След скорошната атака срещу Salesforce, хакерският конгломерат Scattered LAPSUS$ Hunters обяви, че е пробил системите на редица международни корпорации, сред които Dell, Verizon, Telstra, Lycamobile и Kuwait Airways.

Обединение на три печално известни групи

Scattered LAPSUS$ Hunters представлява сливане между три от най-известните хакерски групи – Scattered Spider, LAPSUS$ и ShinyHunters. Новосформираният съюз, наричан още „Троицата на хаоса“, се фокусира върху изнудване чрез кражба и изтичане на данни след достъп до корпоративни мрежи посредством социално инженерство.

Групата публикува в своя Telegram канал извадки от откраднати данни, за да докаже автентичността на своите твърдения. Засегнатите компании включват:

• американския технологичен гигант Dell;

• телекомуникационния лидер Verizon;

• австралийския оператор Telstra;

• френския мобилен оператор Lycamobile;

• и Kuwait Airways, националния превозвач на Кувейт.

Изтекли лични и технически данни

Хакерите твърдят, че са получили достъп до обширни обеми чувствителна информация, варираща в зависимост от компанията-жертва. Сред изтеклите данни фигурират:

• пълни имена, адреси и телефони;

• имейли, дати на раждане и длъжности;

• паспортни номера и национални идентификатори;

• IP адреси и детайли за абонаментни планове;

• история на поръчки и серийни номера на продукти.

Пробивът в Dell включва данни на клиенти и поръчки, докато при Telstra и Kuwait Airways са открити лични данни на клиенти и пътници, включително паспортна информация и контакти.

„Последствията от подобни течове са сериозни – повишен риск от кражба на самоличност, измами и социално инженерство,“ коментират изследователите.

Завръщането след „пенсионирането“

Интересното е, че малко преди атаката срещу Salesforce групата обяви „оттегляне“, което се оказа димна завеса. До края на септември изследователите вече са засекли нова вълна от изнудвачески имейли, насочени към корпорации от различни сектори.

Scattered LAPSUS$ Hunters твърди, че е откраднала почти 1 милиард записа и заплашва да публикува информация от над 700 големи компании, сред които Google, FedEx, Toyota, Adidas, Disney и Home Depot, ако не бъдат изплатени откупи.

Тактики и съюзници

Методите на групата включват:

• експлоатация на умора от многофакторна автентикация (MFA fatigue);

• SIM swapping атаки;

• директна комуникация с жертвите;

• и публично опозоряване чрез leak сайтове.

Също така става ясно, че към конгломерата се е присъединил нов играч – Crimson Collective, който твърди, че е откраднал 570 GB вътрешни данни от Red Hat Consulting.

Red Hat вече фигурира в списъка на ShinyHunters, като хакерите предупреждават, че ако компанията не влезе в преговори, откраднатите материали ще бъдат публикувани на 10 октомври.

Сред примерните файлове се споменават доклади от Walmart, HSBC, Bank of Canada, American Express, Министерството на отбраната на САЩ и френския оператор SFR.

Рискове за засегнатите компании и потребители

Комбинацията от лични данни, технически детайли и IP адреси може да доведе до:

• масови кражби на идентичност;

• целенасочени измами и фишинг атаки;

• нарушаване на доверието в корпоративната инфраструктура.

Хакерите очевидно целят да поддържат натиск чрез публични изтичания и заплахи, като засилват тенденцията за координирани атаки срещу големи мултинационални организации.