перечне потерпевших прямо названа федеральная судебная система США. В начале января злоумышленники, действуя по типичному для Scattered Spider сценарию, связались с сервисной поддержкой сети судов и добились сброса пароля одной из учётных записей. После этого были перехвачены ещё два аккаунта, а из инфраструктуры извлечены персональные сведения сотрудников, включая имена, пятнадцать имён пользователей, должностные роли и мобильные номера. Скомпрометированные данные затем использовали для доступа к почтовым ящикам трёх человек, один из которых — федеральный магистрат. Поиск вёлся по словам повестка, фамилии одного из обвиняемых киберпреступников и названию самой группировки. С одного из захваченных ящиков также ушёл запрос в финансовую организацию с просьбой о срочном раскрытии клиентской информации.

Ещё семь американских потерпевших в документах обозначены как Company-1…Company-7. Среди них производитель, развлекательная компания, два ритейлера, две финансовые структуры и предприятие из сектора критической инфраструктуры. Во всех эпизодах доступ получали через обман службы поддержки с последующей сменой пароля сотрудника, затем выкачивали данные, иногда дополняя давление шифрованием, и требовали деньги за дешифрование либо обещание не публиковать украденные массивы. В пяти случаях пострадавшие перечислили в биткоине суммарно не менее 89,5 миллиона долларов; две крупнейшие выплаты пришлись на банки — эквиваленты свыше 25 миллионов и 36,2 миллиона.

Часть потоков с адресов жертв отследили до узла, который, по версии ФБР, контролировал Джубаир. В ходе изъятия инфраструктуры агенты конфисковали порядка 36 миллионов долларов в криптовалюте с кошельков на этом сервере, при этом в июле 2024 года подозреваемый успел перевести около 8,4 миллиона на другой адрес.

Дополнительные улики дали переписки и файлы. В октябре 2023 года через Telegram-аккаунт с идентификатором Brad и псевдонимом autistic он обсуждал с сообщником атаки примерно на сорок компаний и сообщал, что один из потерпевших готов перечислить двадцать пять миллионов. Позднее в тот же день соответствующий платёж действительно прошёл, после чего фигурант уведомил партнёра о распределении полученных сумм от двух компаний.

Блокчейн-трассировка показала, что с одного из изъятых адресов покупали пять игровых сертификатов, а активность привела к геймерскому профилю, к которому заходили с реквизитами, оформленными на квартиру Джубаира. Информация от сервиса доставки подтвердила поставки заказов в его жилой комплекс, в том числе в середине мая 2024 года.

В переписке, найденной на сервере, встречается и другой псевдоним — Austin. В разговоре от 7 апреля 2024 года пользователь под этим именем упоминал недавний восемнадцатилетний возраст; проверка показала, что день рождения Джубаира действительно пришёлся примерно на три недели до этой даты.

Аналитики позитивно оценили координацию силовиков по обе стороны Атлантики. По оценке руководителя подразделения Counter Adversary Operations компании CrowdStrike Адама Майерса, задержания ослабят Scattered Spider в ближайшее время и показали эффективность обмена данными между государственными ведомствами и бизнесом: при слаженных действиях удаётся нарушать работу групп, наносящих серьёзный ущерб международным компаниям.

История Джубаира иллюстрирует типичный для киберпреступников изъян: тщательно построенная схема рушится из-за бытовых привычек и следов, которые оставляют повседневные покупки в цифровых сервисах.