اعتقال أربعة في مجموعة فدية 'Scattered Spider' في المملكة المتحدة

هذا الأسبوع، اعتقلت السلطات في المملكة المتحدة أربعة أشخاص تتراوح أعمارهم بين 17 و20 عامًا، وذلك في إطار هجمات سرقة البيانات والابتزاز التي استهدفت تجار التجزئة مثل ماركس آند سبنسر وهارودز ومجموعة كوبر. وقد ارتبطت هذه الانتهاكات بمجموعة جرائم إلكترونية تُعرف باسم "Scattered Spider"، والتي استهدفت مؤخرًا عدة شركات طيران.

رفضت الوكالة الوطنية لمكافحة الجريمة (NCA) في المملكة المتحدة تأكيد أسماء المعتقلين، مشيرة فقط إلى أن بينهم رجلين في التاسعة عشر من عمرهما، وآخر في السابعة عشر، وامرأة تبلغ من العمر 20 عامًا.

تُعرف مجموعة Scattered Spider باستخدامها لتكتيكات الهندسة الاجتماعية لاختراق الشركات وسرقة البيانات مقابل فدية، وغالبًا ما تنتحل صفة موظفين أو متعاقدين لخداع مكاتب الدعم الفني ومنحهم الوصول. وقد حذرت FBI الشهر الماضي من أن المجموعة قد انتقلت مؤخرًا لاستهداف شركات في قطاعات التجزئة والطيران.

علمت KrebsOnSecurity بهويات اثنين من المشتبه بهم. ووفقًا لمصادر متعددة قريبة من التحقيق، فإن المعتقلين يشملون أوين ديفيد فلاورز، وهو رجل بريطاني يُزعم أنه كان متورطًا في الهجوم السيبراني وابتزاز الفدية الذي أدى إلى إغلاق عدة ممتلكات لـMGM Casino في سبتمبر 2023. وقد قيل إن المرأة المعتقلة كانت في علاقة مع فلاورز.

أفادت المصادر أن فلاورز، الذي يُزعم أنه استخدم أسماء مستعارة مثل "bo764" و"Holy" و"Nazi"، كان هو العضو في المجموعة الذي أجرى مقابلات مع وسائل الإعلام بعد اختراق MGM. وقد تم حذف اسمه الحقيقي من قصة سبتمبر 2024 حول المجموعة لأنه لم يكن قد تم توجيه التهم إليه بعد في تلك الحادثة.

الشخص الأهم الذي تم اعتقاله هذا الأسبوع هو ثالها جبير، رجل بريطاني يبلغ من العمر 19 عامًا، والذي يُعتقد أنه استخدم الاسم المستعار "Earth2Star"، وهو أحد الأعضاء المؤسسين لقناة تلغرام "Star Fraud Chat".

في عام 2023، نشرت KrebsOnSecurity تحقيقًا حول عمل ثلاث مجموعات مختلفة من محتالين SIM الذين قاموا باختراق بيانات موظفي T-Mobile واستخدموا هذا الوصول لتقديم خدمة تسمح بتبديل أي رقم هاتف T-Mobile إلى جهاز جديد. كانت Star Chat هي الأكثر نشاطًا وتأثيرًا من بين تلك المجموعات.

جبير استخدم الأسماء المستعارة "Earth2Star" و"Star Ace"، وكان عضوًا رئيسيًا في مجموعة اختراق SIM نشطة في عام 2022.

تقول المصادر إن جبير كان أيضًا عضوًا رئيسيًا في مجموعة LAPSUS$ التي اخترقت العديد من شركات التكنولوجيا في عام 2022، وسرقت الشيفرات المصدرية وغيرها من البيانات الداخلية من عمالقة التكنولوجيا مثل مايكروسوفت ونفيديا وأوكيتا وروكستار جيمز وسامسونج وT-Mobile وأوبر.

في أبريل 2022، نشرت KrebsOnSecurity سجلات الدردشة الداخلية من LAPSUS$، وأشارت تلك الدردشات إلى أن جبير كان يستخدم الأسماء المستعارة Amtrak وAsyntax. في إحدى النقاط، أخبر Amtrak قائد مجموعة LAPSUS$ بعدم مشاركة شعار T-Mobile في الصور المرسلة إلى المجموعة لأنه تم القبض عليه سابقًا بسبب اختراق SIM.

في مارس 2022، كشف قائد مجموعة LAPSUS$ عن اسم ثالها جبير وأسماءه المستعارة في غرفة دردشة عامة على تلغرام.

تلك القصة عن محادثات LAPSUS$ المسربة ربطت Amtrak/Asyntax/Jubair بهوية Everlynn، مؤسس خدمة إجرامية تبيع "طلبات بيانات طارئة" مزيفة تستهدف مقدمي خدمات التواصل الاجتماعي والبريد الإلكتروني الرئيسيين.

قائمة أعضاء فريق الاختراق "Infinity Recursion"، الذي ينتمي إليه بعض أعضاء LAPSUS$.

تقول المصادر إن جبير استخدم أيضًا الاسم المستعار "Operator"، وأنه كان حتى وقت قريب مديرًا لـDoxbin، مجتمعًا على الإنترنت يُستخدم لنشر معلومات شخصية عن الأفراد. في مايو 2024، سخرت عدة قنوات شهيرة في عالم الجريمة الإلكترونية على تلغرام من Operator بعد أن تم الكشف عن أنه قد قام بتدبير اختطافه الخاص في خطة فاشلة لإبعاد المحققين.

في نوفمبر 2024، وجهت السلطات الأمريكية تهمًا لخمس رجال تتراوح أعمارهم بين 20 و25 عامًا في ما يتعلق بمجموعة Scattered Spider، التي اعتمدت منذ فترة طويلة على تجنيد القصر للقيام بأكثر أنشطتها خطورة. في الواقع، تم تجنيد العديد من الأعضاء الرئيسيين في المجموعة من منصات الألعاب عبر الإنترنت مثل Roblox وMinecraft في سن مبكرة، وقد كانوا يصقلون تكتيكاتهم في الهندسة الاجتماعية لسنوات.

قالت أليسون نيكسون، كبيرة مسؤولي البحث في شركة الأمن Unit 221B: "هناك نمط واضح بأن بعض أكثر المجرمين خطورة انضموا إلى عصابات الجرائم الإلكترونية في سن مبكرة للغاية".