Новые группы кибервымогателей следуют стратегии Scattered Spider: угрозы для критической инфраструктуры

Новые угрозы в киберпространстве: Cordial Spider и Snarky Spider

Эксперты компании CrowdStrike обнаружили две новые группы киберпреступников, которые активно атакуют организации в США, специализируясь на краже данных и вымогательстве. Группы, получившие названия Cordial Spider и Snarky Spider, действуют с октября 2025 года и нацелены на критически важные секторы экономики, включая финансовые услуги, технологии, авиационную и автомобильную промышленность.

По словам Адама Мейерса, старшего вице-президента по операциям против противников в CrowdStrike, эти группы преимущественно состоят из носителей английского языка и ориентированы на американские компании. Их атаки closely aligned с известной группой Scattered Spider и связаны с другими подгруппами The Com, такими как SLSH и ShinyHunters.

Методы атак: социальная инженерия и фишинг

Киберпреступники используют голосовой фишинг, SMS и электронные письма, чтобы обмануть сотрудников и заставить их перейти на поддельные страницы входа в систему. Эти страницы имитируют легитимные порталы SSO или провайдеров идентификации, что позволяет злоумышленникам похищать учетные данные, сессионные ключи или токены.

Получив доступ, атакующие:

• Удаляют устройства многофакторной аутентификации;
• Удаляют электронные письма и уведомления, предупреждающие о подозрительной активности;
• Распространяют доступ по всей экосистеме SaaS жертвы.

По данным CrowdStrike, тактики и процедуры каждой группы имеют различия, включая:

• Время работы;
• Провайдеров доменов для фишинга;
• Предпочитаемые операционные системы;
• Сайты утечки данных;
• Инструменты для регистрации многофакторной аутентификации.

Последствия атак: вымогательство и DDoS

Группы Cordial Spider и Snarky Spider используют украденные данные для шантажа. CrowdStrike не раскрывает точные суммы выкупов, но ранее Palo Alto Networks’ Unit 42 сообщал, что требования Cordial Spider (также известной как CL-CRI-1116 и UNC6671) обычно достигают семизначных сумм.

Некоторые жертвы, которые отказываются платить, сталкиваются с атаками DDoS. Кроме того, Snarky Spider применяет более агрессивные тактики запугивания, включая swatting сотрудников компаний-жертв.

Технические детали: как атакующие скрываются от обнаружения

Для обхода систем защиты киберпреступники используют резидентные прокси-сети, такие как Mullvad, Oxylabs, NetNut, 9Proxy, Infatica и NSOCKS. Эти сети, работающие на IP-адресах реальных пользователей, позволяют злоумышленникам маскировать свою активность под легитимный трафик.

Эксперты предупреждают, что, несмотря на легитимное применение, такие сети часто используются в преступных целях для сокрытия следов.

«Атаки на системы идентификации и связанные с ними сервисы затрудняют оценку масштабов пострадавших организаций. Злоумышленники не ограничиваются одной точкой взлома, а распространяют доступ по всей экосистеме жертвы», — отметил Адам Мейерс.

Рекомендации по защите

CrowdStrike призывает организации:

• Усилить контроль за учетными записями и многофакторной аутентификацией;
• Регулярно обучать сотрудников распознаванию фишинговых атак;
• Мониторить активность в SaaS-окружении;
• Использовать решения для обнаружения аномального поведения;
• Своевременно обновлять системы защиты.