Две известные киберпреступные группировки, ShinyHunters и Scattered Spider, объединили свои усилия для проведения новой серии атак с вымогательством данных. Согласно отчету компании по кибербезопасности ReliaQuest, предоставленному изданию The Hacker News, это сотрудничество представляет собой «драматический сдвиг в тактике» для ShinyHunters, которые переходят от кражи учетных данных и эксплуатации баз данных к более сложным методам социальной инженерии.
Группировка ShinyHunters, активная с 2020 года, известна своей финансовой мотивацией, масштабными утечками данных и администрированием киберпреступных форумов, таких как RaidForums и BreachForums. В июне 2023 года участник под псевдонимом ShinyHunters совместно с пользователем Baphomet перезапустил форум BreachForums (v2). Деятельность группировки отслеживается, в частности, компанией Sophos.
Их новые партнеры, Scattered Spider, специализируются на целенаправленных атаках с использованием социальной инженерии, вишинга (голосового фишинга) и олицетворения. Группировка связана с другими печально известными коллективами, такими как LAPSUS$ и «The Com» — сетью опытных англоязычных киберпреступников, занимающихся подменой SIM-карт, вымогательством и физическими преступлениями.
В настоящее время совместная кампания нацелена на клиентов платформы Salesforce. Для кражи учетных данных злоумышленники используют фишинговые страницы, имитирующие порталы входа Okta, во время вишинговых звонков. Аналитики прогнозируют, что в ближайшем будущем основной фокус атак сместится на поставщиков финансовых услуг и технологических сервисов. Для сокрытия следов кражи данных используется обфускация через VPN.
Доказательства сотрудничества включают появление в мае 2024 года на BreachForums пользователя с ником "Sp1d3rHunters", связанного с одной из прошлых утечек ShinyHunters. 8 августа возник временный Telegram-канал под названием "scattered lapsu$ hunters", который был удален уже через три дня, 11 августа. Кроме того, обе группы ранее атаковали компании в одних и тех же секторах — розничной торговле, страховании и авиации — примерно в одно и то же время.
Компания Google отслеживает эту волну атак под идентификатором UNC6240. Исследователи из ReliaQuest, Кимберли Бромли и Иван Риги, проанализировали более 700 доменов, зарегистрированных в 2025 году, которые соответствуют фишинговым шаблонам Scattered Spider. С июля 2025 года количество регистраций доменов, нацеленных на финансовые компании, увеличилось на 12%, в то время как число доменов, направленных на технологические фирмы, сократилось на 5%.
В планах альянса — создание собственного решения «программа-вымогатель как услуга» (Ransomware-as-a-Service, RaaS) под названием ShinySp1d3r. Предполагается, что этот сервис будет конкурировать с такими известными группами, как LockBit и DragonForce, что свидетельствует о долгосрочных амбициях объединенной группировки.
Недавно правоохранительные органы Франции арестовали четырех человек, подозреваемых в управлении форумом BreachForums. Однако после арестов злоумышленник, представившийся как ShinyHunters, связался с новостным порталом и заявил, что сообщения об арестах являются «ЛОЖНЫМИ, НЕТОЧНЫМИ», намекая на то, что ключевой член группировки остается на свободе.
История форума BreachForums также указывает на продолжающуюся активность. После перезапуска в июне 2023 года его вторая версия (v2) внезапно прекратила работу 9 июня. Согласно данным из отчета, версия v3 исчезла в апреле 2025 года, а запуск четвертой версии (v4) состоялся в июне 2025 года. Эти даты указывают на возможное заблаговременное планирование инфраструктуры.
Изображение носит иллюстративный характер
Группировка ShinyHunters, активная с 2020 года, известна своей финансовой мотивацией, масштабными утечками данных и администрированием киберпреступных форумов, таких как RaidForums и BreachForums. В июне 2023 года участник под псевдонимом ShinyHunters совместно с пользователем Baphomet перезапустил форум BreachForums (v2). Деятельность группировки отслеживается, в частности, компанией Sophos.
Их новые партнеры, Scattered Spider, специализируются на целенаправленных атаках с использованием социальной инженерии, вишинга (голосового фишинга) и олицетворения. Группировка связана с другими печально известными коллективами, такими как LAPSUS$ и «The Com» — сетью опытных англоязычных киберпреступников, занимающихся подменой SIM-карт, вымогательством и физическими преступлениями.
В настоящее время совместная кампания нацелена на клиентов платформы Salesforce. Для кражи учетных данных злоумышленники используют фишинговые страницы, имитирующие порталы входа Okta, во время вишинговых звонков. Аналитики прогнозируют, что в ближайшем будущем основной фокус атак сместится на поставщиков финансовых услуг и технологических сервисов. Для сокрытия следов кражи данных используется обфускация через VPN.
Доказательства сотрудничества включают появление в мае 2024 года на BreachForums пользователя с ником "Sp1d3rHunters", связанного с одной из прошлых утечек ShinyHunters. 8 августа возник временный Telegram-канал под названием "scattered lapsu$ hunters", который был удален уже через три дня, 11 августа. Кроме того, обе группы ранее атаковали компании в одних и тех же секторах — розничной торговле, страховании и авиации — примерно в одно и то же время.
Компания Google отслеживает эту волну атак под идентификатором UNC6240. Исследователи из ReliaQuest, Кимберли Бромли и Иван Риги, проанализировали более 700 доменов, зарегистрированных в 2025 году, которые соответствуют фишинговым шаблонам Scattered Spider. С июля 2025 года количество регистраций доменов, нацеленных на финансовые компании, увеличилось на 12%, в то время как число доменов, направленных на технологические фирмы, сократилось на 5%.
В планах альянса — создание собственного решения «программа-вымогатель как услуга» (Ransomware-as-a-Service, RaaS) под названием ShinySp1d3r. Предполагается, что этот сервис будет конкурировать с такими известными группами, как LockBit и DragonForce, что свидетельствует о долгосрочных амбициях объединенной группировки.
Недавно правоохранительные органы Франции арестовали четырех человек, подозреваемых в управлении форумом BreachForums. Однако после арестов злоумышленник, представившийся как ShinyHunters, связался с новостным порталом и заявил, что сообщения об арестах являются «ЛОЖНЫМИ, НЕТОЧНЫМИ», намекая на то, что ключевой член группировки остается на свободе.
История форума BreachForums также указывает на продолжающуюся активность. После перезапуска в июне 2023 года его вторая версия (v2) внезапно прекратила работу 9 июня. Согласно данным из отчета, версия v3 исчезла в апреле 2025 года, а запуск четвертой версии (v4) состоялся в июне 2025 года. Эти даты указывают на возможное заблаговременное планирование инфраструктуры.
