Побег в 2026-й: ФБР закрыло сайт, вынудив хакеров взять самый длинный в истории «отпуск»

В ночь на 12 октября киберпреступная группировка Scattered Lapsus$ Hunters (SLSH), известная своими громкими утечками и агрессивным стилем, заявила, что прекращает деятельность до 2026 года. Поводом стало изъятие ФБР их основного сайта. Сообщение о «самороспуске» появилось в Telegram-канале группы и сопровождалось резкими выражениями и угрозами в адрес американского ведомства. Участники пообещали «отомстить» спецслужбе и назвали произошедшее «временным уходом в небытие». В конце поста авторы написали, что при следующем возвращении «ФБР почувствует их гнев» и пообещали добиться увольнения главы киберподразделения бюро Бретта Лизермана.

Однако подобные заявления для них не новость. Всего месяц назад SLSH уже «уходили в тень», но спустя 3 дня вновь возобновили активность. За короткое время существования коллектив стал одной из самых обсуждаемых преступных групп в киберпространстве, отличаясь масштабом атак и необычным составом участников — почти все они родом из западных стран и владеют английским как родным языком. Объединение возникло в начале года и включает бывших членов Scattered Spider, Lapsus$ и Shiny Hunters, из-за чего к нему с самого начала было приковано внимание правоохранителей. В последние недели несколько предполагаемых участников уже оказались под арестом.

Британские власти недавно сообщили о задержании двух подростков, обвиняемых в атаке на транспортное управление Лондона. Следствие считает их причастными к группе Scattered Spider. Ранее, в июле, полиция арестовала ещё четырёх человек, подозреваемых во взломах крупных британских ритейлеров — Co-op, M&S и Harrods. Хотя официального подтверждения связи с SLSH тогда не последовало, следователи не исключали её.

В последние дни перед «уходом» участники коллектива вновь оказались в центре внимания: они выложили в сеть данные крупных компаний — Qantas, Vietnam Airlines, Gap и Fujifilm. Ссылки на архивы, размещённые на Limewire, вскоре были удалены, однако часть утечек успели проверить независимые ресурсы. Авиакомпания Qantas, чьи утечки стали известны ещё летом, обновила раздел на своём сайте и подтвердила, что компрометация коснулась около шести миллионов клиентов. Представители компании предупредили, что действующее решение Верховного суда Австралии запрещает доступ к украденным файлам, а пользователям рекомендовано проявлять осторожность из-за возможных мошеннических попыток.

Сервис HaveIBeenPwned подтвердил, что база Vietnam Airlines содержала аналогичные данные 7,3 миллиона пассажиров. Платформа Atlas Privacy уточнила, что среди украденной информации Gap были более 250 тысяч уникальных адресов электронной почты, свыше 150 тысяч номеров телефонов и около 146 тысяч почтовых адресов. Анализ структуры показал, что данные соответствуют экспортам Salesforce PersonAccount с записями клиентов и метаданными систем. По словам злоумышленников, эти сведения они получили после атаки на Salesloft Drift — плагин для Salesforce. При этом сама Salesforce заявила, что её инфраструктура не была скомпрометирована.

В Telegram-канале SLSH написали, что «всё, что должно было быть слито, уже опубликовано», а остальные компании якобы выплатили выкуп. Аналитики, однако, призывают не воспринимать эти заявления как факт: у группы неоднократно замечались преувеличения. Так, недавно группа объявила об утечке у австралийского оператора Telstra и заявила о компрометации данных 19 миллионов пользователей. Компания опровергла утверждения, пояснив, что речь шла о сведениях, собранных из открытых источников, без паролей, банковских данных и документов.

В ThreatAware отметили, что последние публикации SLSH следует рассматривать как элемент шантажа: целью было запугивание и давление на организации, отказавшиеся платить. Вдобавок, пострадавшим клиентам стоит ожидать фишинговых и персонализированных атак, направленных на кражу финансовых данных или попытки хищения личности. По словам компании, группировка часто использует приёмы социальной инженерии, телефонные звонки и модифицированные загрузчики данных, что подчёркивает необходимость ужесточения проверки при сбросе паролей и улучшения внутренней кибергигиены компаний.