Зачем писать сложные коды, если можно просто позвонить? Как выглядит киберпреступность эпохи «созвонов»

Еще несколько лет назад атаки хакеров ассоциировались с «экзотическими» вредоносными серверами и подозрительными IP-адресами. Сегодня все иначе. Специалисты Team Cymru подробно описали работу группы. Scattered Spider научилась прятаться прямо внутри легальной цифровой инфраструктуры, маскируя атаки под обычную работу сотрудников, VPN-соединения и корпоративные сервисы. Именно поэтому она стала одной из самых опасных киберугроз последних лет.

В 2024 и 2025 годах Scattered Spider закрепилась в статусе одной из самых активных англоязычных киберпреступных группировок, входящих в сообщество TheCom. В мае 2024 года ФБР публично предупредило о ее деятельности, связав участников группировки с серией многомиллионных атак на крупные компании. Ранее MGM Resorts официально заявляла, что ущерб от атаки вымогательского ПО ALPHV/BlackCat, связанной со Scattered Spider, составил около $100 млн. В 2025 году Marks & Spencer сообщила о предполагаемых потерях в £300 млн после атаки с использованием шифровальщика DragonForce, которую также связывают с этой группировкой. Эксперты Google считают, что Scattered Spider стоит и за атаками на Co-op и Harrods.

Группировка известна тем, что работает как партнер сервисов ransomware-as-a-service (RaaS), созданных группировками ALPHV/BlackCat, Qilin, RansomHub и DragonForce. Основной упор Scattered Spider делает не на сложные эксплойты, а на социальную инженерию. Хакеры звонят в IT-службы компаний, представляются сотрудниками, убеждают сбросить пароль или установить инструменты удаленного администрирования. Также они используют SMS-фишинг под видом сервисов единого входа и атаки с подменой SIM-карт для перехвата корпоративных учетных данных.

Получив доступ, злоумышленники проверяют все сервисы, подключенные к системе единого входа, перемещаются по внутренней инфраструктуре, атакуют виртуальные среды и облачные серверы, после чего похищают данные и запускают шифровальщики. При этом ключевая особенность их тактики заключается в инфраструктуре. Вместо «классических» хакерских серверов Scattered Spider активно использует обычные VPN-сервисы, легальные прокси-сети, популярные сайты для обмена файлами, сервисы туннелирования соединений и инструменты удаленного администрирования вроде AnyDesk и TeamViewer.

По сути, хакеры растворяются в обычном интернет-трафике. Их подключения выглядят как работа удаленного сотрудника, разработчика, тестирующего сервис, или человека, передающего файлы через облако. Даже использование домашних IP-адресов через резидентные прокси делает атаки визуально «нормальными» для систем безопасности. Блокировка таких соединений часто невозможна без риска парализовать легитимную работу бизнеса.

Эксперты отмечают, что именно эта стратегия делает Scattered Spider особенно опасной. Один и тот же IP-адрес или сервис может использоваться и реальными пользователями, и злоумышленниками. В результате традиционные методы защиты, основанные на черных списках, теряют эффективность. Единственным рабочим подходом становится анализ поведения: не того, чем является инфраструктура, а того, как именно она используется.

Специалисты подчеркивают, что группировка быстро меняет инструменты и провайдеров, но сохраняет общий стиль атак. Это делает ее сложной целью для защиты, но одновременно дает шанс на раннее обнаружение при правильной аналитике трафика, логов и пользовательской активности. В современных атаках Scattered Spider главную роль играет не вредоносный код, а умение выглядеть «обычным пользователем» и использовать легальные цифровые сервисы как оружие, превращая привычную инфраструктуру в инструмент кибератак.