שיתוף פעולה מהגיהינום: שלוש כנופיות סייבר מוכרות החליטו לחבור זו לזו

תמונה: נוצרה באמצעות AI

יש איחודים שהעולם מחכה להם, כמו האיחוד המיוחל של להקת Oasis על במה אחת, או חזרתו של רוברט דאוני ג’וניור ליקום הקולנועי של מארוול. אבל יש גם כאלה שאף אחד לא רצה לראות, כמו חיבור בין קבוצות האקרים בולטות שהחליטו לאחד כוחות.

ביום שישי האחרון, שלוש מקבוצות ההאקרים הבולטות והמדוברות בשנים האחרונות החליטו לחבור יחד. Scattered Spider – ששמה עולה שוב ושוב בחודשים האחרונים לכותרות בעקבות פעילויות נגד חברות תעופה וחברות נוספות, ShinyHunters ו-Lapsus$ התאחדו במה שניתן לתאר רק כ"שיתוף פעולה מהגיהינום". התוצאה: ערוץ טלגרם חדש בשם Scattered LAPSUS$ Hunters, שהספיק בתוך ימים להפוך לאחת הזירות הכי רועשות ומוחצנות בזירת פשיעת הסייבר.

הקבוצה הוקמה כצעד נוסף בשיתוף הפעולה המעמיק. נזכיר כי רק לפני מספר ימים סיפרנו לכם על שיתוף הפעולה בין ShinyHunters ו-Scattered Spider, שאף הוביל את חברי הקבוצה הראשונה להזדהות תחת השם Sp1d3rHunters – הצהרה פומבית על השותפות.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

בחזרה לטלגרם: בערוץ הזה אפשר היה למצוא הכל. דוגמאות חלקיות מדליפות, רשימות ספקים, התרברבויות על גניבות מידע ישנות וחדשות, ואפילו צילומי מסך של "משאים ומתנים" עם מותגי ענק. היו שם טענות לפריצה ל-Victoria’s Secret, גניבת מידע מגוצ’י, מתקפה על Neiman Marcus שייתכן שקשורה לדליפה מ-2024, וגם רשימת קורבנות פוטנציאליים שכוללת את המשרד לביטחון המולדת של ארה"ב וסוכנויות ממשלתיות בבריטניה, צרפת, ברזיל והודו.

וכדי להוסיף שמן למדורה, חברי הקבוצה טענו שהם עובדים על שירות כופרה כשירות חדש והתרברבו במהירות הצפנה של ג’יגה בייט בשנייה. כן, הם גם מצאו זמן לקלל בפומבי את LockBit ו-DragonForce, מה שמבהיר היטב מי הם "המלכים החדשים" של הזירה, לפחות בעיניהם.

קווי דמיון ברורים

על פי חברת ReliaQuest, ישנם לא מעט מקרים המעידים על העמקת שיתוף הפעולה בין הקבוצות בחודשים האחרונים. כך למשל ניתחו בשבוע האחרון תבניות רישום דומיינים ותשתיות הקשורות ל-ShinyHunters, שלכאורה שימשו במתקפות Salesforce האחרונות. דוח מלפני חודשיים חשף כי Scattered Spider נוהגת לרשום דומיינים עם מילות מפתח כמו "okta", "helpdesk" ו-"sso" בפורמט עם מקפים, למשל: SSO-company[.]com. החודש נמצאו דומיינים נוספים עם פורמט דומה, ימים ספורים לפני שחברת לואי ויטון זיהתה פריצה במערכותיה.

גם לוחות הזמנים של המתקפות חופפים: באפריל ומאי Scattered Spider תקפה קמעונאים בבריטניה, בעוד ShinyHunters פגעה במותגי יוקרה. ביוני ויולי Scattered Spider פרצה לחברות ביטוח, ו-ShinyHunters לכאורה פגעה ב-Allianz. בהמשך, הראשונה כיוונה לחברות תעופה, והשנייה ל-Qantas, Air France ו-KLM.

השילוש "הלא כל כך" קדוש

עד יום שני הערוץ כבר נעלם, אבל המטרה הושגה הרבה קודם: רעש תקשורתי, כאוס ברשת וחיזוק המותגים של שלוש קבוצות פשע סייבר שממילא לא סובלות ממחסור בפרסום.

על פי דיווחים שונים, מאחורי המהלך עומד ככל הנראה קולקטיב רחב יותר בשם The Com, שמחבר בין קבוצות סייבר שונות, עם תתי-קבוצות שכל אחת מהן מתמחה בתחומים שונים ומדי פעם משתפות פעולה כשזה נדרש. ב-ReliaQuest אף העריכו כי כל הקבוצות חולקות את אותה תשתית, שיטות פעולה ואפילו רישום דומיינים לפישינג.

החפיפה בין סוגי התקיפות, לוחות הזמנים והמגזרים שנפגעו מחזקת את ההערכה שמדובר בשיתוף פעולה הדוק, גם אם לא תמיד רשמי. ובינתיים, המיקוד הולך ומתברר. ב-ReliaQuest ו-Check Point לא רק מגזרים מסוימים, אלא יישומים עסקיים מוכרים ואמינים כמו Salesforce, Okta ו-ServiceDesk. מה שהופך את החדירה לקשה יותר לזיהוי, ואת הנזק להרבה יותר כואב.

המסקנה? אם חשבתם שמדובר בכנופיות פושעים שמתחרות זו בזו, תחשבו שוב. בעולם הסייבר של 2025, אפילו יריבים מרים יודעים להתאחד כשזה מביא להם ערך ולעיתים קרובות, הערך הזה מגיע ישירות ממאגרי המידע או מחשבון הבנק של החברות הגדולות בעולם.